HiJackThis - Analisi Log - leggere Regole di Sezione

[Mazda RX8]

Quote:

Originariamente inviato da lo_straniero

posto da un pc tedesco



vi ringrazio in anticipo

che te ne fai di un log di un tedesco?


cmq c'è da fixare:

O4 - HKLM\..\Run: [Itch ford four knob] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\third lies itch ford\poll audio.exe
O4 - HKLM\..\Run: [Windows UDP Control Services] wksvcsc.exe
äußerst schädlich Nicht bekanntes Programm.
O4 - HKLM\..\RunOnce: [Execute] C:\WINDOWS\System32\Tools\DelFolders.exe
O4 - HKCU\..\Run: [DentDash] C:\DOKUME~1\ADMINI~1\ANWEND~1\COALSK~1\pop eggs idol.exe
O4 - Global Startup: Reboot.exe


quelli segnati in grassetto hanno nomi pazzeschi...

[lo_straniero]

Quote:

Originariamente inviato da Mazda RX8

che te ne fai di un log di un tedesco?


cmq c'è da fixare:

O4 - HKLM\..\Run: [Itch ford four knob] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\third lies itch ford\poll audio.exe
O4 - HKLM\..\Run: [Windows UDP Control Services] wksvcsc.exe
äußerst schädlich Nicht bekanntes Programm.
O4 - HKLM\..\RunOnce: [Execute] C:\WINDOWS\System32\Tools\DelFolders.exe
O4 - HKCU\..\Run: [DentDash] C:\DOKUME~1\ADMINI~1\ANWEND~1\COALSK~1\pop eggs idol.exe
O4 - Global Startup: Reboot.exe


quelli segnati in grassetto hanno nomi pazzeschi...

sono in germania da una mia amica

grazie

[lo_straniero]

ragazzi gli ho aggiornato il pc al xp sp3 ..messo mozzila avira ad-ware 2008 fatto tutte le scansione e aggiornamenti ...ma vedo che ancora si apre la pagina di ie da sola con delle pubblicitä

hijackthis non puo risolvere questo problema?


cmq un grazie anche dalla parte della mia amica tetesca

[Mazda RX8]

Quote:

Originariamente inviato da lo_straniero

ragazzi gli ho aggiornato il pc al xp sp3 ..messo mozzila avira ad-ware 2008 fatto tutte le scansione e aggiornamenti ...ma vedo che ancora si apre la pagina di ie da sola con delle pubblicitä

hijackthis non puo risolvere questo problema?


cmq un grazie anche dalla parte della mia amica tetesca

che bello l'accento ä...

[wjmat]

Quote:

Originariamente inviato da lo_straniero

ragazzi gli ho aggiornato il pc al xp sp3 ..messo mozzila avira ad-ware 2008 fatto tutte le scansione e aggiornamenti ...ma vedo che ancora si apre la pagina di ie da sola con delle pubblicitä

hijackthis non puo risolvere questo problema?


cmq un grazie anche dalla parte della mia amica tetesca

sp3 era evitabile per il momento...
ad-aware fallo sparire e metti a-squared
Poi ti apri una discussione, indichi che arrivi da qui, spiegui brevemente il problema e poi leggi le regole di sezione e segui la guida alla disinfezione per infetti ed esegui tutte le scansioni nell'ordine indicato.

[benq75]

cari amici mi scuso se infrango qualche regola ma sono al limite del collasso

il pc del mio capo è posseduto ....ho seguito i consigli trovati qui in questo forum, ma adesso non so quali file fixare

Vi prego aiutatemi
grazie

[wjmat]

Quote:

Originariamente inviato da benq75

cari amici mi scuso se infrango qualche regola ma sono al limite del collasso

il pc del mio capo è posseduto ....ho seguito i consigli trovati qui in questo forum, ma adesso non so quali file fixare

Vi prego aiutatemi
grazie

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia e nuovo log

le voci O4 relative a [SpybotDeleting...] lasciale e vediamo se spariscono al prossimo riavvio, sembra che spybot non sia riuscito in alcune eliminazioni

Codice:

O2 - BHO: (no name) - {4F26BEDB-D89B-44A1-948B-5D523292DADF} - C:\WINDOWS\system32\jkkHYOGy.dll
O2 - BHO: (no name) - {52BA5BFB-FC9E-4756-9A3E-BEF06F2023F8} - C:\WINDOWS\system32\urqppPih.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EverioService] "C:\Programmi\CyberLink\PCM4Everio\EverioService.exe"
O4 - HKLM\..\Run: [9c96124e] rundll32.exe "C:\WINDOWS\system32\mhvyieht.dll",b
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA3846] command /c del "C:\WINDOWS\system32\urqppPih.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9437] cmd /c del "C:\WINDOWS\system32\urqppPih.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA950] command /c del "C:\WINDOWS\vltdfabw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8652] cmd /c del "C:\WINDOWS\vltdfabw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8449] command /c del "C:\WINDOWS\vregfwlx.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5937] cmd /c del "C:\WINDOWS\vregfwlx.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5302] command /c del "C:\WINDOWS\system32\urqppPih.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7912] cmd /c del "C:\WINDOWS\system32\urqppPih.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2856] command /c del "C:\WINDOWS\vltdfabw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC495] cmd /c del "C:\WINDOWS\vltdfabw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1184] command /c del "C:\WINDOWS\vregfwlx.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7430] cmd /c del "C:\WINDOWS\vregfwlx.dll_old"
O4 - HKCU\..\Run: [kjzkcz] c:\documents and settings\salvo\impostazioni locali\dati applicazioni\kjzkcz.exe kjzkcz
O4 - HKCU\..\RunOnce: [SpybotDeletingB9687] command /c del "C:\WINDOWS\system32\urqppPih.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2198] cmd /c del "C:\WINDOWS\system32\urqppPih.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB79] command /c del "C:\WINDOWS\vltdfabw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9018] cmd /c del "C:\WINDOWS\vltdfabw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6023] command /c del "C:\WINDOWS\vregfwlx.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2399] cmd /c del "C:\WINDOWS\vregfwlx.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9552] command /c del "C:\WINDOWS\system32\urqppPih.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1499] cmd /c del "C:\WINDOWS\system32\urqppPih.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4119] command /c del "C:\WINDOWS\vltdfabw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4361] cmd /c del "C:\WINDOWS\vltdfabw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6704] command /c del "C:\WINDOWS\vregfwlx.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5518] cmd /c del "C:\WINDOWS\vregfwlx.dll_old"
O15 - Trusted Zone: www.47450.com
O20 - Winlogon Notify: jkkHYOGy - C:\WINDOWS\SYSTEM32\jkkHYOGy.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O21 - SSODL: vregfwlx - {CE9F65D9-ED7C-47C1-8F09-710309A47C42} - C:\WINDOWS\vregfwlx.dll (file missing)
O21 - SSODL: vltdfabw - {C19116A4-107F-40CD-AFE5-2E7295447F24} - C:\WINDOWS\vltdfabw.dll (file missing)
O21 - SSODL: ChkSetup - {76632ca3-7b3e-40f2-8b88-5ab0113b4846} - C:\WINDOWS\Resources\ChkSetup.dll

Poi apriti subito una discussione, leggi le regole di sezione e comincia seguire la guida che c'è in rilievo.

[lo_straniero]

Quote:

Originariamente inviato da wjmat

sp3 era evitabile per il momento...
ad-aware fallo sparire e metti a-squared
Poi ti apri una discussione, indichi che arrivi da qui, spiegui brevemente il problema e poi leggi le regole di sezione e segui la guida alla disinfezione per infetti ed esegui tutte le scansioni nell'ordine indicato.

ok grazie 1000

[GT82]

Ho avuto un problema relativo a Winsock e ho letto che possono c'entrare trojan e/o spyware

adesso sembra tutto ok ma se qualcuno mi da un'occhiata al log gliene sarei gratissimo

grazie

http://www.fileup.itadib.com/downloa...obNcEQ48zaXXHZ

[wjmat]

Quote:

Originariamente inviato da GT82

Ho avuto un problema relativo a Winsock e ho letto che possono c'entrare trojan e/o spyware

adesso sembra tutto ok ma se qualcuno mi da un'occhiata al log gliene sarei gratissimo

grazie

http://www.fileup.itadib.com/downloa...obNcEQ48zaXXHZ

a me sembra tutto ok

[AxlLiam]

Logfile of HijackThis v1.98.2
Scan saved at 14.42.00, on 16/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
log rimosso, leggere le Regole di Sezione

[wjmat]

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log

Carica il log con la funzione gestisci allegati

[uniposca]

credo di essere stato beccato da gromozon ma non riesco a trovare nè l'utente 'nascosto' ne il servizio ad esso associato che da quanto avevo capito erano le uniche 'certezze' per quel tipo di infezione. Ho provato i vari tools di rimozione automatica (prevx e symantec) e NON rilevano nulla, ma ccleaner (rinominato) continua a NON funzionare cosi come VIRIT che non riesco ad installare.

[wjmat]

Quote:

Originariamente inviato da uniposca

credo di essere stato beccato da gromozon ma non riesco a trovare nè l'utente 'nascosto' ne il servizio ad esso associato che da quanto avevo capito erano le uniche 'certezze' per quel tipo di infezione. Ho provato i vari tools di rimozione automatica (prevx e symantec) e NON rilevano nulla, ma ccleaner (rinominato) continua a NON funzionare cosi come VIRIT che non riesco ad installare.

da dove deriva la tua diagnosi?
hjt non dovrebbe nemmeno funzionare, sei collegato qui col pc incriminato?

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc → Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VC7Player] C:\Programmi\HHVcdV7Sys\VC7Play.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programmi\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [lczaka.exe] C:\DOCUME~1\simona\IMPOST~1\Temp\lczaka.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LeechGet] "C:\Programmi\LeechGet 2007\LeechGet.exe" -intray
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

Guarda qui al punto 3,5,7
Avast fa assolutamente cambiato, java aggiornato, e vediamo se pulendo i temporanei sparisce
C:\DOCUME~1\simona\IMPOST~1\Temp\lczaka.exe
altrimenti lo spazziamo manualmente

[uniposca]

Quote:

Originariamente inviato da wjmat

da dove deriva la tua diagnosi?
hjt non dovrebbe nemmeno funzionare, sei collegato qui col pc incriminato?

in effetti non sono sicuro, il discorso è che non parte CCLEANER e i browser (sia MSIE che mozilla) si chiudono non appena digito alcuni indirizzi o ricerche (tipo vir.it , ccleaner , hwupgrade/forum) non riesco ad installare vir.it il pc ha uno startup intorno ai 5 minuti e dal poco che sono riuscito a leggere mi sembrava quel tipo di infezione.. Sarei naturalmente felice se non si tratta di ciò .. adesso sto provvedendo ad eseguire le operazioni che mi hai descritto, in remoto, mi stampo la pagina della disinfezione sperando di riuscire ad scaricare ed installare i prg di cui ai punti 3-5-7 ..
il guaio è che da casa non riesco ad accedere al forum..

[xcdegasp]

Quote:

Originariamente inviato da uniposca

in effetti non sono sicuro, il discorso è che non parte CCLEANER e i browser (sia MSIE che mozilla) si chiudono non appena digito alcuni indirizzi o ricerche (tipo vir.it , ccleaner , hwupgrade/forum) non riesco ad installare vir.it il pc ha uno startup intorno ai 5 minuti e dal poco che sono riuscito a leggere mi sembrava quel tipo di infezione.. Sarei naturalmente felice se non si tratta di ciò .. adesso sto provvedendo ad eseguire le operazioni che mi hai descritto, in remoto, mi stampo la pagina della disinfezione sperando di riuscire ad scaricare ed installare i prg di cui ai punti 3-5-7 ..
il guaio è che da casa non riesco ad accedere al forum..

sono chiari sintomi d'infezione purtroppo il solo log di hijackthis non consente di fare miracoli pertanto ti consiglio di seguire la semplice procedura descritta in Guida alla Disinfezione per Infetti e così potremmo capire meglio di cosa sei infetto, ovviamente non continueremo in questo

[uniposca]

visto che non cè verso di accedere al forum.. cè qualche metodo alternativo per accedere alle stesse risorse?? il guaio è che nelle guide sono riportati link che se stampo la guida logicamente non si 'evidenziano' .. avevo pensato tipo ad un salvataggio della pagina web da inviarmi via mail al pc di casa.. si accettano consigli.. intanto allego il log di hjt che esce dopo le modifiche segnalatemi in precedenza..

[wjmat]

Quote:

Originariamente inviato da uniposca

visto che non cè verso di accedere al forum.. cè qualche metodo alternativo per accedere alle stesse risorse?? il guaio è che nelle guide sono riportati link che se stampo la guida logicamente non si 'evidenziano' .. avevo pensato tipo ad un salvataggio della pagina web da inviarmi via mail al pc di casa.. si accettano consigli.. intanto allego il log di hjt che esce dopo le modifiche segnalatemi in precedenza..

vai sui link della guida, click dx e copia indirizzo e te li incolli da qualche parte
l'unico file strano è sparito dall'autorun
se togli spyware doctor il pc sarà sicuramente un pò più veloce...

[uniposca]

Quote:

Originariamente inviato da wjmat

vai sui link della guida, click dx e copia indirizzo e te li incolli da qualche parte
l'unico file strano è sparito dall'autorun
se togli spyware doctor il pc sarà sicuramente un pò più veloce...

in effetti l'unica problematica visibile che è comparsa al riavvio è stato che teamviewer non effettua piu l'accesso in automatico, da errore, credo che piu tardi provero a reistallarlo... e poi sicuramente daro una bella ripulita al pc di mia moglie.. (stavo valutando la possibilita di migrare a linux che sembra sia meno soggetto a problematiche di questo tipo.. ) vista la disponibilità immediata posto una domanda da vero niubbo.. ma tutti quei processi svchost.exe che cosa sono?????

[wjmat]

Quote:

Originariamente inviato da uniposca

in effetti l'unica problematica visibile che è comparsa al riavvio è stato che teamviewer non effettua piu l'accesso in automatico, da errore, credo che piu tardi provero a reistallarlo... e poi sicuramente daro una bella ripulita al pc di mia moglie.. (stavo valutando la possibilita di migrare a linux che sembra sia meno soggetto a problematiche di questo tipo.. ) vista la disponibilità immediata posto una domanda da vero niubbo.. ma tutti quei processi svchost.exe che cosa sono?????

se leciti, sono i servizi caricati da windows

apriti una discussione, segnala brevemente il problema e comincia a seguire la guida che poi ne veniamo a capo
ciao