HiJackThis - Analisi Log - leggere Regole di Sezione

[xcdegasp]

Quote:

Originariamente inviato da Mazda RX8

fixa:

C:\WINDOWS\system32\afinding.exe
C:\WINDOWS\system32\perfs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\wserving.exe
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - (no file)
O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\WINDOWS\system32\afinding.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32\routing.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\WINDOWS\system32\wserving.exe

questa è lecita
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
e non va rimossa!!

[xcdegasp]

Quote:

Originariamente inviato da feboss

perfavore potete analizzarmi questo log?


mi trova come file sospetti
rounting.exe perfs.exe wserving.exe afinding.exe

Perfs.exe
http://www.virustotal.com/it/analisi...f86216e00e54b8

Routing.exe
http://www.virustotal.com/it/analisi...1be84f73a61a5e

afinding.exe
http://www.virustotal.com/it/analisi...c33c66a32e6776

Wserving.exe
http://www.virustotal.com/it/analisi...82c0a133ef698d

esendo un rootkit io andrei con i piedi di piombo a urlare "risolto" e farei altre scansioni magari seguendo la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione in un thread che ti apri in questa sezione

[signo3d]

Gente da un po di giorni mi sono accorto che alla chiusura dell'ultima finestra di ie 7 rimasta aperta questa continua a rimanere aperta e il sistema va in loop aprendondomi schede vuote (come quando è a default) in continuazione, senza mai fermarsi a meno di una chiusura brutale dal task.

Non mi fa sempre, mi ha fatto solo 3-4 volte, ma non capisco cosa sia. Vi post il log, sperando di aver capito come postarlo

[Ciopper]

Anch'io come tanti ho preso un o più rootkit.... prevx me li rileva ma non me li rimuove perchè è stato bloccato, adware non parte nemmeno.
McAfee antivirus non li ha rilevati.
Virit non li rileva
Gmer li rileva ma non me li fa rimuovere
windows defender è come non esista.
superantispyware quando li rileva impalla il pc
spybot si impalla

non ho accesso ad internet in nessuno dei siti di rimozione online....

Potete analizzarmi il log di hijackthis?

http://www.fileup.itadib.com/downloa...YH8br5CwHgLY1B

grazie mille!

[wjmat]

x Ciopper
dal log si vedono solo

Codice:

O9 - Extra button: Fiddler - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Programmi\Fiddler\Fiddler.exe" (file missing)
O9 - Extra 'Tools' menuitem: Fiddler - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Programmi\Fiddler\Fiddler.exe" (file missing)

ti consiglio di aprire una nuova discussione e seguire bene la GUIDA alla DISINFEZIONE per INFETTI

[xcdegasp]

Quote:

Originariamente inviato da signo3d

Gente da un po di giorni mi sono accorto che alla chiusura dell'ultima finestra di ie 7 rimasta aperta questa continua a rimanere aperta e il sistema va in loop aprendondomi schede vuote (come quando è a default) in continuazione, senza mai fermarsi a meno di una chiusura brutale dal task.

Non mi fa sempre, mi ha fatto solo 3-4 volte, ma non capisco cosa sia. Vi post il log, sperando di aver capito come postarlo

Fixa:

Codice:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O4 - Global Startup: Collegamento a html2pop3.lnk = C:\Documents and Settings\$igNo3d\Desktop\html2pop3232\html2pop3.exe

L'ip reale di http://serial.alcohol-soft.com/ è 195.137.236.101 quindi non quel fantomatico IP che ne impedisce la verifica della licenza!

[xcdegasp]

Quote:

Originariamente inviato da Ciopper

Anch'io come tanti ho preso un o più rootkit.... prevx me li rileva ma non me li rimuove perchè è stato bloccato, adware non parte nemmeno.
McAfee antivirus non li ha rilevati.
Virit non li rileva
Gmer li rileva ma non me li fa rimuovere
windows defender è come non esista.
superantispyware quando li rileva impalla il pc
spybot si impalla

non ho accesso ad internet in nessuno dei siti di rimozione online....

Potete analizzarmi il log di hijackthis?

http://www.fileup.itadib.com/downloa...YH8br5CwHgLY1B

grazie mille!

Fixa:

Codice:

O4 - HKCU\..\Run: [Microsoft] C:\DOCUME~1\ciopper\IMPOST~1\Temp\taservice.exe
O4 - Startup: NetPerSec.lnk = NetPerSec\NetPerSec\NetPerSec.exe
O9 - Extra button: Fiddler - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Programmi\Fiddler\Fiddler.exe" (file missing)
O9 - Extra 'Tools' menuitem: Fiddler - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Programmi\Fiddler\Fiddler.exe" (file missing)

[signo3d]

Quote:

Originariamente inviato da xcdegasp

Fixa:

Codice:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O4 - Global Startup: Collegamento a html2pop3.lnk = C:\Documents and Settings\$igNo3d\Desktop\html2pop3232\html2pop3.exe

L'ip reale di http://serial.alcohol-soft.com/ è 195.137.236.101 quindi non quel fantomatico IP che ne impedisce la verifica della licenza!

Ok. Ma html2pop3 perchè? Mi serve per la posta, l'ho messo in esecuzione automatica. Cosi non si "elimina"?

Ps. Ma nessuno dei 2 centrano col problema descritto o sbaglio?

[wjmat]

non è roba tua...

[signo3d]

Quote:

Originariamente inviato da wjmat

non è roba tua...

Non ho capito

[xcdegasp]

Quote:

Originariamente inviato da signo3d

Ok. Ma html2pop3 perchè? Mi serve per la posta, l'ho messo in esecuzione automatica. Cosi non si "elimina"?

Ps. Ma nessuno dei 2 centrano col problema descritto o sbaglio?

ok, a questo punto non ti rimane altro che seguire la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
ovviamente apriti un nuovo thread..

[signo3d]

Quote:

Originariamente inviato da xcdegasp

ok, a questo punto non ti rimane altro che seguire la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
ovviamente apriti un nuovo thread..

Ok provvederò grazie mille

[labodexter]

salve qualcuno mi puo controllare il log grazie

[wjmat]

Quote:

Originariamente inviato da labodexter

salve qualcuno mi puo controllare il log grazie

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione e mettila in una sua cartella dedicata, rifai la scansione e ricarica il nuovo log.

[labodexter]

ciao e grazie, ho scaricato la nuova versione, ora posto il log.

[xcdegasp]

Quote:

Originariamente inviato da labodexter

ciao e grazie, ho scaricato la nuova versione, ora posto il log.

sei infetto, poi fai un controllo seguendo la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione (ovviamente apriti un thread per pubblicare i log)


rifai la scansione con HiJackThis optando per "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le voci sugerite e premi tale tasto.

Fixa:

Codice:

F3 - REG:win.ini: load=System
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System

fatto questo vai al link http://secunia.com/software_inspector/ e scansiona online il tuo pc, ti mostrerà un resoconto deglòi eventuali programmi critici da aggiornare assolutamente

[labodexter]

grazie della risposta' ero riuscito a ripulire il pc tramite nod32 e superantispayware e fissando le due voci che mi hai consigliato.Ora faccio un aggiornamento dei programmi come da te consigliato.Il pc ora va bene non mi apre + la cartella all' avvio "system". il tutto è iniziato da una chiave usb che mi dava il file inforun ( mi sembra) come file infetto ma poi nella chiave non c'era nulla.ora sembra tutto ok. grazie

[xcdegasp]

la cosa strana è che nod32 è da un pezzo che la identifica quella minaccia e sembrava comportarsi bene...
magari assicurati anche che sia ben impostato o aggiornato alla versione 2.70.39
la chiavetta va disinfettata e individuato quale pc è il veicolo di infezione...

[GiacomoD]

Quote:

Originariamente inviato da Nuz

Fai analizzare su www.virustotal.com il file:

C:\WINDOWS\system32\spnsrvnt.exe

Sono in po' in ritardo con la risposta ...

Il mio problema è che mi è rimasto questo servizio che non conosco:

Codice:

O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\WINDOWS\system32\spnsrvnt.exe

Ho fatto la scansione di spnsrvnt.exe con VirusTotal, ma non è infetto.

Grazie!

EDIT:

Risolto ... è un servizio necessario al funzionamento di un altro programma che ho sul PC.
Ci ho messo un bel po' a capire cos'era, ma ora è tutto a posto!

Grazie a tutti!

[milan63]

I dealer non mi lasciano malgrado ho seguito alcuni consigli e tolto ciò che mi era stato consigliato,cambiato l'antivirus c'è ancora dell'altro da levare chi ha occhio può darmi un occhiata grazie.