HiJackThis - Analisi Log - leggere Regole di Sezione

[gabrib]

Ciao a tutti, potreste dare un'occhiata al mio log?? Grazie

[gabrib]

Scusate doppio post chiedo all'amministratore di cancellarlo grazie

[Chill-Out]

Quote:

Originariamente inviato da dizi01

Ciao ragazzi... scusate potreste dare un occhiata anche al mio log?...

Grazie..


Norton ogni tanto mi dice che blocca tentativi di intrusione da parte di ads2.freeimags.org. Percorso dell'applicazione C:\Users\Nome\AppData\Local\Temp\esentutl.exe...

che cos'è?

Non so da dove sia saltato fuori... visto che il pc è nuovo e ce l'ho da 2 giorni...

Sei infetta/o, segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post, in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[Chill-Out]

Quote:

Originariamente inviato da annalisa19

Ciao ragazzi,da stamattina il mio pc (xp) è impazzito.

In pratica il led rosso dell'hard disk lampeggia di continuo e senza motivo utilizzando tutta la cpu fino a bloccare tutto e costingermi a riavviare da reset.

In modalità provvisoria non lo fa.

Allego log.

Vi prego di aiutarmi, sono bloccata totalmente.

Grazie

Dal log non emerge nulla.

[Chill-Out]

Quote:

Originariamente inviato da vitus77

Salve ragazzi,
un piccolo sguardo al log di HiJackThis come da routine da qualche tempo a questa parte.
Grazie mille e Buon Anno a tutta la crew di HWupgrade.

Dal log non emergono tracce di infezione, si evince però che non hai disinstallato correttamente il McAfee, inoltre utilizzi un aversione del Kis obsoleta, sarebbe opportuno aggiornare http://www.hwupgrade.it/forum/showthread.php?t=1545212

Buon anno anche a te

[Chill-Out]

Quote:

Originariamente inviato da gabrib

Ciao a tutti, potreste dare un'occhiata al mio log?? Grazie

Pulito, aggiorna IE alla versione 8

[gabrib]

Quote:

Originariamente inviato da Chill-Out

Pulito, aggiorna IE alla versione 8

Grazie.

[vitus77]

Quote:

Originariamente inviato da Chill-Out

Dal log non emergono tracce di infezione, si evince però che non hai disinstallato correttamente il McAfee, inoltre utilizzi un aversione del Kis obsoleta, sarebbe opportuno aggiornare http://www.hwupgrade.it/forum/showthread.php?t=1545212

Buon anno anche a te

Grazie molte Chill,

anche io a i tempi della disinstallazione di McAfee ebbi dubbi della corretta riuscita della procedura di rimozione, adesso non saprei come pulire in maniera efficace le tracce rimaste. Ho RevoUnistaller ma non so se sia adeguato per un'operazione di questo tipo.
Anyway, grazie ancora.

[damon666]

Quote:

Originariamente inviato da wjmat

riedita ala chiave di registro aggiungendo C:\WINDOWS\system32\userinit.exe, all'inizio altrimenti al prossimo riavvio non accederai più a win, poi segui la guida come già indicato

Fatto!
Grazie...ci si vede nell'altra sezione

PS: mi consigliate di cambiare AVG dato che mi fa andare la CPU fissa a l100%
Metto prima o dopo la disinfezione il nuovo antivirus? AVIRA?

[wjmat]

Quote:

Originariamente inviato da damon666

Fatto!
Grazie...ci si vede nell'altra sezione

PS: mi consigliate di cambiare AVG dato che mi fa andare la CPU fissa a l100%
Metto prima o dopo la disinfezione il nuovo antivirus? AVIRA?

disinfetta poi metterai avira
non penso sia il solo avg a sovraccaricare la cpu

[Niobe2006]

Scusate, elimino la mia richiesta di analisi del log perchè il computer si è improvvisamente spento da solo e non riparte. Vedo se riesco a "rianimarlo" e casomai rinnovo la richiesta. Grazie comunque e scusate l'inconveniente.

[omissam]

Quote:

Originariamente inviato da Chill-Out

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1715546 gli aggiornamenti li rimandiamo alla risoluzione di questo nuovo problema.

Bene Chill....Ho seguito le istruzioni seguendo alla lettera le indicazioni con Gmer e Prevx.Allego link per log (spero di farlo in maniera esatta..scusandomi per eventuali errori) per vedere se ora il problema è risolto (sembra che comunque vada già meglio!!) Grazie

http://wikisend.com/download/565898/Gmer1.txt.log
http://wikisend.com/download/454056/prevx.txt
http://wikisend.com/download/529182/Prevx2.txt

[digit10]

Ciao a tutti,
Vi ringrazio in anticipo per l'aiuto che vorrete darmi xchè non so davvero + cosa fare.
Sono ormai due giorni che le sto provando tutte x cercare di risolvere il mio problema.
All'improvviso il NB (Fujitsu Siemens) ha incominciato a diventare sempre + lento e a bloccarsi.
Digitando CTRL-ALT-CAN l'unca maniera x sbloccarlo mi appare sempre come processo in esecuzione Netropa Hot Key.
Ho provato a fare scansioni di ogni tipo, sia in modalità provvisoria che normale, con Norton e Ad-Aware e Windows Malware ; inizialmente qualche virus l'ha trovato e risolto, ma ora non trova + niente ma il PC continua a essere MOLTO lento e a bloccarsi.
Il/I virus avevano anche impedito la visulizzazone dei file e delle cartelle nascoste ma utilizzando i vostri consigli ho modificato i file di registro e ora sono ricomparsi.
Ora vi sto scrivendo in modalità provvisoria (dove il Netropa Hot Key non mi appare in esecuzione) e il computer funziona regolarmente
Vi allego il log :

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.14.16, on 02/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lastampa.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F77CDB7-D730-4B5C-A64F-1515DF0BFB12} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\Norton Internet Security\Norton Internet Security\Engine\17.0.0.136\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton Internet Security\Norton Internet Security\Engine\17.0.0.136\IPSBHO.DLL
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll (file missing)
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator 11\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\Norton Internet Security\Norton Internet Security\Engine\17.0.0.136\coIEPlg.dll
O4 - HKLM\..\Run: [LaunchAp] "C:\Programmi\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
O4 - HKLM\..\Run: [Office Keyboard] C:\WINDOWS\MMKeybd.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [MBBalloon] C:\Programmi\HOTALBUMMyBOX\MBBalloon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB003" /M "Stylus D68"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programmi\Launch Manager\HotkeyApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NetUse_Z.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Global Startup: Windows Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcamsite.cap.ru/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{054D080D-409B-4F70-947E-750EBBAFAB1F}: NameServer = 151.99.125.2,151.99.0.100
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator 11\LogoMedia TranslateDotNet Server.exe
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe

--
End of file - 8577 bytes

Aspetto il vostro aiuto, GRAZIE !!

[fabioss]

ragazzi mi aiutate a fare pulizia?

hijackthis.log

[mybytes]

Salve a tutti , ho seguito la guida per la disinfezione, e se non sbaglio non é male postare il log di hijackthis qui .

hijackthis.txt

grazie

[Chill-Out]

Quote:

Originariamente inviato da omissam

Bene Chill....Ho seguito le istruzioni seguendo alla lettera le indicazioni con Gmer e Prevx.Allego link per log (spero di farlo in maniera esatta..scusandomi per eventuali errori) per vedere se ora il problema è risolto (sembra che comunque vada già meglio!!) Grazie

http://wikisend.com/download/565898/Gmer1.txt.log
http://wikisend.com/download/454056/prevx.txt
http://wikisend.com/download/529182/Prevx2.txt

Allegali nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1715546

[Chill-Out]

Quote:

Originariamente inviato da fabioss

ragazzi mi aiutate a fare pulizia?

hijackthis.log

Controllato

[Chill-Out]

Quote:

Originariamente inviato da mybytes

Salve a tutti , ho seguito la guida per la disinfezione, e se non sbaglio non é male postare il log di hijackthis qui .

hijackthis.txt

grazie

Cortesemente riallega il log, esattamente come viene rilasciato a fine scansione.

[Chill-Out]

Quote:

Originariamente inviato da digit10

Ciao a tutti,
Vi ringrazio in anticipo per l'aiuto che vorrete darmi xchè non so davvero + cosa fare.
Sono ormai due giorni che le sto provando tutte x cercare di risolvere il mio problema.
All'improvviso il NB (Fujitsu Siemens) ha incominciato a diventare sempre + lento e a bloccarsi.
Digitando CTRL-ALT-CAN l'unca maniera x sbloccarlo mi appare sempre come processo in esecuzione Netropa Hot Key.
Ho provato a fare scansioni di ogni tipo, sia in modalità provvisoria che normale, con Norton e Ad-Aware e Windows Malware ; inizialmente qualche virus l'ha trovato e risolto, ma ora non trova + niente ma il PC continua a essere MOLTO lento e a bloccarsi.
Il/I virus avevano anche impedito la visulizzazone dei file e delle cartelle nascoste ma utilizzando i vostri consigli ho modificato i file di registro e ora sono ricomparsi.
Ora vi sto scrivendo in modalità provvisoria (dove il Netropa Hot Key non mi appare in esecuzione) e il computer funziona regolarmente
Vi allego il log :


Aspetto il vostro aiuto, GRAZIE !!

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

Quote:

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: (no name) - {2F77CDB7-D730-4B5C-A64F-1515DF0BFB12} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll (file missing)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKCU\..\Run: [MsServer] msfun80.exe

[mybytes]

Quote:

Originariamente inviato da Chill-Out

Cortesemente riallega il log, esattamente come viene rilasciato a fine scansione.

ecco , (ho usato la 2.0.3b -ho fatto male?-, e il log é salvato nella cartella documenti)

hijackthis.log

durante lo scan appare questa messaggio :
-------------------------------------------------------------------------------
- For some reason your system denied write access to the Hosts file.If any hijacked domains are in this file, HijaackThis may NOT be able to fix this.
If that happens you need to edit the file yourself. To do this click Start, Run and type :
notepad C:\Windows\System32\drivers\etc\hosts

and press Enter. Find the line(s) HijackThis reports and delete them.
Save the file as 'host.' (with quotes), and reboot .

For Vista: simply , exit Hijack This. right click on the Hijack This icon, choose 'Run as administrator'.
-------------------------------------------------------------------------------
Ma io lo eseguo già come amministratore , sotto Vista.

Seguendo la procedura manuale non mi é permesso salvare il file,
dato che non dispongo delle autorizzazioni necessarie.

Potrebbe avermi bloccato il file qualche antivirus es. McAfee che ho rimosso?
Controllando le Proprietà del file ' hosts ' sola lettura non é spuntato . E in Protezione é consentita
la scrittura per gli amministratori ma non per gli utenti.


grazie Chill-Out