HiJackThis - Analisi Log - leggere Regole di Sezione - Pagina 445

beppespeed · 23-04-2008, 17:00

Quote:

Originariamente inviato da Mazda RX8

vedi il primo post...

chiedo scusa,non volevo fare una domanda inutile...

ho letto il primo post e dalla guida sembra che questo file sia sospetto:

O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM

nella guida c'e' scritto:

Se all'interno del gruppo O8 , però, alcuni elementi vi sono del tutto sconosciuti ed anzi, risultano sospetti, è possibile
che siano parte integrante di spyware e malware da rimuovere subito mediante la pressione del pulsante Fix di HijackThis.

Quindi faccio che FIXare direttamente quel file o devo fare altro prima?

p.s.tra l'altro invece di esserci scritto SEARCH c'e' scritto SERACH....

xcdegasp · 23-04-2008, 20:10

Quote:

Originariamente inviato da fracarro

Boh? Non ne ho idea. Ho fatto quello che mi hai detto tu. Comunque io ho l'acrobat 8 non il reader. Che significa?

non hai nemmeno disinstallato kis in favore di avg... ?
dai su scherzare per un po' va bene ma abbiamo anche altre cose da fare che perdere tempo

xcdegasp · 23-04-2008, 20:15

@ beppespeed:
log rimosso, leggere le Regole di Sezione

fracarro · 23-04-2008, 20:25

Quote:

Originariamente inviato da xcdegasp

non hai nemmeno disinstallato kis in favore di avg... ?
dai su scherzare per un po' va bene ma abbiamo anche altre cose da fare che perdere tempo

beppespeed · 23-04-2008, 20:41

Quote:

Originariamente inviato da xcdegasp

@ beppespeed:
log rimosso, leggere le Regole di Sezione

chiedo scusa.non lo sapevo

pero' mi rispondete per cortesia?

Mazda RX8 · 23-04-2008, 21:24

Quote:

Originariamente inviato da beppespeed

chiedo scusa.non lo sapevo

pero' mi rispondete per cortesia?

riposta il log qui: www.rapidshare.com

beppespeed · 23-04-2008, 22:01

Quote:

Originariamente inviato da Mazda RX8

riposta il log qui: www.rapidshare.com

e dopo averlo caricato?

xcdegasp · 24-04-2008, 01:08

Quote:

Originariamente inviato da beppespeed

e dopo averlo caricato?

leggi le regole di sezione e sarà tutto chiaro

lo_straniero · 24-04-2008, 13:57

ragazzi per un conto di una mia amica che è piena zeppa di spyware...alcune cose gli ho fatte aggiornare

grazie

wjmat · 24-04-2008, 14:21

ci sono queste voci strane nello startup

Codice:

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Itch ford four knob] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\third lies itch ford\poll audio.exe
O4 - HKLM\..\RunOnce: [Execute] C:\WINDOWS\System32\Tools\DelFolders.exe
O4 - HKCU\..\Run: [DentDash] C:\DOKUME~1\ADMINI~1\ANWEND~1\COALSK~1\pop eggs idol.exe
O4 - Global Startup: Reboot.exe

verifica che conosca pixart e falle verificare su www.virustotal.com i files incriminati

Internet Explorer non è aggiornato falle scaricare da qui IE7

xcdegasp · 24-04-2008, 14:38

Quote:

Originariamente inviato da lo_straniero

ragazzi per un conto di una mia amica che è piena zeppa di spyware...alcune cose gli ho fatte aggiornare

grazie

ma è tedesca per caso?

lo_straniero · 24-04-2008, 15:07

Quote:

Originariamente inviato da wjmat

ci sono queste voci strane nello startup

Codice:

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Itch ford four knob] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\third lies itch ford\poll audio.exe
O4 - HKLM\..\RunOnce: [Execute] C:\WINDOWS\System32\Tools\DelFolders.exe
O4 - HKCU\..\Run: [DentDash] C:\DOKUME~1\ADMINI~1\ANWEND~1\COALSK~1\pop eggs idol.exe
O4 - Global Startup: Reboot.exe

verifica che conosca pixart e falle verificare su www.virustotal.com i files incriminati

Internet Explorer non è aggiornato falle scaricare da qui IE7

grazie...gli ho appena messo avira e gli ha rilevato 3 trojan

Quote:

Originariamente inviato da xcdegasp

ma è tedesca per caso?

si vive in germagna ma è italiana con xp in tetesco

wjmat · 24-04-2008, 15:17

l'importante è che sia itagliana

GiacomoD · 24-04-2008, 15:54

Ciao a tutti!

Mi date un'occhiata al log di HijackThis?

Mi ritrovo sul destop un file chiamato Accesso, che riporta al file "C:\Documents and Settings\...\Impostazioni locali\Temp\sjbetsjq.exe" Sea

Anche se lo cancello me lo ritrovo al riavvio ... dovrebbe essere un dialer.

Queste chiavi mi sembrano sospette ...

Codice:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\WINDOWS\system32\spnsrvnt.exe

... le elimino?

Grazie!

wjmat · 24-04-2008, 16:31

la voce sospetta è questa

Codice:

O4 - Startup: FastRicaricos3.lnk = G:\Cellulare\Ricaricare\FastRicaricos3\FastRicaricos3.exe

la conosci?
G: è un secondo hardisk o una chiavetta?

riedita il tuo post i log non va bene così

Se i log non superano i 20Kb allegali tramite il comando Gestisci allegati.
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione.

Controlla su Secunia.com di avere tutti i programmi a rischio aggiornati. Clicca su Start Now -> Spunta enable throught system inspection... -> Poi Start. Al termine fai annulla al messaggio che esce.
Java non lo è, ricordati di disinstallare prima la versione precedente e verificare che non rimangano residui dell'installazione vecchia sotto C:\Programmi\Java In questa cartella dovrà rimanere solo la cartella della versione corrente ( jre1.6.0_05 )
Se dovessi avere problemi nel disinstallare vecchie versioni di Flash Player scarica da [ qui ] i relativi tool di rimozione.

GiacomoD · 25-04-2008, 15:07

Quote:

Originariamente inviato da wjmat

riedita il tuo post i log non va bene così

Fatto!

Quote:

Originariamente inviato da wjmat

la voce sospetta è questa

Codice:

O4 - Startup: FastRicaricos3.lnk = G:\Cellulare\Ricaricare\FastRicaricos3\FastRicaricos3.exe

la conosci?
G: è un secondo hardisk o una chiavetta?

La chiave segnalata da te è un programma che ho messo io ... è sicuro, non è un dialer. G: è un secondo Hard Disk.

Ho fatto una bella pulizia nella cartella Temp, ho cancellato il file Accesso dal Desktop e ho eliminato la chiave BHO segnalata sopra.
Ora sembra tutto a posto.

L'altra chiave (O23 - Service: SentinelSuperProNet Server) non sono riuscito ad eliminarla con HijackThis ... una volta fixata mi compare di nuovo al riavvio.

Qualcuno di voi sa cos'è?

Grazie ancora!

Nuz · 26-04-2008, 11:16

Fai analizzare su www.virustotal.com il file:

C:\WINDOWS\system32\spnsrvnt.exe

sid_20 · 28-04-2008, 14:19

potete cancellarlo^^

wjmat · 28-04-2008, 14:43

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione e ricarica il nuovo log.

sid_20 · 28-04-2008, 14:55

potete cancellarlo^^

23-04-2008, 20:15	#8883
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	@ beppespeed: log rimosso, leggere le Regole di Sezione __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

24-04-2008, 16:31	#8895
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	la voce sospetta è questa Codice: O4 - Startup: FastRicaricos3.lnk = G:\Cellulare\Ricaricare\FastRicaricos3\FastRicaricos3.exe la conosci? G: è un secondo hardisk o una chiavetta? riedita il tuo post i log non va bene così Se i log non superano i 20Kb allegali tramite il comando Gestisci allegati. Clicca su Gestisci allegati -> Sfoglia -> Carica Altrimenti caricali su [wikisend.com] o su [mediafire.com]. Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione. Controlla su Secunia.com di avere tutti i programmi a rischio aggiornati. Clicca su Start Now -> Spunta enable throught system inspection... -> Poi Start. Al termine fai annulla al messaggio che esce. Java non lo è, ricordati di disinstallare prima la versione precedente e verificare che non rimangano residui dell'installazione vecchia sotto C:\Programmi\Java In questa cartella dovrà rimanere solo la cartella della versione corrente ( jre1.6.0_05 ) Se dovessi avere problemi nel disinstallare vecchie versioni di Flash Player scarica da [ qui ] i relativi tool di rimozione.

28-04-2008, 14:19	#8898
sid_20 Junior Member Iscritto dal: Apr 2008 Messaggi: 13	potete cancellarlo^^ Ultima modifica di sid_20 : 28-04-2008 alle 15:11.

28-04-2008, 14:55	#8900
sid_20 Junior Member Iscritto dal: Apr 2008 Messaggi: 13	potete cancellarlo^^ Ultima modifica di sid_20 : 28-04-2008 alle 15:11.

24-04-2008, 15:17	#8893
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	l'importante è che sia itagliana

26-04-2008, 11:16	#8897
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Fai analizzare su www.virustotal.com il file: C:\WINDOWS\system32\spnsrvnt.exe

28-04-2008, 14:43	#8899
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione e ricarica il nuovo log.

Strumenti
Mostra una versione stampabile Invia questa pagina per email