HiJackThis - Analisi Log - leggere Regole di Sezione

[Picchew]

Ciao a tutti, ho un pc con windows 2003 server infettato da trojan. Ho provato a eliminare alcuni file sospetti e ora questo è il log di hijackthis. Qualche buon'anima riesce a darci un'occhiata? Grazie mille...

[manidiburro]

ragazzi vi allego il mio log.. se potete analizzarlo mi fate un favore.. ciao

[Alevalex]

Ciao, avrei una domanda.
Quanto sono attendibili le analisi dei log nel sito hijackthis.de ?
Comunque per essere sicuro allego il mio log. per un vostro controllo.
Mi astengo dal dubbio.

[Chill-Out]

Quote:

Originariamente inviato da Picchew

Ciao a tutti, ho un pc con windows 2003 server infettato da trojan. Ho provato a eliminare alcuni file sospetti e ora questo è il log di hijackthis. Qualche buon'anima riesce a darci un'occhiata? Grazie mille...

Sei infetto ti suggerirei di seguire esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

NB: i log andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

[Chill-Out]

Quote:

Originariamente inviato da manidiburro

ragazzi vi allego il mio log.. se potete analizzarlo mi fate un favore.. ciao

Potresti riallegare un log completo, grazie

[Chill-Out]

Quote:

Originariamente inviato da Alevalex

Ciao, avrei una domanda.
Quanto sono attendibili le analisi dei log nel sito hijackthis.de ?
Comunque per essere sicuro allego il mio log. per un vostro controllo.
Mi astengo dal dubbio.

Pulito

[manidiburro]

Quote:

Originariamente inviato da Chill-Out

Potresti riallegare un log completo, grazie

ok chill-out!!.. già che ci sono ti allego pure il log del mio pc.. ciao

qui il log del pc:

[manidiburro]

e qui ti ri-posto quello del fisso:

[xcdegasp]

Quote:

Originariamente inviato da manidiburro

e qui ti ri-posto quello del fisso:

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

fixa:

Quote:

O2 - BHO: (no name) - {D8F000C2-9D06-4E53-80DA-1CB57552B5C6} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O20 - AppInit_DLLs: uvxwui.dll

il pc non è aggiornato, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce


sarebbe da approfondire l'analisi per questo oggetto " uvxwui.dll " di dubbia provenienza..

[xcdegasp]

Quote:

Originariamente inviato da manidiburro

ok chill-out!!.. già che ci sono ti allego pure il log del mio pc.. ciao

qui il log del pc:

questo pare pulito ma sempre non aggiornato, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[manidiburro]

Quote:

Originariamente inviato da xcdegasp

questo pare pulito ma sempre non aggiornato, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

grazie xcdegasps..
non capisco una cosa però.. mentre il fisso non lo curavo da anni (è di mia sorella) non riesco a capire come sia possibile che il cp non sia aggiornato.. gli aggiornamenti importanti non dovrebbero essere automatici? potrebbe essere il mio firewall che ha impedito a qualcosa di aggiornarsi? uso Comodo..

[xcdegasp]

Quote:

Originariamente inviato da manidiburro

grazie xcdegasps..
non capisco una cosa però.. mentre il fisso non lo curavo da anni (è di mia sorella) non riesco a capire come sia possibile che il cp non sia aggiornato.. gli aggiornamenti importanti non dovrebbero essere automatici? potrebbe essere il mio firewall che ha impedito a qualcosa di aggiornarsi? uso Comodo..

non si tratta degli aggiornamenti di windows ma di quello che il 98% degli utenti windows non curano affatto ossia i programmi di cornice, quelli che hai installato per vedere i pdf, per avere la java, per sentire la musica..
sono allo stesso pari degli aggiornamenti di windows perchè i bug esistono in ogni programma e ora più che mai (da due anni) il malware per intrufolarsi usa proprio queste autostrade aperte nei pc..

ogni programma se possiede un bug può essere vettore di infezione per questo ti ho evidenziato la carenza di aggiornamenti, del resto il pc è un'unica entità

con linux è tutto più facile perchè gli aggiornamenti li scarichi dai repository della stessa distribuzione linux e pertanto non ti aggiorna solo il kernel ma anche tutti i moduli che hai installato

[Alevalex]

Quote:

Originariamente inviato da Chill-Out

Pulito

Come sempre grazie per la disponibilità

[manidiburro]

Quote:

Originariamente inviato da xcdegasp

non si tratta degli aggiornamenti di windows ma di quello che il 98% degli utenti windows non curano affatto ossia i programmi di cornice, quelli che hai installato per vedere i pdf, per avere la java, per sentire la musica..
sono allo stesso pari degli aggiornamenti di windows perchè i bug esistono in ogni programma e ora più che mai (da due anni) il malware per intrufolarsi usa proprio queste autostrade aperte nei pc..

ogni programma se possiede un bug può essere vettore di infezione per questo ti ho evidenziato la carenza di aggiornamenti, del resto il pc è un'unica entità

con linux è tutto più facile perchè gli aggiornamenti li scarichi dai repository della stessa distribuzione linux e pertanto non ti aggiorna solo il kernel ma anche tutti i moduli che hai installato

mmm grazie mille avevo un sacco di cose da aggiornare!! l'unica cosa che però mi da sempre da aggiornare è java.. mi dice che ho 3 cose da aggiornare a riguardo ma tutte e 3 mi fanno scaricare lo stesso identico file, e dopo aver eseguito questo file il sito mi dice che è ancora da aggiornare.. hai qualche idea a riguardo?! per il resto è tutto ok invece

[xcdegasp]

Quote:

Originariamente inviato da manidiburro

mmm grazie mille avevo un sacco di cose da aggiornare!! l'unica cosa che però mi da sempre da aggiornare è java.. mi dice che ho 3 cose da aggiornare a riguardo ma tutte e 3 mi fanno scaricare lo stesso identico file, e dopo aver eseguito questo file il sito mi dice che è ancora da aggiornare.. hai qualche idea a riguardo?! per il resto è tutto ok invece

per la java devi disinstallare due installazioni vecchie

[paolo-fcb]

Ciao ragazzi, torno qui perchè ho un problema ed intanto per sicurezza posto il log di hjt perchè non so magari dipende da questo: quando clicco risorse del computer, ho xp, e doppio click sui 2 hard disks mi compare il msg che posto nella immagine, riguarda il gioco Fifa10 credo eppure vi giuro che il gioco è originalissimo ed ho solo messo, poi tolto perchè mi faceva casino, un exe no-dvd per non rovinare il dvd di Fifa, poi siccome Avira mi ha trovato un presunto troiano gli ho detto di eliminare il file, forse ho toppato io?

http://www.mediafire.com/?sharekey=6...ecd7d091ba63d2

edit-l'immagine è qui:

http://www.mediafire.com/?sharekey=d...095ac91101628c

[wjmat]

Quote:

Originariamente inviato da paolo-fcb

Ciao ragazzi, torno qui perchè ho un problema ed intanto per sicurezza posto il log di hjt perchè non so magari dipende da questo: quando clicco risorse del computer, ho xp, e doppio click sui 2 hard disks mi compare il msg che posto nella immagine, riguarda il gioco Fifa10 credo eppure vi giuro che il gioco è originalissimo ed ho solo messo, poi tolto perchè mi faceva casino, un exe no-dvd per non rovinare il dvd di Fifa, poi siccome Avira mi ha trovato un presunto troiano gli ho detto di eliminare il file, forse ho toppato io?

ciao

edita il tuo post caricando l'immagine su uno dei server remoti indicati altrimenti alteri il layout della pagina, grazie

[paolo-fcb]

fatto

[miciotta62]

con la scansione ADS di Hijackthis nel menu TOOL MISCsul mio pc di casa trova:


C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 39413AC3 (114 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 8CE646EE (134 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 39413AC3 (114 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 8CE646EE (134 bytes)


che tra altro 2 voci ci sono pure nel pc del ufficio ! che faccio le cancello o ? che file sono ? in TEMP ....?

[wjmat]

Quote:

Originariamente inviato da paolo-fcb

Ciao ragazzi, torno qui perchè ho un problema ed intanto per sicurezza posto il log di hjt perchè non so magari dipende da questo: quando clicco risorse del computer, ho xp, e doppio click sui 2 hard disks mi compare il msg che posto nella immagine, riguarda il gioco Fifa10 credo eppure vi giuro che il gioco è originalissimo ed ho solo messo, poi tolto perchè mi faceva casino, un exe no-dvd per non rovinare il dvd di Fifa, poi siccome Avira mi ha trovato un presunto troiano gli ho detto di eliminare il file, forse ho toppato io?

http://www.mediafire.com/?sharekey=6...ecd7d091ba63d2

edit-l'immagine è qui:

http://www.mediafire.com/?sharekey=d...095ac91101628c

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (MSN Games – Hearts) - http://zone.msn.com/bingame/zpagames/zpa_hrtz.cab99160.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZPAFramework.cab102118.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {FF3C5A9F-5A91-4930-80E8-4709194C2AD3} (CheckersZPA Object) - http://zone.msn.com/bingame/zpagames/CheckersZPA.cab55579.cab

mi sembra comunque tutto ok

prova a cercare quella voce nel registro di sistema con reg scanner o regedit e riportaci le chiavi in cui la trovi