HiJackThis - Analisi Log - leggere Regole di Sezione

[manidiburro]

sono pulito?
vi allego il log.. io ho trovato strana solo questa voce che mi pare avevo tempo fa e mi avevate consigliato di fixare..
C:\Windows\system32\SearchFilterHost.exe

[otrebor56]

Ciao a tutti, sono nuovo del forum, negli ultimi giorni continuo ad avere crash in explorer e in firefox...l'altro giorno mi è anche uscito dalla demo di pes 2010 con la finestra "segnalazione errori", cosa mai successa...di recente non ho installato niente quindi non saprei a cosa imputare il tutto
il log con hijacjthis è qst:


Log rimosso, come già detto in prima pagina sono indicate le modalità per allegare il log.

[Chill-Out]

Quote:

Originariamente inviato da buonasalve

ciao Chill, saresti cosi gentile da dare un'occhiata al log di hijack ?
mi ero trovato una regola salvata nel defense+ di Comodo relativa ad un mrtstube.exe posizionato in una cartella in D: nel quale vi è unicamente la cartella di Sandboxie ( in D: vi è solo il "recinto" mentre il programma è su C: ).

ho fatto delle ricerche in rete ed è venuto fuori, oltre ad opinioni che si trattasse di malware, che si tratti di una cartella(in cui c'è il file in questione) installata da microsoft col suo strumento di rimozione malware: puoi confermarmelo ?

scansioni con Avira, MBAM ed A2 non mi hanno trovato nulla(tranne A2 che mi ha trovato 16 chiavi di registro a rischio basso che non ho cmq messo in quarantena temendo siano fp) mentre hijackthis non trova nulla credo, tranne due file missing che non riesco a cancellare, non si fixano

posto sia lo screen del defense+ che il log di hijack


grazie

Edita il post ed utilizza uno dei Server remoti indicati in prima pagina, thx.

[Chill-Out]

Quote:

Originariamente inviato da manidiburro

sono pulito?
vi allego il log.. io ho trovato strana solo questa voce che mi pare avevo tempo fa e mi avevate consigliato di fixare..
C:\Windows\system32\SearchFilterHost.exe

Log pulito

[manidiburro]

Quote:

Originariamente inviato da Chill-Out

Log pulito

grazie mille
pure la voce che ho scritto che mi sembrava "strana"?

[Chill-Out]

Quote:

Originariamente inviato da manidiburro

grazie mille
pure la voce che ho scritto che mi sembrava "strana"?

Tutto ok, anche la voce "strana" ciao.

[buonasalve]

Quote:

Originariamente inviato da Chill-Out

Edita il post ed utilizza uno dei Server remoti indicati in prima pagina, thx.

fatto

[Chill-Out]

Quote:

Originariamente inviato da buonasalve

fatto

Pulito, la cartella la puoi tranquillamente eliminare si tratta di MRT.

[buonasalve]

Quote:

Originariamente inviato da Chill-Out

Pulito, la cartella la puoi tranquillamente eliminare si tratta di MRT.

ok...per MRT intendi lo strumento di rimozione di Microsoft, vero ?

grazie

[Chill-Out]

Quote:

Originariamente inviato da buonasalve

ok...per MRT intendi lo strumento di rimozione di Microsoft, vero ?

grazie

Si è lo strumento di rimozione malware, prego.

[zlatan87cb]

Ciao a tutti, vorrei postare il mio hijackthis log x sapere se ci sono processi anomali, virus o altro da fixare magari anche x velocizzare il pc, ve lo posto anke xk nel task manager ci sono processi di cui non mi fido...grazie!!!

Allegato rimosso, in prima pagina sono indicate le modalità per allegarlo, grazie per la collaborazione.

[xcdegasp]

Quote:

Originariamente inviato da zlatan87cb

Ciao a tutti, vorrei postare il mio hijackthis log x sapere se ci sono processi anomali, virus o altro da fixare magari anche x velocizzare il pc, ve lo posto anke xk nel task manager ci sono processi di cui non mi fido...grazie!!!

Allegato rimosso, in prima pagina sono indicate le modalità per allegarlo, grazie per la collaborazione.

log rimosso, leggere le Regole di Sezione

[xcdegasp]

Quote:

Originariamente inviato da [Claudio]

Una curiosità: nel mio log di hijackthis vedo alcune voci che si riferiscono a
O8 - Extra Microsoft Internet Explorer context menu items
O9 - Extra'Tools'menuitems and buttons
possono essere rimosse oppure no?
e ancora, a cosa si riferiscono le voci 08 e 09 in generale?

alla fine sono dei menù ma eviterei di toccarli se possibile, non portano nessun miglioramento al programma il toglierli

[nikibill]

salve ragazzi,

da ieri appena accendo il pc e vado sul task manager mi ritrovo con utilizzo cpu ad almeno 50% anche se non ho niente di aperto,sareste così gentili da controllarmi il log: ecco il log

[xcdegasp]

Quote:

Originariamente inviato da nikibill

salve ragazzi,

da ieri appena accendo il pc e vado sul task manager mi ritrovo con utilizzo cpu ad almeno 50% anche se non ho niente di aperto,sareste così gentili da controllarmi il log: ecco il log

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

fixa:

Codice:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

riesci anche a dirci che schermata blu hai avuto? proprio con il dettaglio delle informazioni intendo..

[nikibill]

Quote:

Originariamente inviato da xcdegasp

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

fixa:

Codice:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

riesci anche a dirci che schermata blu hai avuto? proprio con il dettaglio delle informazioni intendo..

nessuna schermata blu!!!!!

[ronaldovieri]

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.14.19, on 01/10/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\OEM02Mon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig/dell?hl=it&client=dell-row&channel=it&ibd=5080225
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fornito da Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: QuickSet.lnk = C:\Program Files\Dell\QuickSet\quickset.exe
O8 - Extra context menu item: Invia immagine alla periferica &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Invia pagina alla periferica &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe (file missing)
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 7862 bytes

ragazzi com'è il log??
grazie

[xcdegasp]

Quote:

Originariamente inviato da nikibill

nessuna schermata blu!!!!!

scusa ma sono in disaccordo essendoci una chiara indicazione di kernel fault, sicuramente si è riavviato da solo a causa della schermata blu

[xcdegasp]

Quote:

Originariamente inviato da ronaldovieri

ragazzi com'è il log??
grazie

era più comodo per tutti se lo pubblicavi su uno dei server censiti, comunque fixa:

Codice:

O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe (file missing)
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

controlla con a-squared e malwarebytes che non ci siano eventuali rimansugli ma si tratterebbe solo di voci di registro che non portano più a nulla

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[ronaldovieri]

Quote:

Originariamente inviato da xcdegasp

era più comodo per tutti se lo pubblicavi su uno dei server censiti, comunque fixa:

Codice:

O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe (file missing)
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

controlla con a-squared e malwarebytes che non ci siano eventuali rimansugli ma si tratterebbe solo di voci di registro che non portano più a nulla

chiedo scusa per la pubblicazione

presumo che non ci sia niente di malware giusto?