HiJackThis - Analisi Log - leggere Regole di Sezione

[xcdegasp]

@ Devesh:
log rimosso, leggere le Regole di Sezione

[Scaurus81]

Ciao a tutti ho appena fatto un'analisi con HijachThis e ho analizzato il relativo log sul sito
http://hijackthis.de/index.php?langselect=english


L'analisi attraverso il sito mi ha rilevato questi elementi che potrebbero essere pericolosi :

- O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1

- O17 - HKLM\System\CCS\Services\Tcpip\..\{5ABC3 B6D-9A26-4294-86EB-7E6D7CA9103B}: NameServer = 194.20.8.1,213.145.3.1

- Attraverso una ricerca su intenet ho visto che minibug.exe dovrebbe essere eliminato, ma non ne ho trovato traccia sul computer neanche tra i file nascosti.
Come antivirus ho KIS 2008 e come antispyware uso a-squared.

- Nel secondo punto nel fare l'analisi mi esce un punto di domanda con scritto di verificare l'attendibilità dell'indirizzo IP. Ma come fare ?

Grazie in anticipo a chiunque può darmi consigli

[wjmat]

Quote:

Originariamente inviato da Scaurus81

Ciao a tutti ho appena fatto un'analisi con HijachThis e ho analizzato il relativo log sul sito
http://hijackthis.de/index.php?langselect=english


L'analisi attraverso il sito mi ha rilevato questi elementi che potrebbero essere pericolosi :

- O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1

- O17 - HKLM\System\CCS\Services\Tcpip\..\{5ABC3 B6D-9A26-4294-86EB-7E6D7CA9103B}: NameServer = 194.20.8.1,213.145.3.1

- Attraverso una ricerca su intenet ho visto che minibug.exe dovrebbe essere eliminato, ma non ne ho trovato traccia sul computer neanche tra i file nascosti.
Come antivirus ho KIS 2008 e come antispyware uso a-squared.

- Nel secondo punto nel fare l'analisi mi esce un punto di domanda con scritto di verificare l'attendibilità dell'indirizzo IP. Ma come fare ?

Grazie in anticipo a chiunque può darmi consigli

ciao
caricaci i log secondo le modalità che lo vediamo anche noi

[Scaurus81]

Quote:

Originariamente inviato da wjmat

ciao
caricaci i log secondo le modalità che lo vediamo anche noi

Ok, fatto.

Ho incollato il log a quasta pagina :

http://www.fileqube.com/shared/YMSzqnNy69632

[Erised]

ECCO IL MIO LOG
Mi si chiudono da sole le finestre di programmi e giochi

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.40.47, on 30/07/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
Boot mode: Normal

log rimosso, leggere le Regole di Sezione

--
End of file - 14613 bytes

[wjmat]

Ciao,
La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log secondo le modalità

[Erised]

Nulla non riesco a capire come mettere giusti i log..

[giofio]

Che fai lo prendi in giro? Ti ha detto di postare il log seguendo le regole e tu lo riposti in questo modo?

[Gle89]

@ Scaurus81

minibug.exe è una parte del Weatherbug, tempo che avvisa il programma. Inoltre un programma di pubblicità. Questo process riflette le vostre abitudini di ricerca a scansione e distribuisce i dati di nuovo ai server dell'autore per l'analisi. Questo processo è un rischio per la sicurezza e dovrebbe essere rimosso dal vostro sistema.

invece 194.20.8.1:53 => urano.inet.it e 213.92.5.54:53 => dns.inet.it sono 2 server DNS leciti quindi vanno bene

ricapitolando fixa disabilitando prima il ripristinio di configurazione di sistema queste voci:

Quote:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [DetectDatacard] C:\Windows\System32\detectcard\DetectDatacard.exe
O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - S-1-5-21-1822805081-3323906787-3437555322-1002 Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'lorenzo3')
O4 - S-1-5-21-1822805081-3323906787-3437555322-1002 User Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'lorenzo3')

Rimuovi dal pannello di controllo (se esiste) il programma MINIBUG

poi devi aggiornare Acrobat Reader alla versione 8.1.2 oppure, molto meglio se lo sostituisci con il più LEGGERO E SICURO Foxit Reader (gratuito)

Alla fine fai un DEEP SCAN con A-Squared AGGIORNATO e riavvia il pc e riposta un nuovo log di HJT.

[Gle89]

Quote:

Originariamente inviato da Erised

Nulla non riesco a capire come mettere giusti i log..

E' molto facile guarda: i log si possono allegarli utilizzando la comoda funzione "Gestisci Allegati" (pulsante visibile nella parte in basso della finestra di quando scrivi un messaggio sul forum) o attraverso la funzione CODE (individuabile tramite un "#" nell'area di scrittura) quì di seguito rappresentata con un immagine

lo stesso risultato è ottenibile scvrivendo manualmente il tag che dovranno racchiudere il testo interessato, esempio nell'immagine seguente


Facile no?

EDIT IMPORTANTE: ma tu avevi già aperto una discussione pochi giorni fa a questo link chiamato finestre che si chiudono da sole e alcuni utenti ti stanno dando una mano li, perchè postare qui un altro log di hjt quando hai un thread già aperto? stai attento, sei già stato ripreso già una volta dal mod!

Ti aspettiamo!

[xcdegasp]

@ Erised:
prosegui nel tuo thread questo sarebbe solo per chi volesse il controllo del solo esemplice log di hijackthis, quindi non è per il tuo caso

[Scaurus81]

Quote:

Originariamente inviato da Gle89

@ Scaurus81

minibug.exe è una parte del Weatherbug, tempo che avvisa il programma. Inoltre un programma di pubblicità. Questo process riflette le vostre abitudini di ricerca a scansione e distribuisce i dati di nuovo ai server dell'autore per l'analisi. Questo processo è un rischio per la sicurezza e dovrebbe essere rimosso dal vostro sistema.

invece 194.20.8.1:53 => urano.inet.it e 213.92.5.54:53 => dns.inet.it sono 2 server DNS leciti quindi vanno bene

ricapitolando fixa disabilitando prima il ripristinio di configurazione di sistema queste voci:


Rimuovi dal pannello di controllo (se esiste) il programma MINIBUG

poi devi aggiornare Acrobat Reader alla versione 8.1.2 oppure, molto meglio se lo sostituisci con il più LEGGERO E SICURO Foxit Reader (gratuito)

Alla fine fai un DEEP SCAN con A-Squared AGGIORNATO e riavvia il pc e riposta un nuovo log di HJT.

Molte grazie per la risposta

Allora, Minibug mi sono ricordato adesso che l'avevo già disinstallato un pò di tempo di fà. Programma per il tempo che si era installato insieme ad un videogioco preso in edicola.
Questa era solo una traccia rimasta nel registro ?

Grazie anche per la conferma degli indirizzi IP.

Seguendo il tuo consiglio ho installato Foxit Reader e ho tolto Adobe Reader, e in effetti Foxit è molto più leggero e veloce a caricare.

Mentre riguardo al log, ho fixato e seguito le tue indicazioni per tutte le voci tranne 3 elementi.

Se ho ben capito facendo il fix questi programmi non partono in automatico all'avvio del computer.

Riguardo a queste 3 voci

O4 - HKLM\..\Run: [Skytel] Skytel.exe

Realteck Voice Manager, cioè il programma che fà comparire il simbolo dell'autoparlante in basso a destra

O4 - HKLM\..\Run: [DetectDatacard] C:\Windows\System32\detectcard\DetectDatacard.exe

Ricoscimento Pc-Card della ONDA

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

HD Audio Control Panel Realteck - Scheda audio ?

Scusa la mia ignoranza, ma non è che facendo il fix poi non mi parte la scheda audio e il computer non mi riconosce più la PC-CARD?

Il mio livello di conoscenza in campo informatico è molto bassa e quindi stò cercando di ampliarla.

[xcdegasp]

@ Scaurus81:
quelle tre voce se vengono fixate non fanno apparire ke icone affianco all'orologio risparmiando risorse ma non capita nessun danno
i file continueranno a esserci e il servizio a loro associato rimarrà sempre nel pc, solo viene tolto dallo startup

[Scaurus81]

Quote:

Originariamente inviato da xcdegasp

@ Scaurus81:
quelle tre voce se vengono fixate non fanno apparire ke icone affianco all'orologio risparmiando risorse ma non capita nessun danno
i file continueranno a esserci e il servizio a loro associato rimarrà sempre nel pc, solo viene tolto dallo startup

Ah, OK, ho capito , allora adesso proverò a fixare anche queste ultime 3 voci.

Thanks

[xcdegasp]

di nulla

[magoos]

Ciao a tutti e grazie in anticipo, vi posto il log di Hijack dopo il quale ho alzato le mani, prima di cio' ho girato AVG Adaware, Malwarebytes' Anti-Malware Free, A-squared Free Dr.Web CureIt, ognuno di questi a tolto qualcosa (problema originario il pc reboottava di continuo) problemi residui un file non trovato in avvio (igmivdmr.dll malware ?) e mouse (tipo touchpad il pc e' un portatile) inservibile, questi problemi non ci sono in modalita' povvisoria, il log e' stato fatto in modalita' provvisoria

[Gle89]

Quote:

Originariamente inviato da magoos

Ciao a tutti e grazie in anticipo, vi posto il log di Hijack dopo il quale ho alzato le mani, prima di cio' ho girato AVG Adaware, Malwarebytes' Anti-Malware Free, A-squared Free Dr.Web CureIt, ognuno di questi a tolto qualcosa (problema originario il pc reboottava di continuo) problemi residui un file non trovato in avvio (igmivdmr.dll malware ?) e mouse (tipo touchpad il pc e' un portatile) inservibile, questi problemi non ci sono in modalita' povvisoria, il log e' stato fatto in modalita' provvisoria

Prima di tutto: Disattivate il ripristino di sistema fino a che non sarete stati completamente disinfestati:

Fare clic su Start-> Programmi->Accessori->Esplora risorse.

Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.

Selezionare la scheda "Ripristino configurazione di sistema".

Selezionare la voce "Disattiva ripristino configurazione di sistema"

Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.


Ora fixate le seguenti voci con HJT entrando dalla modalità provvisoria:

Quote:

O2 - BHO: (no name) - {139EAF60-42CC-4DC6-9E4C-763074CF01E3} - C:\WINDOWS\system32\wvUnMfee.dll (file missing)
O2 - BHO: (no name) - {8AD7E39C-26BC-48D6-BEB6-75181A026633} - C:\WINDOWS\system32\wvULbArP.dll (file missing)
O2 - BHO: DVA Storm - {B2C9246A-B8E3-4E21-B777-600E9BE4F23E} - C:\WINDOWS\lgmxvpatwfq.dll (file missing)
O3 - Toolbar: qtvglped - {0A1A0015-CF20-4AA1-B7BB-A33B81F8E478} - C:\WINDOWS\qtvglped.dll (file missing)
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe
O4 - HKLM\..\Run: [eff5e918] rundll32.exe "C:\WINDOWS\system32\igmivdmr.dll",b
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - Startup: .protected
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: .protected
O20 - Winlogon Notify: ljJYQJcD - ljJYQJcD.dll (file missing)
O20 - Winlogon Notify: pmnmjKbA - pmnmjKbA.dll (file missing)

adesso ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti invece TOGLI il segno di spunta anche a Nascondi i file protetti e di sistema (consigliato) e cerca e elimina questi(se ci sono):
C:\WINDOWS\system32\wvUnMfee.dll
C:\WINDOWS\system32\wvULbArP.dll
C:\WINDOWS\lgmxvpatwfq.dll
C:\WINDOWS\qtvglped.dll
C:\AUTORUN.INF <---questo cercalo anche nelle tue penne usb se le hai usate di recente
RavMonE.exe
C:\WINDOWS\system32\igmivdmr.dll


Disinstalla TUTTE le toolbar che hai tramite il pannello di controllo - installazioni/applicazioni.


Ora disinstalla AVG 7 e installa per favore ANTIVIR PERSONAL EDITION FREE: clicca qui per il download
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir pubblicata da Juninho, ed altre cose importanti ed interessanti in relazione ad Antivir.

Inoltre devi aggiornare Adobe Reader all ultima versione 8.1.2 oppure ti consiglio vivamente di sostituirlo con il più LEGGERO, SICURO e gratis FoxitReader.

Devi anche aggiornare il tuo windows con il Service Pack 3 e instalalre un firewall il migliore free per xp è Online Armor. Scaricalo cliccalndo qui. La guida per la configurazione la trovi cliccando qui.

Dopo che hai fatto queste cose riavvia il pc e rifai un nuovo log di HJT e ri-allegalo e vediamo a che punto stiamo

[Giu♥]

salve a tutti volevo chiedere se cortesemente qualcuno può guardare un attimino il mio log... dovrebbe essere tutto apposto ma mi piacerebbe avere un vosto parere =) ad esempio se ci sono programmi inutili con l'avvio automatico e simili
allego il log
grazie mille a tutti in anticipo =)

[giofio]

@ magoos: Ci sarebbe da eliminare anche:
C:\WINDOWS\RavMonE.exe
C:\WINDOWS\system32\igmivdmr.dll

[fener2008]

ciao a tutti , potreste darmi un occhiata , visto che ho fatto molte operazioni con software