HiJackThis - Analisi Log - leggere Regole di Sezione

[Gle89]

Quote:

Originariamente inviato da Estremo95

Gle89....hai letto sopra.....ti ho riportato il risultato dell'analisi!!!

inanto ho installato avira al posto di AVG....

Grazie

Scusami non avevo letto il tuo post. Sono contenta che hai sostutito Avira ad AVG Per il firewall quello di Windows non basta, leggi qui

Quell'eseguibile sospetto non mi convince ancora... quindi:

scarica Malwarebytes Anti-Malware
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controlo si trova nel Tab "File di log"). Allega il log nello stesso modo che hai allegato quello di HJT

[Chill-Out]

Quote:

Originariamente inviato da Gle89

Scusami non avevo letto il tuo post. Sono contenta che hai sostutito Avira ad AVG Per il firewall quello di Windows non basta, leggi qui

Quell'eseguibile sospetto non mi convince ancora... quindi:

scarica Malwarebytes Anti-Malware
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controlo si trova nel Tab "File di log"). Allega il log nello stesso modo che hai allegato quello di HJT

Se ritieni opportuno, consiglia di aprire una nuova discussione in Sezione aiuto sono infetto!

[Gle89]

Quote:

Originariamente inviato da Chill-Out

Se ritieni opportuno, consiglia di aprire una nuova discussione in Sezione aiuto sono infetto!

Ciao Chill-out di solito lo consiglio sempre ma questa volta volevo evitare di far aprire un thread inutile... volevo vedere se Malwarebytes Anti-Malware
trovava qualcosa e in caso positivo far aprire il thread

[Chill-Out]

Quote:

Originariamente inviato da Gle89

Ciao Chill-out di solito lo consiglio sempre ma questa volta volevo evitare di far aprire un thread inutile... volevo vedere se Malwarebytes Anti-Malware
trovava qualcosa e in caso positivo far aprire il thread

Comprendo, ma il 3D è dedicato solo al controllo del log di HJT

[lewis88]

Salve raga,dopo che ho sbagliato un paio di volte a postare, spero di averci azzeccato.Kmq spero che potrete darmi una mano xkè il mio pc da un paio di giorni mi sta andando lentissimo(del tipo che per aprire "risorse del cpu" ci vogliono un 20 sec) e inoltre mi sono accorto che alcune volte aprendo Task Manager noto un utilizzo del 50% della cpu senza nessun programma in esecuzione, anche cercando nell'elenco dei programmi,nessuno li utilizza..mah!..[kmq il pc l'ho formattato 1 settimana fa e c ho fatto anche una passata con avg,ad-ware e spybot ma nulla di risolto ]. Comunque ragazzi questo è il log di hijackthis: log hijackthis.log

[damon666]

Quote:

Originariamente inviato da wjmat

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [QuickTime Task] "C:\programmi\multimedia\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Google Updater.lnk.disabled
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55. cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: DirectX Service (Jisyf) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

non si vede o è disattivato il firewall
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

Il maledetto AVG credo continui a darmi fastidio...
Appena acceso il pc mi ritrovo questi 2 processi che si prendono il 100% della CPU e devo sempre disattivarli manualmente
avgrsx.exe
avgcsrvx.exe
Sapete dirmi se sono dannosi?

Per il log allego il file .exe poichè "qualcosa è rimasto"

Ciao e grazie

[wjmat]

Quote:

Originariamente inviato da lewis88

Salve raga,dopo che ho sbagliato un paio di volte a postare, spero di averci azzeccato.Kmq spero che potrete darmi una mano xkè il mio pc da un paio di giorni mi sta andando lentissimo(del tipo che per aprire "risorse del cpu" ci vogliono un 20 sec) e inoltre mi sono accorto che alcune volte aprendo Task Manager noto un utilizzo del 50% della cpu senza nessun programma in esecuzione, anche cercando nell'elenco dei programmi,nessuno li utilizza..mah!..[kmq il pc l'ho formattato 1 settimana fa e c ho fatto anche una passata con avg,ad-ware e spybot ma nulla di risolto ]. Comunque ragazzi questo è il log di hijackthis: log hijackthis.log

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)

Codice:

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programmi\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] C:\DOCUME~1\lewis\IMPOST~1\Temp\Rar$EX00.235\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [NokiaOviSuite2] C:\Programmi\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1260742077296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[bamboccina]

sono stata infettata da un rogue. ho segito la guida e rimosso il file infetto. Allego log di Hijackthis. potete dirmi se ci sono ancora ulteriori infezioni?
Grazie
Bamboccina

[wjmat]

Quote:

Originariamente inviato da bamboccina

sono stata infettata da un rogue. ho segito la guida e rimosso il file infetto. Allego log di Hijackthis. potete dirmi se ci sono ancora ulteriori infezioni?
Grazie
Bamboccina

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Emanuela\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

devi aggiornare
Internet Explorer alla versione 8
non si vede o è disattivato il firewall
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[omissam]

Quote:

Originariamente inviato da Chill-Out

Start - Esegui - digita regedit

naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

nel pannello di dx fai doppio click su Userinit ed elimina solo C:\WINDOWS\system32\secpol.exe,

ATTENZIONE non eliminare tutta la chiave questa parte non deve essere eliminata C:\WINDOWS\system32\userinit.exe, (virgola compresa)

chiudi il registro, riavvia il PC ed allega nuovo log di HJT

Ho seguito le tue indicazioni di cui ti ringrazio.Allego il nuovo log e attendo con speranza.

[Chill-Out]

Quote:

Originariamente inviato da omissam

Ho seguito le tue indicazioni di cui ti ringrazio.Allego il nuovo log e attendo con speranza.

Dal log non emege altro, devi necessariamente aggiornare il SO al SP3 e IE alla versione 8, ti suggerisco pertanto di seguire questa guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

[damon666]

Quote:

Originariamente inviato da damon666

Il maledetto AVG credo continui a darmi fastidio...
Appena acceso il pc mi ritrovo questi 2 processi che si prendono il 100% della CPU e devo sempre disattivarli manualmente
avgrsx.exe
avgcsrvx.exe
Sapete dirmi se sono dannosi?

Per il log allego il file .exe poichè "qualcosa è rimasto"

Ciao e grazie

Ho provato a cancellare dal registro la voce "sdra64.exe" ma sembra sia rimasta!

Allego nuovo log...

[Gle89]

Quote:

Originariamente inviato da damon666

Ho provato a cancellare dal registro la voce "sdra64.exe" ma sembra sia rimasta!

Allego nuovo log...

damon666

hai un pc infetto quindi ti consiglio di aprire un thread nella sezione Aiuto sono infetto! Cosa faccio? e segui la semplice Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potrai ricevere aiuto

Prima di effettuare la guida però esegui questo passaggio:

1- Start --> Esegui --> digita regedit--> clicca ok
2- recati fino alla seguente chiave di registro nel pannello di sinistra: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3- Nel pannello di destra fai doppio click su Userinit ed elimini C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\twext.exe,
4- La chiave deve rimanere così (virgola compresa) C:\WINDOWS\system32\userinit.exe,



Ti aspettiamo nell'altra sezione dove daremo una bella pulita al tuo computer cosi potrai a tornare ad usarlo normalmente

[annalisa19]

Ciao ragazzi,da stamattina il mio pc (xp) è impazzito.

In pratica il led rosso dell'hard disk lampeggia di continuo e senza motivo utilizzando tutta la cpu fino a bloccare tutto e costingermi a riavviare da reset.

In modalità provvisoria non lo fa.

Allego log.

Vi prego di aiutarmi, sono bloccata totalmente.

Grazie

[omissam]

Quote:

Originariamente inviato da Chill-Out

Dal log non emege altro, devi necessariamente aggiornare il SO al SP3 e IE alla versione 8, ti suggerisco pertanto di seguire questa guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Grazie Chill.Sto effettuando quanto consigliato.Vorrei solo segnalare che ad ogni connessione l'antivirus mi segnala un trojan che metto in quarantena,ma dopo una scansione compaiono 2/3 stringhe con 3 varianti numeriche diverse (tipo 47F oppure 480 etc...) """C:\Documents and Settings\HelpAssistant\Impostazioni locali\Temp\47F.tmp - variante modificata di Win32/Mebroot.CZ cavallo di troia""".Comprendo di non essere probabilmente nel topic giusto, ma sai dirmi qualcosa???

[Chill-Out]

Quote:

Originariamente inviato da omissam

Grazie Chill.Sto effettuando quanto consigliato.Vorrei solo segnalare che ad ogni connessione l'antivirus mi segnala un trojan che metto in quarantena,ma dopo una scansione compaiono 2/3 stringhe con 3 varianti numeriche diverse (tipo 47F oppure 480 etc...) """C:\Documents and Settings\HelpAssistant\Impostazioni locali\Temp\47F.tmp - variante modificata di Win32/Mebroot.CZ cavallo di troia""".Comprendo di non essere probabilmente nel topic giusto, ma sai dirmi qualcosa???

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1715546 gli aggiornamenti li rimandiamo alla risoluzione di questo nuovo problema.

[vitus77]

Salve ragazzi,
un piccolo sguardo al log di HiJackThis come da routine da qualche tempo a questa parte.
Grazie mille e Buon Anno a tutta la crew di HWupgrade.

[damon666]

Quote:

Originariamente inviato da Gle89

damon666

hai un pc infetto quindi ti consiglio di aprire un thread nella sezione Aiuto sono infetto! Cosa faccio? e segui la semplice Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potrai ricevere aiuto

Prima di effettuare la guida però esegui questo passaggio:

1- Start --> Esegui --> digita regedit--> clicca ok
2- recati fino alla seguente chiave di registro nel pannello di sinistra: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3- Nel pannello di destra fai doppio click su Userinit ed elimini C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\twext.exe,
4- La chiave deve rimanere così (virgola compresa) C:\WINDOWS\system32\userinit.exe,

Edit

Ti aspettiamo nell'altra sezione dove daremo una bella pulita al tuo computer cosi potrai a tornare ad usarlo normalmente

Ho fatto come hai detto, ma quando sulla chiave di registro cliccavo "rinomina" e poi cancellavo il virus, poi rispuntava...allora ha fatto "elimina" la chiave sperando di poter scegliere cosa eliminare!
Invece ha cancellato tutta la chiave epoi è spuntata "sdra64.exe"

Ora ho solo la chiave infetta!!!!
Come posso fare???


Allego schermata del registro

[gabrib]

Ciao a tutti, potreste dare un'occhiata al mio log?? Grazie.

[wjmat]

Quote:

Originariamente inviato da damon666

Ho fatto come hai detto, ma quando sulla chiave di registro cliccavo "rinomina" e poi cancellavo il virus, poi rispuntava...allora ha fatto "elimina" la chiave sperando di poter scegliere cosa eliminare!
Invece ha cancellato tutta la chiave epoi è spuntata "sdra64.exe"

Ora ho solo la chiave infetta!!!!
Come posso fare???


Allego schermata del registro

riedita ala chiave di registro aggiungendo C:\WINDOWS\system32\userinit.exe, all'inizio altrimenti al prossimo riavvio non accederai più a win, poi segui la guida come già indicato