HiJackThis - Analisi Log - leggere Regole di Sezione

[Gle89]

Quote:

Originariamente inviato da xcdegasp

questa è una voce corretta:

Codice:

O4 - Startup: Folding@home-gpu.lnk.disabled

è relativa a Boinc il progetto di calcolo distribuito quindi non va fixata

Grazie mod, meno male che ci sei tu che mi supervisioni

[xcdegasp]

ma sei comunque bravissima

[levriero]

Posto anch'io il mio log^^(ps già postato quello di gmer nella sezione infetti..mi serve solo un'ulteriore conferma...ovvero che xp sp3 ogni tanto decide d'andarsene a spasso...

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.42.20, on 19/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAMMI\RISING\RAV\ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRAMMI\RISING\RAV\RavStub.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\SSC Service Utility\ssc_serv.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Rising\Rav\RavTask.exe
C:\Programmi\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Sandboxie\SbieCtrl.exe
C:\Programmi\Sitecom\Wireless Network USB Adapter 54G WL-113_002\Installer\WLANUTL.EXE
C:\Programmi\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\opera951int\op.com
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programmi\IEPro\iepro.dll
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programmi\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programmi\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RavTask] "C:\Programmi\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programmi\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Spamihilator.lnk = C:\Programmi\Spamihilator\spamihilator.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sitecom Wireless Utility.lnk = C:\Programmi\Sitecom\Wireless Network USB Adapter 54G WL-113_002\Installer\WLANUTL.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Programmi\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAMMI\RISING\RAV\Ravmond.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6781 bytes

[Demirulez]

Quote:

Originariamente inviato da Gle89

Ciao, dal log non risulta niente di strano apparte queste due voci in avvio, non le conosco e su google non trovo niente ti consiglio di fixarle se non ne conosci la "fonte"

inoltre potresti togliere dall'avvio anche altre voci come queste:


devi aggiornare java (pannello di controllo - java - aggiornamento - aggiorna adesso).

Ti consiglio di sostituire Avast con il più potente e migliore Avira Antivir, nella mia firma puoi scaricarlo e trovare una guida su come settarlo al meglio!

Per la modalità provvisoria, potresti dire cosa succede quando cerchi di entrarci?

Ok, ho fatto tutto. Per quanto riguarda la mod. provvisoria era un problema che avevo già postato QUI, in pratica si pianta quando deve caricare il file loading SPTD.sys e si riavvia... non sono ancora riuscito a risolverlo. Comunque grazie dei tuoi preziosi consigli.
EDIT: ho disattivato il riavvio automatico, quando tenta di caricare il file sopra citato, per entrare in safe mode, compare una bsod, l'errore è 0x0000007B, ho provato a fare un chkdsk/f, ma il log non riporta nessun errore, 0 settori danneggiati per quanto riguarda l'hdd, è da escludere quindi un problema hardware...adesso però non vorrei andare troppo ot.

[xcdegasp]

Quote:

Originariamente inviato da levriero

Posto anch'io il mio log^^(ps già postato quello di gmer nella sezione infetti..mi serve solo un'ulteriore conferma...ovvero che xp sp3 ogni tanto decide d'andarsene a spasso...

sei messo maluccio hai nel pc un finto antivirus:
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O4 - HKLM\..\Run: [RavTask] "C:\Programmi\Rising\Rav\RavTask.exe" -system
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Programmi\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAMMI\RISING\RAV\Ravmond.exe

tratto da http://www.avira.com/it/threats/sect...y.delf.ca.html :

Codice:

Nome del virus:	TR/Proxy.Delf.CA
Scoperto:	26/02/2007

Metodi di propagazione:
   • Rete locale
   • Unità di rete mappata


Alias:
   •  Mcafee: W32/Fujacks
   •  Kaspersky: Worm.Win32.Delf.bd
   •  F-Secure: Worm.Win32.Delf.bd
   •  Sophos: W32/Fujacks-AU
   •  Grisoft: Worm/Delf.AEP
   •  Eset: Win32/Fujacks.O
   •  Bitdefender: Win32.Worm.Fujacks.J 

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica file
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
ovviamente in un nuovo thread che aprirai

[levriero]

LO SOSPETTAVO!!!
Premesso che l'ho scaricato dal sito ufficiale della casa...e che lo stavo testando.....
Appena notato la tua celere risposta stavo terminando l'ultima scansione col tool very OK(Norman AntiMalware)che in effetti mi aveva segnalato un file infetto da W32/LOP.7gen pronatamente checkkato in VirusTotal ma solo Norman e F-Secure me lo davano per virus..(allego).
Sembrerebbe piuttosto una cilecca dell'AV che è stato infettato...sto verificando.
Mi hai preceduto per un soffio
Grande capo!

[levriero]

ecco VirusTotal

[xcdegasp]

woow brutta distrazione di kaspersky
potresti pubblicare l'url completo dell'analisi ? sempre se lo hai salvato

comunque sei il primo che vedo con questa problematica

[Nuz]

@xcdegasp: con finto antivirus ti riferisci a Rising? Perchè Rising non è affatto un falso antivirus, infatti ha anche ottenuto anche il vb100.

http://www.rising-global.com/Publish...0811104234.htm

@levriero: tu hai installato Rising, vero?



Edit: Le voci O4 e_O23 relative a Rising non andrebbero fixate.

[levriero]

Il file infettato sarebbe la dll revsbir.dll che si trova nella cartella dell'AV precisamente nella Prescan e nella Update.
Non sono ancora certo della positività...ci sto lavorando...
Ho salvato solo le immagini del log...ma sono un po' pesantine..

[levriero]

Quote:

Originariamente inviato da Nuz

@xcdegasp: con finto antivirus ti riferisci a Rising? Perchè Rising non è affatto un falso antivirus, infatti ha anche ottenuto anche il vb100.

http://www.rising-global.com/Publish...0811104234.htm

@levriero: tu hai installato Rising, vero?



Edit: Le voci O4 e_O23 relative a Rising non andrebbero fixate.

Già Nuz^^
Casomai temo un'infezione NON un falso AV....

[xcdegasp]

si è sempre in tempo per ripristinarlo eventualmente

[Nuz]

@levriero: l'ho appena reinstallato su VirtualPC e se la dll a cui ti riferisci è rebsvir.dll allora credo sia legittimo, visto che viene installato dall'antivirus.
Queste le proprietà del file:



Questa l'analisi su virustotal:

http://www.virustotal.com/it/analisi...b564822b8073e7

[levriero]

Quote:

Originariamente inviato da Nuz

@levriero: l'ho appena reinstallato su VirtualPC e se la dll a cui ti riferisci è rebsvir.dll allora credo sia legittimo, visto che viene installato dall'antivirus.
Queste le proprietà del file:



Questa l'analisi su virustotal:

http://www.virustotal.com/it/analisi...b564822b8073e7

Gia^^ il file è proprio quello..tuttavia nelle proprietà del mio, in copyright c'è scritto Beijing Rising Information Te
Mi puzza un po'...
Sono entrato in provvisoria da amministratore...non mi ha dato rete e la scansione con gli antispyware mi ha reso dei files infetti...soliti cockie traccianti...
Ma la cosa che m'insospettisce è che da admin sia SpyBoot che SpywareBlaster NON permettono il blocco di tutte le protezioni...
sto indagando.
Per ora lascio in scansione...poi casomai disinstallo Rising e pulisco tutto...ed infine ripristino winzozz.

[levriero]

Ripulito un po' tutto.
Adesso reinstallo l'av.
Windows update rimane irraggiungibile...
Spyware Blaster NON mantiene le protezioni di ie.
Disinstallo e reinstallo anche quello.

[brove92]

ciao a tutti!!!!!

vorrei sapere se il mio log di hijackthis è pulito!!!! perchè mi insospettisce un po

il processo "System" nella foto del task......


grazie!!!!!

log e foto:

http://fileup.itadib.com/download.ph...wUgKmn4gxb3jjK

[xcdegasp]

Quote:

Originariamente inviato da brove92

ciao a tutti!!!!!

vorrei sapere se il mio log di hijackthis è pulito!!!! perchè mi insospettisce un po

il processo "System" nella foto del task......


grazie!!!!!

log e foto:

http://fileup.itadib.com/download.ph...wUgKmn4gxb3jjK

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O4 - HKCU\..\Run: [L08IXLRD_7673062] "C:\Programmi\Microsoft Student\Microsoft Encarta 2008 - Premium + Student DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

questi solo per snellire il boot, i programmi continueranno a funzionare come sempre solo che guadagni risorse che prima veivano sprecate per nulla.
poi vai a questo link http://secunia.com/software_inspector/e scansiona online il tuo pc, al termine ti mostrerà tutto il software obsoleto che andrebbe aggiornato tra cui la java

[brove92]

ok grazie 1000!!!

veloce anke a risp...

quindi presumo ke vada tutto bn....cioè senza virus.......

[xcdegasp]

bhè il log di hijackthis non dice tutto cio che succede nel tuo pc ma solo una piccola fotografia e in quella porzione di realtà non si vedono segnali strani riconducibili a infezioni

[brove92]

ok....allora grazie!!!!!