HiJackThis - Analisi Log - leggere Regole di Sezione

[Giu♥]

salve a tutti ^^ sono tornata con un nuovo log da farvi vedere... il pc dovrebbe essere pulito ma a volte diventa molto molto lento anche con pochi programmi aperti ç_ç se potete dargli uno sguardo vi ringrazio molto!

[xcdegasp]

Quote:

Originariamente inviato da Giu♥

salve a tutti ^^ sono tornata con un nuovo log da farvi vedere... il pc dovrebbe essere pulito ma a volte diventa molto molto lento anche con pochi programmi aperti ç_ç se potete dargli uno sguardo vi ringrazio molto!

mi spiace ma è sporco

fixa:

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\services.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1423.exe 61A847B5BBF7281336993B466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Eroca] C:\Programmi\Eroca\Eroca.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100429 -Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
O4 - HKLM\..\Policies\Explorer\Run: [5E39J1V19L] C:\WINDOWS\whsyst32.exe
O4 - HKLM\..\Policies\Explorer\Run: [update32] C:\WINDOWS\lwsys32.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

fatto questo è il caso che tu segua la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti, ovviamente aprendoti un thread nuovo

incomincia già ora a pensare al sostituto di avg e spyware doctor perchè se si sono fatti sfuggire queste cose è equivalente a non averli

Secondo me ho un file sospetto però non so se è d'obbligo fare un hijackthis ma nel frattempo vi dico tutto.
Praticamente stavo scaricando, senza navigare, ed alla fine il firewall mi dice che c'è un programma che sta tentando la connesione ed il programma si chiama SYSTEM ed il percorso è \SYSTEM.
Con questo volevo chiedervi se è normale che ci sia "SYSTEM" in un percorso cosi cioè senza lettera davanti e sopratutto come ci si arriva a quel percorso almeno per vedere dovè e provare a rimuoverlo se è malevolo.
Tuttavia dal antivirus son riuscito a scanzionarlo(credo) e non è infetto.

Ora non vorrei fare un log però se dite che non può esistere un file system in quel percorso mi sà che dovrò farlo oppure reinstallare windows.

Grazie a chi avrà la pazienza di leggere

Saluti

[Gle89]

Quote:

Originariamente inviato da Annihilator_86

.

Ora non vorrei fare un log però se dite che non può esistere un file system in quel percorso mi sà che dovrò farlo oppure reinstallare windows.

Le cose ci saranno molto più chiare se tu caricassi il log, non ci vuole molto a farlo e caricarlo massimo 60 secondi

[milan63]

chi mi da un occhio a questo grazie

[Gle89]

Quote:

Originariamente inviato da milan63

chi mi da un occhio a questo grazie

ciao, fixa le seguenti voci:

Quote:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [CreativeMouse ] C:\Programmi\Mouse Driver\MouseDrv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [MBBalloon] C:\Programmi\HOTALBUMMyBOX\MBBalloon.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [lphcgn1j0et3t] C:\WINDOWS\system32\lphcgn1j0et3t.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: MediaChecker.lnk = C:\Programmi\HOTALBUMMyBOX\MediaChecker.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O20 - Winlogon Notify: winmfu32 - winmfu32.dll (file missing)

adesso abilita i file nascosti e vai su http://www.virustotal.com/it/ clicca su SFOGLIa e cerca questo percorso C:\WINDOWS\system32\lphcgn1j0et3t.exe clicca su INVIA FILE, aspetta la fine della "scansione" e alla fine posta un'immagine della schermata.

Bubblet.exe <--- E' un gioco? L' hai instalato volontariamente?

Alla fine di tutto RIAVVIA IL PC e riposta un nuovo log di HJT

[Giu♥]

Quote:

Originariamente inviato da xcdegasp

mi spiace ma è sporco

guarda, non è il mio pc, è quello di un mio amico che dice di non aver avuto alcun problema ora lo convinco a fare ciò che mi hai scritto speriamo bene! comunque grazie grazie mille
siccome non sono molto pratica potresti spiegarmi (se hai tempo e voglia ovviamente!) quali sono i problemi nel log?
grazie grazie

[sery85]

ciao a tutti...qualcuno potrebbe dare un occhio qui? mi sa che ho qualche problema!
grazie a tutti
sery


Logfile of HijackThis v1.99.1
Scan saved at 17.14.50, on 09/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
log rimosso, leggere le Regole di Sezione

[xcdegasp]

@ sery85:
log rimosso, leggere le Regole di Sezione, inoltre devi scaricare il nuovo hijackthis inquanto ne haiusato uno obsoleto

[xcdegasp]

Quote:

Originariamente inviato da Giu♥

guarda, non è il mio pc, è quello di un mio amico che dice di non aver avuto alcun problema ora lo convinco a fare ciò che mi hai scritto speriamo bene! comunque grazie grazie mille
siccome non sono molto pratica potresti spiegarmi (se hai tempo e voglia ovviamente!) quali sono i problemi nel log?
grazie grazie

non può non avere i problemi, sicuramente non può modificare delle voci nel pannello di controllo ipotizzo il ripristino di configurazione sia bloccato, sicuramente non può accedere a regedit o ci sono chiavi di registro che poi vengono subito rigenerate e inoltre non può stoppare correttamente servizi da services.msc .
sia il regedit che services.msc sono raggiungibili solamente da "start -> esegui..:"

le voci gravi sono:

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\services.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1423.exe 61A847B5BBF7281336993B466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [Eroca] C:\Programmi\Eroca\Eroca.exe
O4 - HKLM\..\Policies\Explorer\Run: [5E39J1V19L] C:\WINDOWS\whsyst32.exe
O4 - HKLM\..\Policies\Explorer\Run: [update32] C:\WINDOWS\lwsys32.exe

le restanti voci che avevo segnalato erano più di pulizia e risparmio di risorse

[Giu♥]

Quote:

Originariamente inviato da xcdegasp

non può non avere i problemi, sicuramente non può modificare delle voci nel pannello di controllo ipotizzo il ripristino di configurazione sia bloccato, sicuramente non può accedere a regedit o ci sono chiavi di registro che poi vengono subito rigenerate e inoltre non può stoppare correttamente servizi da services.msc .
sia il regedit che services.msc sono raggiungibili solamente da "start -> esegui..:"

sinceramente non lo so, penso che non abbia mai provato a fare nulla di tutto quello, per ora gli ho detto di fixare quelle voci e sembra che l'abbia fatto, solo che spiegargli le cose via email o chat è un po' difficilotto
dopo aver fixato le voci non dovrebbero esserci più problemi?

[xcdegasp]

Quote:

Originariamente inviato da Giu♥

sinceramente non lo so, penso che non abbia mai provato a fare nulla di tutto quello, per ora gli ho detto di fixare quelle voci e sembra che l'abbia fatto, solo che spiegargli le cose via email o chat è un po' difficilotto
dopo aver fixato le voci non dovrebbero esserci più problemi?

hijacktis non fa miracoli, i file rimangono e i servizi aperti e associati ad essi rimangonoin esecuzione pertanto è necessario ora procedere con la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

altrimenti non risolve nulla.. ma dovete anche disinstallare spyware doctor visto che ha fatto acqua non sta funzionando e nel frattempo pensare se installare un altro antivirus o acquistare la licenza di AVG8 visto che il avg7 è obsoleto e non più supportato

[paolo-fcb]

ciao ragazzi come va? è un pò di tempo che non passo da qui, buon segno credo......

però una controllatina ogni tanto, grazie

http://www.fileup.itadib.com/downloa...zqEEEi9CsrVnJk

[Gle89]

@ paolo-fcb bentornato! mi ricordo sempre di te

fixa queste

Quote:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} - http://www.creative.com/softwareupda...01/CTSUEng.cab
O23 - Service: is-4F2C6 - Unknown owner - C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\is-4F2C6\is-4F2C6.exe (file missing

Ho notato che non hai un firewall quindi ti consiglio Online Armor. Scarica qui la versione originale, oppure guarda qui per la versione italiana. E' tra i migliori ed è facilissimo da configurare. La guida per la configurazione la trovi qui.

Inoltre ti consiglio di sostituire Adobe Reader con il più leggero,veloce,sicuro e gratis Foxit Reader e ti consiglio anche di disinstallare le toolbar che hai e invece di usare Internet Explorer usare Firefox 3 con gli addons: NoScritp e AddBlockPlus

Ad ogni modo il log è pulito

[sery85]

spero ora di aver osservato le regole di sezione e di aver scaricato la versione giusta, non sono molto esperta!

ecco il log, se gli date un occhio mi fate un enorme piacere

http://www.fileqube.com/shared/XBKPgO78082

[paolo-fcb]

Quote:

Originariamente inviato da Gle89

@ paolo-fcb bentornato! mi ricordo sempre di te

fixa queste


Ho notato che non hai un firewall quindi ti consiglio Online Armor. Scarica qui la versione originale, oppure guarda qui per la versione italiana. E' tra i migliori ed è facilissimo da configurare. La guida per la configurazione la trovi qui.

Inoltre ti consiglio di sostituire Adobe Reader con il più leggero,veloce,sicuro e gratis Foxit Reader e ti consiglio anche di disinstallare le toolbar che hai e invece di usare Internet Explorer usare Firefox 3 con gli addons: NoScritp e AddBlockPlus

Ad ogni modo il log è pulito

Glendaaaaaaaaa non pensavo di ritrovarti come stai? Cara scusa ma se il log è pulito perchè mi dici di fixare?

p.s. io non ho adobe reader ma appunto foxit, da 2 anni tipo, uso solo firefox 3, la cosa strana quindi è che invece il mio log dice che uso adobe reader ed explorer, non ci capisco niente........

[Gle89]

Quote:

Originariamente inviato da paolo-fcb

Cara scusa ma se il log è pulito perchè mi dici di fixare?

sono voci in avvio superflue che ti rallentano il caricamento del S.O e basta ad ogni modo puoi anche lasciarle se credi...

Quote:

p.s. io non ho adobe reader ma appunto foxit, da 2 anni tipo, uso solo firefox 3, la cosa strana quindi è che invece il mio log dice che uso adobe reader ed explorer, non ci capisco niente........

Per adobe mi sono sbagliata ho letto male hai AdobeGammaLoader non AdobeREader

Per internet explorer proprio non saprei ad ogni modo mi fa piacere che usi Firefox

[paolo-fcb]

Grazie Glenda, vedo che hai messo la foto e sembri anche carina, sto settando il firewall che mi hai consigliato, ciaooooooooo

[xcdegasp]

Quote:

Originariamente inviato da sery85

spero ora di aver osservato le regole di sezione e di aver scaricato la versione giusta, non sono molto esperta!

ecco il log, se gli date un occhio mi fate un enorme piacere

http://www.fileqube.com/shared/XBKPgO78082

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

fixa:

Codice:

O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

il log è presochè pulito, queste servono solo per togliere servizi inutili dall'esecuzione

possiedi software obsoleto quindi ti consiglio di clickare sul link http://secunia.com/software_inspector/ per scansiobnare online gratuitamente il tuo pc, alla fine della scansione (ricvordati d'attivare la casellina prima di avviare la scansione) ti mostrerà tutto il software obsoleto critico che è installato nel tuo pc tra cui ci sarà la java.
Nel casodella java ricordati di disinstallare poi tutte le precedenti versioni

[Street Spirit]

Salve non sono molto esperto chi mi da un'occhiata a questo log http://www.fileqube.com/shared/LKWKoqqf78577

L'analisi automatica mi segnala questa voce come pericolosa:
O4 - HKLM\..\RunServices: [Configuration Loader] syscfg32.exe

Grazie mille.