HiJackThis - Analisi Log - leggere Regole di Sezione

[tatovm2s]

Quote:

Originariamente inviato da xcdegasp

hijakthis va scompattato in una cartella creata appositamente quindi rifai il log!

azz ignoravo la cosa,
eccolo

http://wikisend.com/download/617424/hijackthis.log

[xcdegasp]

Quote:

Originariamente inviato da tatovm2s

azz ignoravo la cosa,
eccolo

http://wikisend.com/download/617424/hijackthis.log

hai solo un avoce fuori posto e probabilmnete derivante da un attacco infettivo:

Codice:

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

fixa e poi reinstalla il porgramma a cui si riferiva

[fracarro]

Help!!!
Nell'ultimo mese sto avendo grossi problemi con l'explorer (il processo che gestisce l'esplora risorse). In pratica quando apro un paio di cartelle dopo 10 secondi, 1 minuto o mezz'ora il processo explorer.exe si blocca. La cosa strana è che nel task manager mi segnala due processi explorer.exe mentre credo che dovrebbe essercene solo uno. Il bello è che se ne uccido uno mi scompare la barra di windows (e quindi tramite il task manager devo riavviare l'explorer) mentre se uccido l'altro si chiudono le cartelle bloccate e tutto funziona come prima. Nel file di log di hijakthis che posto di seguito proprio all'inizio mi dice che Explorer.EXE (notare come ci siano lettere maiuscole nel nome a differenza di quanto riportato dal task manager) viene caricato due volte è normale?

[Gle89]

Quote:

Originariamente inviato da fracarro

Help!!!
Nell'ultimo mese sto avendo grossi problemi con l'explorer (il processo che gestisce l'esplora risorse). In pratica quando apro un paio di cartelle dopo 10 secondi, 1 minuto o mezz'ora il processo explorer.exe si blocca. La cosa strana è che nel task manager mi segnala due processi explorer.exe mentre credo che dovrebbe essercene solo uno. Il bello è che se ne uccido uno mi scompare la barra di windows (e quindi tramite il task manager devo riavviare l'explorer) mentre se uccido l'altro si chiudono le cartelle bloccate e tutto funziona come prima. Nel file di log di hijakthis che posto di seguito proprio all'inizio mi dice che Explorer.EXE (notare come ci siano lettere maiuscole nel nome a differenza di quanto riportato dal task manager) viene caricato due volte è normale?

Puoi allegare un immagine del task manager dove compaiono i due explorer.exe? Dal log di HJT l'estensione è sempre in maiuscolo...

Inoltre usi Nlite?

[beemaya]

Quote:

Originariamente inviato da xcdegasp

devi continuare nel thread del conficker!!
non capisco proprio perchè vai a spargere i log in giro..

questo è il log di un altro mio pc(avendone 4)...il problema con l'altro l'ho risolto..ora ho questo da pulire!e non capendo volevo sapere dove continuare..tutto qui...non spargo logs in giro....

[fracarro]

Quote:

Originariamente inviato da Gle89

Puoi allegare un immagine del task manager dove compaiono i due explorer.exe? Dal log di HJT l'estensione è sempre in maiuscolo...

Inoltre usi Nlite?

Ecco qui l'immagine del task manager:
Immagine.JPG

Come puoi notare nel tab applicazioni ogni finestra che ho aperta viene "stranamente" duplicata quando si blocca. Nel tab processi invece mi ritrovo due explorer.exe (scritti questa volta in minuscolo). Il secondo (quello evidenziato) mi insospettisce perchè se lo uccido le cartelle bloccate si chiudono e tutto torna a funzionare senza problemi. Se invece uccido il primo explorer scompare la barra delle applicaizoni e mi tocca riavviarlo tramite l'esegui. Ho controllato nella cartella di windows e c'è solo l'explorer.exe scritto tutto in minuscolo quindi non capisco perchè hijackthis lo riporta con le lettere maiuscole.

Per quanto riguarda l'nlite, l'ho installato tanto tempo fa ma non lo uso da una vita ormai.

[Gle89]

Quote:

Originariamente inviato da fracarro

Ecco qui l'immagine del task manager:
Immagine.JPG
Ho controllato nella cartella di windows e c'è solo l'explorer.exe scritto tutto in minuscolo quindi non capisco perchè hijackthis lo riporta con le lettere maiuscole.

Se dal task manager, dal tab processi, clicci di destro prima su uno e poi sull'altro riesci a vedere in quale cartella riesiedono i due file?

[fracarro]

Quote:

Originariamente inviato da Gle89

Se dal task manager, dal tab processi, clicci di destro prima su uno e poi sull'altro riesci a vedere in quale cartella riesiedono i due file?

Purtroppo no. Le uniche opzioni che ho se clicco con il destro sono: termina processo, termina struttura processo, imposta priorità, imposta affinità.

[Gle89]

Quote:

Originariamente inviato da fracarro

Purtroppo no. Le uniche opzioni che ho se clicco con il destro sono: termina processo, termina struttura processo, imposta priorità, imposta affinità.

a questo punto ti consiglio di aprire un thread nella sezione Aiuto sono infetto! Cosa faccio? e seguire la semplice Guida alla Disinfezione per Infetti e di pubblicare tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremo vedere se è un infezione oppure se dobbiamo operare in un altro modo!

Il log di HJT sembra essere pulito ma non è sicuramente una visione completa della situazione del tuo pc.

Mi raccomando quando aprirai il thread nella sezione apposita, spiega di nuovo il problema e semmai linka il tuo primo messaggio che hai postato qui . Cosi tutti potranno avere una visione completa del tuo problema!

[xcdegasp]

Quote:

Originariamente inviato da fracarro

Purtroppo no. Le uniche opzioni che ho se clicco con il destro sono: termina processo, termina struttura processo, imposta priorità, imposta affinità.

ti chiederei di modificare la firma perchè viola il Regolamento del Forum:

Quote:

Signature
E' possibile inserire una signature personale lunga al massimo 3 righe, visualizzate alla risoluzione di 1024 pixel di larghezza, solo testo con un massimo di 3 smiles dell'Hardware Upgrade Forum oppure un'immagine 100 X 50 X 5KBytes di peso e una riga di testo (non deve andare a capo). L'altezza massima della signature deve essere non superiore a quella di 3 righe di solo testo (approssimativamente circa 50 pixel). E' possibile verificare la corretta lunghezza della propria signature in un thread nel Forum, aiutandosi anche con il layout fixed al quale corrisponde una risoluzione di 1024 pixel.

grazie

[fracarro]

Quote:

Originariamente inviato da Gle89

a questo punto ti consiglio di aprire un thread nella sezione Aiuto sono infetto! Cosa faccio? e seguire la semplice Guida alla Disinfezione per Infetti e di pubblicare tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremo vedere se è un infezione oppure se dobbiamo operare in un altro modo!

Il log di HJT sembra essere pulito ma non è sicuramente una visione completa della situazione del tuo pc.

Mi raccomando quando aprirai il thread nella sezione apposita, spiega di nuovo il problema e semmai linka il tuo primo messaggio che hai postato qui . Cosi tutti potranno avere una visione completa del tuo problema!

Ok ,grazie mille per l'aiuto.

[nikibill]

salve ragazzi,quando avete un attimo potete controllare questo log per favore
hijackthis.log

[lightwave3d]

Ciao,ho una voce strana nel log http://wikisend.com/download/505486/hijackthis.log per esattezza la voce

O23 - Service: Windows Resident Anti-Virus (WDI) - Unknown owner - C:\Windows\System32\WinDefense32\wdi\svchost.exe (file missing)

Ho provato a cancellare la voce ma non me la cancella..secondo voi può essere pericolosa come voce??
Ciao

[wjmat]

Quote:

Originariamente inviato da lightwave3d

Ciao,ho una voce strana nel log http://wikisend.com/download/505486/hijackthis.log per esattezza la voce

O23 - Service: Windows Resident Anti-Virus (WDI) - Unknown owner - C:\Windows\System32\WinDefense32\wdi\svchost.exe (file missing)

Ho provato a cancellare la voce ma non me la cancella..secondo voi può essere pericolosa come voce??
Ciao

ciao

sembrerebbero tracce di un infezione passata

Fai start → Esegui → digita o copia/incolla in sequenza

Codice:

sc stop WDI (invio)
sc delete WDI (invio)

[wjmat]

Quote:

Originariamente inviato da nikibill

salve ragazzi,quando avete un attimo potete controllare questo log per favore
hijackthis.log

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] F:\Winamp\winampa.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1260396120093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9838FF43-1F47-4FA9-B2CD-45DE6DC2F06A}: NameServer = 8.8.4.4,8.8.8.8

per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[Chill-Out]

Quote:

Originariamente inviato da nikibill

salve ragazzi,quando avete un attimo potete controllare questo log per favore
hijackthis.log

Con il Browser chiuso puoi fixare le seguenti voci:

Quote:

R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

[lightwave3d]

Quote:

Originariamente inviato da wjmat

ciao

sembrerebbero tracce di un infezione passata

Fai start → Esegui → digita o copia/incolla in sequenza

Codice:

sc stop WDI (invio)
sc delete WDI (invio)

ma l'ha tolto .
grazie mille wjmat

[wjmat]

Quote:

Originariamente inviato da lightwave3d

ma l'ha tolto .
grazie mille wjmat

di nulla
ciao

[fox147]

Salve a tutti non riesco prprio a capire come analizzare il file ,gentilmente potreste analizzarmelo? l'ho allegato al post, ho deciso di analizzarlo xk mi sono accorto di una cosa,quando sono su hotmail spesso mi reindirizza (a vuoto) a un link view.atdmt.com e vorrei capire se c'è qlq problema

[JohnCipollina]

Salve a tutti, un paio di settimane fa sono stato infettato da qualche schifezza e credo di avere risolto tutto con SDFix, Mbam ,Avast e CCleaner.
Esattamente non ricordo che roba era...aveva a che fare con svchost.exe e ad un errore .dll all' avvio....qualcosa conservo nella quarantena di Mbam.
Ma non è questo il punto, infatti ora va tutto a meraviglia.
Ho scoperto oggi l' esistenza di HijackThis e riporto il log
Non mi piacciono per niente tutti questi CTFMON.EXE maiuscoli .....potrebbero essere infetti ?che faccio?
riguardo ad altre stringhe che riportano "no file" oppure "file missing" vado tranquillo e fixo?