HiJackThis - Analisi Log - leggere Regole di Sezione

[Dark_Programmer]

Ciao


Fiax queste voci:

Quote:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_06\bin\jusched.exe"
O20 - Winlogon Notify: ljJAPIxX - ljJAPIxX.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

[mattsara]

Ciao,

Volevo chiederti se potevo fixare anche le voci di kasper antivirus, in teoria non ce l'ho più, dopo averlo rimosso con fatica. Poi volevo domandare, ma con tutte quelle voci di adobe non si pùò fare niente.

[wjmat]

Quote:

Originariamente inviato da mattsara

Ciao,

Volevo chiederti se potevo fixare anche le voci di kasper antivirus, in teoria non ce l'ho più, dopo averlo rimosso con fatica. Poi volevo domandare, ma con tutte quelle voci di adobe non si pùò fare niente.

adobe acrobat anche a me aggiunge mille voci ma meglio tenersele...
per kaspersky hai usato l'apposito tool per le rimozioni difficili?
quelle voci 04 con errore sono riferite, sembra, ad nlite può essere?

[mattsara]

Ho avuto molte difficoltà a rimuoverlo, alla fine ho cancellato la cartella perchè nessun tool funzionava.
Per nlite non ho capito a cosa ti riferisci

[Gablogan]

Ragazzi aiutatemi per favore ,stavo scaricando un file da un programma tipo rapidshare(netfolder),quando internet si è bloccato di colpo,adesso va tutto lento,internet e tutto il pc in generale,nulla barra delle applicazioni in basso a destra dove c'è l'icona del modem adsl compare (connessione adsl-nessun hardware)e va tutto a scatti, vi posto i log di tutti i programmi coi quali ho fatto la scansione

avs
avira.txt

a-squared
a-squared Free.txt

hijackthis
hijackthis.log

prevxcsi
non trova nulla,0 file infetti

gmer
gmer.log

[Dark_Programmer]

ciao

da fixare:

Quote:

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

Ci sono molte voci sospette:

Quote:

O4 - HKLM\..\Run: [ThrustTSR] C:\Programmi\Thrustmaster\Thrustmapper\TMTMTSR.exe

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programmi\Orbitdownloader\orbitcth.dll

questo potrebbe essere legittimo:

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

se nn le hai installate tu eliminale --> vedi questa: C:\Programmi\Thrustmaster\Thrustmapper\TMTMTSR.exe

[wjmat]

Quote:

Originariamente inviato da Gablogan

Ragazzi aiutatemi per favore ,stavo scaricando un file da un programma tipo rapidshare(netfolder),quando internet
si è bloccato di colpo,adesso va tutto lento,internet e tutto il pc in generale,nulla barra delle applicazioni in basso a destra dove c'è l'icona del modem adsl compare (connessione adsl-nessun hardware)e va tutto a scatti, vi posto i log di tutti i programmi coi quali ho fatto la scansione

avs
avira.txt

a-squared
a-squared Free.txt

hijackthis
hijackthis.log

prevxcsi
non trova nulla,0 file infetti

gmer
gmer.log

Ciao, non sei riuscito ad aprire una discussione tutta per te?
Aprine una e segui bene la guida alla disinfezione per infetti ed esegui tutte le scansioni nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di A-squared scansione deep aggiornato ad oggi -> già fatta
2. log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
3. log di Dr.Web CureIT scaricato ed aggiornato ad oggi
4. log di ESET SysInspector
5. log di HiJackThis
6. log di Gmer
7. immagine della schermata di PrevxCSI in caso di rilevazioni

tranne a-squared quelle elencate vanno fatte o rifatte tutte in ordine

[wjmat]

Quote:

Originariamente inviato da mattsara

Ho avuto molte difficoltà a rimuoverlo, alla fine ho cancellato la cartella perchè nessun tool funzionava.
Per nlite non ho capito a cosa ti riferisci

se hai il pacchetto d'installazione reinstallalo e poi vediamo come rimuoverlo perchè così avresti troppi pezzi sparsi in giro...
per nlite intendo queste voci

Codice:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

[pinki]

Salve a tutti...rigrazio in anticipo per le vostre risposte (spero ce ne siano ).
Allora ieri mentre navigavo su internet ho scoperto ke era cambiata la pagina iniziale di internet (sito porno) e che andando su proprieta internet non avevo la possibilità di cambiare e reimpostare la mia pagina iniziale...cercando su internet ho qualche soluzione ne ho trovata una in cui spiegava come poter risolvere attraverso l'editor del registro. Stamattina quando ho acceso il pc e mi è apparsa la segnalazione errori di microsoft ke miavvertiva ke il sistema era stato interrotto in seguito a un errore grave, inoltre mi è apparsa l'icona della protezione di windows ke mi dice ke il firewall è disattivato (ma già da parekkio ho il firewall di windows disattivato).
Potreste controllare questo log di hijackthis, per favore?

[wjmat]

Quote:

Originariamente inviato da pinki

Salve a tutti...rigrazio in anticipo per le vostre risposte (spero ce ne siano ).
Allora ieri mentre navigavo su internet ho scoperto ke era cambiata la pagina iniziale di internet (sito porno) e che andando su proprieta internet non avevo la possibilità di cambiare e reimpostare la mia pagina iniziale...cercando su internet ho qualche soluzione ne ho trovata una in cui spiegava come poter risolvere attraverso l'editor del registro. Stamattina quando ho acceso il pc e mi è apparsa la segnalazione errori di microsoft ke miavvertiva ke il sistema era stato interrotto in seguito a un errore grave, inoltre mi è apparsa l'icona della protezione di windows ke mi dice ke il firewall è disattivato (ma già da parekkio ho il firewall di windows disattivato).
Potreste controllare questo log di hijackthis, per favore?

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

Codice:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ecstasyporn.net
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programmi\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - Startup: Piylzq2tOn.lnk = C:\Documents and Settings\Simo!\Impostazioni locali\Temp\wdmusoqo.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

ce ne sarebbero anche parecchie relative ad Hp...iniziamo con queste....
Al seguente riavvio cerca questo file ed eliminalo

Codice:

C:\Documents and Settings\Simo!\Impostazioni locali\Temp\wdmusoqo.exe

se non lo trovi attiva la visualizzazione file nascosti
Dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc e aggiornare programmi vulnerabili obsoleti.(java e adobe per esempio)

[pinki]

allora ho seguito tutti i passaggi, questo è il nuovo log di hijackthis

[wjmat]

Quote:

Originariamente inviato da pinki

allora ho seguito tutti i passaggi, questo è il nuovo log di hijackthis

Scarica Avenger da qui
Lancialo -> Clicca Ok -> Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Codice:

Files to delete:
C:\Documents and Settings\Simo!\Impostazioni locali\Temp\ztludkgt.exe

ad-aware fallo sparire ed installa a-squared
fai anche pulizia dei file inutili come indicato nel trattamento

[pinki]

fatto!!!ma il log di Avenger non me lo fa aprire, mi chiede la password che devo fare?...poi ricontrollando la cartella temp ho trovato un altro file come quelli di prima, il nome è vnkjkebc.exe devo eliminare anke questo?
Grazie mille per la disponibilità

[wjmat]

Quote:

Originariamente inviato da pinki

fatto!!!ma il log di Avenger non me lo fa aprire, mi chiede la password che devo fare?...poi ricontrollando la cartella temp ho trovato un altro file come quelli di prima, il nome è vnkjkebc.exe devo eliminare anke questo?
Grazie mille per la disponibilità

fai pulizia con atfcleaner che ripulisce anche la cartella temp
il log di avenger dovresti trovarlo sotto C:\avenger.txt ma strano che chieda la password...

[Gablogan]

Quote:

Originariamente inviato da wjmat

Ciao, non sei riuscito ad aprire una discussione tutta per te?
Aprine una e segui bene la guida alla disinfezione per infetti ed esegui tutte le scansioni nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di A-squared scansione deep aggiornato ad oggi -> già fatta
2. log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
3. log di Dr.Web CureIT scaricato ed aggiornato ad oggi
4. log di ESET SysInspector
5. log di HiJackThis
6. log di Gmer
7. immagine della schermata di PrevxCSI in caso di rilevazioni

tranne a-squared quelle elencate vanno fatte o rifatte tutte in ordine

fatto tutto
Kaspersky Virus Removal Tool
ci ha impiegato quasi 5 ore e non mi ha trovato nulla

Dr.Web CureIT
DrWeb.csv

ESET SysInspector
SysInspector.xml

HiJackThis
hijackthis.log

Gmer
gmer.log

PrevxCSI
niente neanche lui

Non mi sembra che nessuno abbia trovato nulla di importante,intanto ho il pc trementamente scattoso in ogni operazione,il mouse scatta,l'audio scatta e gracchia e internet ogni tanto si collega e ogni tanto no,il modem si va spegnendo da solo,che può essere successo?Mi consigli di aprire un topic apposito? HELP!

[pinki]

Quote:

Originariamente inviato da wjmat

fai pulizia con atfcleaner che ripulisce anche la cartella temp
il log di avenger dovresti trovarlo sotto C:\avenger.txt ma strano che chieda la password...

avevi ragione...guardavo da un'altra parte ... l'ho trovato e te lo posto

[wjmat]

Quote:

Originariamente inviato da Gablogan

Non mi sembra che nessuno abbia trovato nulla di importante,intanto ho il pc trementamente scattoso in ogni operazione,il mouse scatta,l'audio scatta e gracchia e internet ogni tanto si collega e ogni tanto no,il modem si va spegnendo da solo,che può essere successo?Mi consigli di aprire un topic apposito? HELP!

guarda qui che hai...

Codice:

---- Disk sectors - GMER 1.0.14 ----

Disk            \Device\Harddisk0\DR0  sector 61: malicious code @ sector 0xe4f8121 size 0x1ca
Disk            \Device\Harddisk0\DR0  sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

passa in questa discussione http://www.hwupgrade.it/forum/showthread.php?t=1715546

[Gablogan]

Quote:

Originariamente inviato da wjmat

guarda qui che hai...
passa in questa discussione http://www.hwupgrade.it/forum/showthread.php?t=1715546

grazie mille,ho ripostato li,speriamo in una soluzione

[steo31]

Ciao potete gaurdare questo log!!

Grazie mille

[wjmat]

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log