HiJackThis - Analisi Log - leggere Regole di Sezione - Pagina 570

**Chill-Out** · 12-08-2009, 18:26

In prima pagina trovi l'elenco dei Server remoti dove caricare il .txt

$Raf$ · 12-08-2009, 18:30

buongiorno a tutti
sono qui per analizzare questo log

una delle voci mi sembra molto strana:
O22 - SharedTaskScheduler: AwvermifKbd - {5B8E26A7-610A-4CD9-B94C-D39C34EF3E70} - C:\WINDOWS\system32\awvermif.dll
si puo eliminare??
ora sto facendo una scansione completa con malwarebytes

EDIT:malwarebytes non ha rilevato nulla

**Chill-Out** · 12-08-2009, 19:03

Quote:

Originariamente inviato da $Raf$

buongiorno a tutti
sono qui per analizzare questo log

una delle voci mi sembra molto strana:
O22 - SharedTaskScheduler: AwvermifKbd - {5B8E26A7-610A-4CD9-B94C-D39C34EF3E70} - C:\WINDOWS\system32\awvermif.dll
si puo eliminare??
ora sto facendo una scansione completa con malwarebytes

EDIT:malwarebytes non ha rilevato nulla

Fixa la voce da te indicata, successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?p=26415650 il CLSID fa riferimento al Vundo

$Raf$ · 12-08-2009, 19:05

ma a me no escono finestre popup o cose del genere
comunque ho fixato e riavviato

**Chill-Out** · 12-08-2009, 19:06

Quote:

Originariamente inviato da GiacomoTorva83

ciao a tutti.. è da quando ho installato il sp2 che ho notato una strana cosa (premetto che l ho disinstallato già e reinstallato ma la situazione non cambia) il riavvio e lo spegnimento di vista è molto lento e in piu è come se facesse un fake riavvio, cioè quando faccio l'operazione di riavvio sembra andare tutto bene, ma poi torna sul desktop e li passano circa 2 minuti prima che si riavvia, lo stesso succede quando faccio l'arresto del sistema... la cosa ancora piu strana che tutto questo lo fa in maniera sporadica, alcune volte va tutto liscio.. che può essere?? aiutatemi...
ecco il log di hijackthis..

Dal log non emerge nulla

**Chill-Out** · 12-08-2009, 19:10

Quote:

Originariamente inviato da $Raf$

ma a me no escono finestre popup o cose del genere
comunque ho fixato e riavviato

Infatti dal log non ci sono altre tracce facenti riferimento al Vundo, ma il CLSID ne indica la presenza forse pregressa.

$Raf$ · 12-08-2009, 19:20

prevx ha individuato questo:awvermif.dll in c:\windows\system32\
cosa faccio???

AIUTOOOOO

**Chill-Out** · 12-08-2009, 19:21

Quote:

Originariamente inviato da $Raf$

prevx ha individuato questo:awvermif.dll in c:\windows\system32\
cosa faccio???

Col Fix abbiamo solo eliminato il valore caricato nel Registro, ma il file è ancora presente per questo ti ho suggerito

http://www.hwupgrade.it/forum/showpo...ostcount=11448

$Raf$ · 12-08-2009, 19:27

si ma prevx mi chiede la registrazione e non ho intenzione di fare una scansione con f-secure online che dura quasi un ora

posso eliminarlo manualmente???

EDIT:spybot S&D non trova niente ho provato anche vundofix ma anche questo non trova niente

$Raf$ · 12-08-2009, 20:22

ho fatto anche combofix
ora posto il log
dopo combofix nella cartella C sono apparsi questi due file "Boot.bak e cmldr
cosa sono???

xcdegasp · 13-08-2009, 08:34

Quote:

Originariamente inviato da $Raf$

ho fatto anche combofix
ora posto il log
dopo combofix nella cartella C sono apparsi questi due file "Boot.bak e cmldr
cosa sono???

perchè non usi il thread del Vundo? che tu abbia bisogno di assistenza è chiaro ma non sei il solo e questa discussione sarebbe specifica per l'analisi dei log HiJackThis quindi nulla a che vedere ormai con il tuo caso.
pensa se tu stessi attendendo assistenza su un log hijackthis e un utente si mettesse a pubblicare log che non c'entrano na mazza, sepellendoti di fatto il tuo messaggio, non ne saresti felice

xcdegasp · 13-08-2009, 08:40

Quote:

Originariamente inviato da GiacomoTorva83

ciao a tutti.. è da quando ho installato il sp2 che ho notato una strana cosa (premetto che l ho disinstallato già e reinstallato ma la situazione non cambia) il riavvio e lo spegnimento di vista è molto lento e in piu è come se facesse un fake riavvio, cioè quando faccio l'operazione di riavvio sembra andare tutto bene, ma poi torna sul desktop e li passano circa 2 minuti prima che si riavvia, lo stesso succede quando faccio l'arresto del sistema... la cosa ancora piu strana che tutto questo lo fa in maniera sporadica, alcune volte va tutto liscio.. che può essere?? aiutatemi...
ecco il log di hijackthis..

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files (x86)\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15108/CTPID.cab

$Raf$ · 13-08-2009, 11:21

chiedo scusa a tutti
ma ora come risolvo il mio problema????

787b · 13-08-2009, 11:38

Ciao a tutti, non ho alcun problema però ogni tanto farsi visitare dal dottore non fa mai male

EDITO PER ACCORCIARE LA DISCUSSIONE

@xcdegasp: Grazie

xcdegasp · 13-08-2009, 12:03

Quote:

Originariamente inviato da 787b

Ciao a tutti, non ho alcun problema però ogni tanto farsi visitare dal dottore non fa mai male

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.36.21, on 13/08/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)

Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Users\Davide\AppData\Local\RadioSure\RadioSure.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Opera\opera.exe
C:\Users\Davide\Desktop\HiJackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RadioSure] C:\Users\Davide\AppData\Local\RadioSure\RadioSure.exe /hidden
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47BCFA12-CB32-4F12-BD42-6645BE005D0D}: NameServer = 85.37.17.7 85.38.28.95
O17 - HKLM\System\CS1\Services\Tcpip\..\{47BCFA12-CB32-4F12-BD42-6645BE005D0D}: NameServer = 85.37.17.7 85.38.28.95
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RadioSure] C:\Users\Davide\AppData\Local\RadioSure\RadioSure.exe /hidden

poi segui questa guida: http://www.hwupgrade.it/forum/showthread.php?t=1789446

giuliano1975 · 16-08-2009, 23:11

IE 7 carica le pagine piano e si blocca
questo e sucesso dopo che ho eliminato un virus ,pc spy.... 2010,
ora di virus non ne ho piu e ho pulito il registro di windows xp pero IE7 e lento

Log rimosso come ti è già stato indicato è opportuno leggere le Regole di sezione

Inoltre anche nella prima pagina del presente 3D sono indicate le modalità per allegare i log http://www.hwupgrade.it/forum/showthread.php?t=937676

giobbe64 · 17-08-2009, 07:38

Cari amici
mi date un'occhiata al log ed eventualmente mi aiutate a dare una "sfrondata" a qualche applicazione secondaria?
Vi ringrazio anticipatamente

http://wikisend.com/download/524764/hijackthis.log

xcdegasp · 17-08-2009, 09:15

Quote:

Originariamente inviato da giobbe64

Cari amici
mi date un'occhiata al log ed eventualmente mi aiutate a dare una "sfrondata" a qualche applicazione secondaria?
Vi ringrazio anticipatamente

http://wikisend.com/download/524764/hijackthis.log

l'unica voce ambigua sarebbe:

Codice:

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe

che potrebbe segnalarla prevx ma non ho dati per affermarlo..

comunque parrebbe una voce sicura:
http://ita.tallemu.com/oasis2/file/a...srv_exe/151120

quindi sei pulito

giobbe64 · 17-08-2009, 09:29

Quote:

Originariamente inviato da xcdegasp

l'unica voce ambigua sarebbe:

Codice:

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe

che potrebbe segnalarla prevx ma non ho dati per affermarlo..

comunque parrebbe una voce sicura:
http://ita.tallemu.com/oasis2/file/a...srv_exe/151120

quindi sei pulito

Grazie Xcdegasp, non vorrei ricordare male ma mi sembra di averlo notato anche in passato questo .exe

Cmq Antivir, prevx, Sas, Mbam, a-squared negativi...

PS: suggerimenti su qualche applicazione da non far partire?

giuliano1975 · 18-08-2009, 14:28

come si fa a caricare i file log con mediafire mi da sempre errore

12-08-2009, 18:26	#11381
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	In prima pagina trovi l'elenco dei Server remoti dove caricare il .txt __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

12-08-2009, 18:30	#11382
$Raf$ Senior Member Iscritto dal: May 2009 Città: Napoli Messaggi: 555	buongiorno a tutti sono qui per analizzare questo log una delle voci mi sembra molto strana: O22 - SharedTaskScheduler: AwvermifKbd - {5B8E26A7-610A-4CD9-B94C-D39C34EF3E70} - C:\WINDOWS\system32\awvermif.dll si puo eliminare?? ora sto facendo una scansione completa con malwarebytes EDIT:malwarebytes non ha rilevato nulla Ultima modifica di $Raf$ : 01-06-2010 alle 16:07.

12-08-2009, 19:20	#11387
$Raf$ Senior Member Iscritto dal: May 2009 Città: Napoli Messaggi: 555	prevx ha individuato questo:awvermif.dll in c:\windows\system32\ cosa faccio??? AIUTOOOOO Ultima modifica di $Raf$ : 12-08-2009 alle 19:24.

12-08-2009, 19:27	#11389
$Raf$ Senior Member Iscritto dal: May 2009 Città: Napoli Messaggi: 555	si ma prevx mi chiede la registrazione e non ho intenzione di fare una scansione con f-secure online che dura quasi un ora posso eliminarlo manualmente??? EDIT:spybot S&D non trova niente ho provato anche vundofix ma anche questo non trova niente Ultima modifica di $Raf$ : 12-08-2009 alle 19:59.

12-08-2009, 20:22	#11390
$Raf$ Senior Member Iscritto dal: May 2009 Città: Napoli Messaggi: 555	ho fatto anche combofix ora posto il log dopo combofix nella cartella C sono apparsi questi due file "Boot.bak e cmldr cosa sono??? Ultima modifica di $Raf$ : 01-06-2010 alle 16:07.

12-08-2009, 19:05	#11384
$Raf$ Senior Member Iscritto dal: May 2009 Città: Napoli Messaggi: 555	ma a me no escono finestre popup o cose del genere comunque ho fixato e riavviato

13-08-2009, 11:21	#11393
$Raf$ Senior Member Iscritto dal: May 2009 Città: Napoli Messaggi: 555	chiedo scusa a tutti ma ora come risolvo il mio problema????

13-08-2009, 11:38	#11394
787b Senior Member Iscritto dal: Apr 2007 Città: Brescia Messaggi: 4425	Ciao a tutti, non ho alcun problema però ogni tanto farsi visitare dal dottore non fa mai male EDITO PER ACCORCIARE LA DISCUSSIONE @xcdegasp: Grazie __________________ Profilo Steam Ultima modifica di 787b : 13-08-2009 alle 12:15.

16-08-2009, 23:11	#11396
giuliano1975 Member Iscritto dal: May 2009 Messaggi: 57	IE 7 carica le pagine piano e si blocca questo e sucesso dopo che ho eliminato un virus ,pc spy.... 2010, ora di virus non ne ho piu e ho pulito il registro di windows xp pero IE7 e lento Log rimosso come ti è già stato indicato è opportuno leggere le Regole di sezione Inoltre anche nella prima pagina del presente 3D sono indicate le modalità per allegare i log http://www.hwupgrade.it/forum/showthread.php?t=937676 Ultima modifica di Chill-Out : 16-08-2009 alle 23:32.

17-08-2009, 07:38	#11397
giobbe64 Member Iscritto dal: Jan 2009 Messaggi: 193	Cari amici mi date un'occhiata al log ed eventualmente mi aiutate a dare una "sfrondata" a qualche applicazione secondaria? Vi ringrazio anticipatamente http://wikisend.com/download/524764/hijackthis.log __________________ *Notebook Asus Intel Core I7 2.00 GHz * HD 500 Gb * Ram 6 Gb * Windows 7 Home Premium SP1 64 bit * IE 9 Microsoft Security Essentials * PrevX 3.0HiJackThis MalwarebyAnti-Malware * SuperAntiSpyware**

18-08-2009, 14:28	#11400
giuliano1975 Member Iscritto dal: May 2009 Messaggi: 57	come si fa a caricare i file log con mediafire mi da sempre errore

Strumenti
Mostra una versione stampabile Invia questa pagina per email