HiJackThis - Analisi Log - leggere Regole di Sezione

[bordo83]

Mi scuso subito per il log in quote,sinceramente era da un po' che non passavo in questa sezione e avrei dovuto ripassare le "buone maniere" del thread. Dunque ho appena rifatto la scansione dopo avere fixato le voci 016 e 02 (i prog in autorun devo lasciarli così,il pc non lo uso io). Adesso carico il log sperando sia tutto ok. Buona giornata, ciaooo

[nobady]

Grazie mille....mah...
ora ve lo riposto, un c'è verso io devo sempre aspettare tre / 4 giorni per poi non avere risposte mentre agli altri fate tutto in poco tempo...
cmq vi riposto il log se però continuate ad ignorarmi vi saluto.

http://www.fileqube.com/file/pGzFpgWT166911

Spero che non mi deludiate. GRaZie

[wjmat]

Quote:

Originariamente inviato da nobady

Grazie mille....mah...
ora ve lo riposto, un c'è verso io devo sempre aspettare tre / 4 giorni per poi non avere risposte mentre agli altri fate tutto in poco tempo...
cmq vi riposto il log se però continuate ad ignorarmi vi saluto.

http://www.fileqube.com/file/pGzFpgWT166911

Spero che non mi deludiate. GRaZie

ciao
il log è pulito

[nExOo]

Quote:

Originariamente inviato da wjmat

Ciao

conosci questi? ho trovato solo queste info... http://www.cashintelecom.ie/jusan3distributionpage.html

Codice:

C:\Programmi\Jusan\Recall Server\RecallSvr.exe
O23 - Service: Jusan Compress Server (CompressSvr) - Jusan, s.a. - C:\Programmi\Jusan\Recall Server\CompressSvr.exe
O23 - Service: Jusan Recall Server (RecallSvr) - Jusan, s.a. - C:\Programmi\Jusan\Recall Server\RecallSvr.exe

Si questi li conosco sono dei processi legati al software di un apparato che è installato nel sistema.

Lunedì quando riuscirò a mettere di nuovo mano sul pc risposterò il log dopo il fix.

Grazie mille e buona giornata.

[federico_78]

Ciao a tutti!

La mia ragazza ha un problema con un probabile virus. Oggi SpywareTerminator non è riuscito ad eliminare uno spyware e gli ha consigliato di riavviare il pc. Una volta riavviato Avira ha subito trovato un virus che ha messo in quarantena. Si trovava in C:windows/sistem32 ed era così chiamato: xxrym.dll
tr/dropper.gen trojan.
Ho fatto una scansione con hijack di cui vi ho postato il log (mi pare pulito ma non sono espertissimo quindi ditemi voi!!!) e per sicurezza ho rifatto scansione con spywareTerminator e con Avira. Tutto sembrava ok, ma per una maggiore sicurezza ho deciso di fare una scansione on line.
Ho provato con F-secure, Panda, Nod, etc e tutte quelle che ci sono indicate qui nel forum ma non riesco ad aprire nessuna pagina!! Internet funziona benissimo ma ogni volta che provo a collegarmi con siti in cui posso fare delle scansioni on line o che hanno a che fare con antivirus mi compare la schermata che dice che non c'è connessione! Ho provato a collegarmi con tutti i siti di antivirus conosciuti ma ogni volta la stessa schermata...impossibile collegarsi ad internet!!!!!!!!!

Vi chiedo di dare un'occhiata al log e magari di darmi qualche indicazione su come risolvere!!

Ciao e scusate se sono stato un po' lungo!!!!!!

[Indiano81]

Potete per favore controllare il log? Negli ultimi giorni ho il pc rallentato...
Le scansioni con gli altri programmi erano pulite..
Grazie mille

[Chill-Out]

Quote:

Originariamente inviato da federico_78

Ciao a tutti!

La mia ragazza ha un problema con un probabile virus. Oggi SpywareTerminator non è riuscito ad eliminare uno spyware e gli ha consigliato di riavviare il pc. Una volta riavviato Avira ha subito trovato un virus che ha messo in quarantena. Si trovava in C:windows/sistem32 ed era così chiamato: xxrym.dll
tr/dropper.gen trojan.
Ho fatto una scansione con hijack di cui vi ho postato il log (mi pare pulito ma non sono espertissimo quindi ditemi voi!!!) e per sicurezza ho rifatto scansione con spywareTerminator e con Avira. Tutto sembrava ok, ma per una maggiore sicurezza ho deciso di fare una scansione on line.
Ho provato con F-secure, Panda, Nod, etc e tutte quelle che ci sono indicate qui nel forum ma non riesco ad aprire nessuna pagina!! Internet funziona benissimo ma ogni volta che provo a collegarmi con siti in cui posso fare delle scansioni on line o che hanno a che fare con antivirus mi compare la schermata che dice che non c'è connessione! Ho provato a collegarmi con tutti i siti di antivirus conosciuti ma ogni volta la stessa schermata...impossibile collegarsi ad internet!!!!!!!!!

Vi chiedo di dare un'occhiata al log e magari di darmi qualche indicazione su come risolvere!!

Ciao e scusate se sono stato un po' lungo!!!!!!

Ciao segui questa Guida per creare e disinfettare il Pc con Kaspersky Rescue Disk

Al termine allega il log del kaspersky + nuovo log di HijackThis

[Chill-Out]

Quote:

Originariamente inviato da Indiano81

Potete per favore controllare il log? Negli ultimi giorni ho il pc rallentato...
Le scansioni con gli altri programmi erano pulite..
Grazie mille

Log pulito

[sierra75]

vediamo se funziona.
Grazie in anticipo

[Gigizzu]

Ciao a tutti!
Please mi date un occhio al log che mi è uscito un allarme strano con antivir non vorrei essere infetto... paura keylogger

[wjmat]

Quote:

Originariamente inviato da Gigizzu

Ciao a tutti!
Please mi date un occhio al log che mi è uscito un allarme strano con antivir non vorrei essere infetto... paura keylogger

ciao

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Drive Xpert] C:\Programmi\ASUS\Drive Xpert\DriveXpert.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programmi\Corel\Corel MediaOne\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

importante aggiornare
Windows al service pack 3 -> link download
Explorer alla versione 7

configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo queste modalità

[sierra75]

dareste un 'occhiata anche al log che ho postato?
Grazie

[wjmat]

Quote:

Originariamente inviato da sierra75

vediamo se funziona.
Grazie in anticipo

Ciao

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

O4 - HKLM\..\Run: [bit4id store register] RUNDLL32.EXE "C:\WINDOWS\system32\bit4cnsp.dll",RegisterMyPhysicalStore
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O16 - DPF: {15D151C8-5180-43C1-9360-4D794663BD6E} (Posto di Lavoro del Cittadino - Attestazione) - http://www.crs.regione.lombardia.it/components/OcsKitCittadino.cab
O16 - DPF: {3263F297-5CB9-4D8C-A2DB-CDFB8C69CB6D} (Posto di Lavoro del Cittadino - Autenticazione utente) - http://www.crs.regione.lombardia.it/components/OcxCertUpdate.cab
O16 - DPF: {4384AA75-43AB-4095-84F9-C5B35EC62B5D} (Posto di Lavoro del Cittadino - Interprete dati) - http://www.crs.regione.lombardia.it/components/OcxCrsInfo.cab
O16 - DPF: {877E14A6-0ACF-4509-8CF3-E4A0F4ED46F4} (Postazione di Lavoro del Cittadino 3.0) - http://supportsiss.lispa.it/components/pdlc.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Prime95 Service - Unknown owner - C:\Documents and Settings\user\Desktop\prime95.exe (file missing)

[sierra75]

Quote:

Originariamente inviato da wjmat

Ciao

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

O4 - HKLM\..\Run: [bit4id store register] RUNDLL32.EXE "C:\WINDOWS\system32\bit4cnsp.dll",RegisterMyPhysicalStore
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O16 - DPF: {15D151C8-5180-43C1-9360-4D794663BD6E} (Posto di Lavoro del Cittadino - Attestazione) - http://www.crs.regione.lombardia.it/components/OcsKitCittadino.cab
O16 - DPF: {3263F297-5CB9-4D8C-A2DB-CDFB8C69CB6D} (Posto di Lavoro del Cittadino - Autenticazione utente) - http://www.crs.regione.lombardia.it/components/OcxCertUpdate.cab
O16 - DPF: {4384AA75-43AB-4095-84F9-C5B35EC62B5D} (Posto di Lavoro del Cittadino - Interprete dati) - http://www.crs.regione.lombardia.it/components/OcxCrsInfo.cab
O16 - DPF: {877E14A6-0ACF-4509-8CF3-E4A0F4ED46F4} (Postazione di Lavoro del Cittadino 3.0) - http://supportsiss.lispa.it/components/pdlc.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Prime95 Service - Unknown owner - C:\Documents and Settings\user\Desktop\prime95.exe (file missing)

una cortesia,ctfmoone che è uno 04 è regolare??kis2009 me lo ha segnalato come potenziale virus qua in ufficio.....il log è del pc in casa......fra poco porcedo

[sierra75]

ecco il nuovo log.
grazie

[wjmat]

Quote:

Originariamente inviato da sierra75

ecco il nuovo log.
grazie

se non è stato corrotto è ok
uno è relativo al supporto per le lingue orientali gli altri sono relativi a office

[sierra75]

Quote:

Originariamente inviato da wjmat

se non è stato corrotto è ok
uno è relativo al supporto per le lingue orientali gli altri sono relativi a office

cosa si intende per corrotto??

Grazie

[wjmat]

Quote:

Originariamente inviato da sierra75

cosa si intende per corrotto??

Grazie

che venga modificato da qualche infezione/virus

se vuoi eliminare ctfmon dallo startup automatico e quindi evitare che consumi inutilmente risorse, a meno che tu abbia bisogno il supporto per le lingue orientali fai cosi

Fai Start -> Esegui -> digita intl.cpl e batti invio
sotto la scheda Lingue clicca su dettagli poi sotto la scheda Avanzate metti la spunta su Disattiva servizi di testo avanzati e clicca su Ok

[sierra75]

Quote:

Originariamente inviato da wjmat

che venga modificato da qualche infezione/virus

se vuoi eliminare ctfmon dallo startup automatico e quindi evitare che consumi inutilmente risorse, a meno che tu abbia bisogno il supporto per le lingue orientali fai cosi

Fai Start -> Esegui -> digita intl.cpl e batti invio
sotto la scheda Lingue clicca su dettagli poi sotto la scheda Avanzate metti la spunta su Disattiva servizi di testo avanzati e clicca su Ok

grazie mille,sei stato gentilissimo

[3ale]

ciao è il mio primo messaggio.

mi analizzate il log di hijack?



grazie



http://wikisend.com/download/554094/hijackthis.log

hijackthis.log