HiJackThis - Analisi Log - leggere Regole di Sezione

[xcdegasp]

Quote:

Originariamente inviato da Carlyle

potrei avere un controllo anche io?

ma l'antibirus dove te lo sei perso?

possiedi queste due voci che non sono per nulla rassicuranti:

Codice:

O4 - HKLM\..\Run: [{7CD4DDB7-264F-4EAA-43E1-2156622D54C9}] C:\Users\Enzo\AppData\Roaming\Nyetf\ovsit.exe
O4 - HKLM\..\Run: [{EB17A053-BEF0-1429-7815-7506DC74E2B6}] C:\Users\Enzo\AppData\Roaming\Dyfoul\ecel.exe

falle scansionare su http://www.virustotal.com e http://www.virscan.org, in ognuno a fine scansione ti verrà mostrata la griglia dei risultati per ciasc'un antivirus quindi basterà copiare l'indirizzo che compare nel browser e incollarlo qui (per entrambi i siti ed entrambi i file)


inoltre hai il pc con software antiquato quindi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[xcdegasp]

Quote:

Originariamente inviato da coolintel

Qualcuno mi può controllare il log????

http://wikisend.com/download/518558/HiJackFree.log

Grazie mille.

pulito

[Carlyle]

Quote:

Originariamente inviato da xcdegasp

ma l'antibirus dove te lo sei perso?

possiedi queste due voci che non sono per nulla rassicuranti:

Codice:

O4 - HKLM\..\Run: [{7CD4DDB7-264F-4EAA-43E1-2156622D54C9}] C:\Users\Enzo\AppData\Roaming\Nyetf\ovsit.exe
O4 - HKLM\..\Run: [{EB17A053-BEF0-1429-7815-7506DC74E2B6}] C:\Users\Enzo\AppData\Roaming\Dyfoul\ecel.exe

falle scansionare su http://www.virustotal.com e http://www.virscan.org, in ognuno a fine scansione ti verrà mostrata la griglia dei risultati per ciasc'un antivirus quindi basterà copiare l'indirizzo che compare nel browser e incollarlo qui (per entrambi i siti ed entrambi i file)


inoltre hai il pc con software antiquato quindi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

Ecco:

http://www.virustotal.com/file-scan/...d26-1281771866

http://www.virscan.org/report/d7704a...41f781e15.html

http://www.virustotal.com/file-scan/...f6d-1281772868

http://www.virscan.org/report/11c61b...54957ed31.html

[xcdegasp]

bene spero tu ora ti senta soddisfatto d'aver raggiunto l'obbiettivo di non installare un antivirus perchè secondo alcuni geni rallenterebbe i giochi (tanto c'è senpre chi a gratis da una mano a pulire i pc), dopo aver installato un antivirus segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

ovviamente apriti un nuovo thread per pubbblicare i log/report

[mauretto81]

ciao amici ... mi daresste una occhiata al log di hijack? grazie...

hijackthis.log

[xcdegasp]

Quote:

Originariamente inviato da mauretto81

ciao amici ... mi daresste una occhiata al log di hijack? grazie...

hijackthis.log

fixa:

Codice:

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programmi\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programmi\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SearchSettings] C:\Programmi\pdfforge Toolbar\SearchSettings.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)

sembra esserci una piccola infenzione segui le indicazioni date qui così vediamo se è il caso di approfondire:
http://www.hwupgrade.it/forum/showpo...93&postcount=3

pubblica poi i log/report in quel thread

[piedibagnati Meccha RuleZ]

Salve a tutti come da titolo mi sono beccato un virus che avg (o meglio) io nn riesco a rimuovere.
1. passo ho disabilitato ripristino configurazione sis
2. ho ejettato il file compresso dove l'antivirus mi ha trovato il virus
3. con ATF-Cleaner ho rimosso file temp etc (select all)
4. ho creato il log con hiJackThis e ho seguito il link alla pagina di controllo on line che mi segnala una voce in rosso come forte sospetto ma poi lo giudica sicuro.
Dopo aver fatto partire il programma, resident shield avg mi ha rilevato il trojan in apertura sul programma...
5. ho fatto una scansione con avg antirootkit, ne trova una marea in recycled ma nn rimuove nulla e io nn sò come comportarmi.


Il problema che riscontro nel pc è un chiaro rallentamento e pagine explorer che si chiudono quando decidono loro. :-(

Mi dareste una mano per rimuovere l'inezione?
Vi ringrazio molto
posto di seguito il Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.43.16, on 15/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
log rimosso, leggere le Regole di Sezione

--
End of file - 12907 bytes


La voce che mi vede come sospetta è questa
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

[riccardo6]

ciao mi potreste dare un'occhiata al log ? grazie

HiJackFree.txt

[xcdegasp]

Quote:

Originariamente inviato da piedibagnati Meccha RuleZ

Salve a tutti come da titolo mi sono beccato un virus che avg (o meglio) io nn riesco a rimuovere.
1. passo ho disabilitato ripristino configurazione sis
2. ho ejettato il file compresso dove l'antivirus mi ha trovato il virus
3. con ATF-Cleaner ho rimosso file temp etc (select all)
4. ho creato il log con hiJackThis e ho seguito il link alla pagina di controllo on line che mi segnala una voce in rosso come forte sospetto ma poi lo giudica sicuro.
Dopo aver fatto partire il programma, resident shield avg mi ha rilevato il trojan in apertura sul programma...
5. ho fatto una scansione con avg antirootkit, ne trova una marea in recycled ma nn rimuove nulla e io nn sò come comportarmi.


Il problema che riscontro nel pc è un chiaro rallentamento e pagine explorer che si chiudono quando decidono loro. :-(

Mi dareste una mano per rimuovere l'inezione?
Vi ringrazio molto
posto di seguito il Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.43.16, on 15/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
log rimosso, leggere le Regole di Sezione

--
End of file - 12907 bytes


La voce che mi vede come sospetta è questa
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

il log hijjackthis non mostra una fotografia comnpleta del tuo pc bensi solo una parte di esso quindi se vuoi attuare una disinfezione hijackthis deve essere uno degli attori in gioco e non l'unico, oltre a questo aggiungo che hijackthis va bene per un ritocco finale dopo aver "sgrassato".
quindi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
ovviamente per pubblicarli dovrai aprire un nuovo thread e sopratutto leggere le regole di sezione perchè un errore è distrazione i successivi sono dettati da poca collaborazione

ti faccio presente che il pc possiede software antichissimo (acrobat 6.0) e WindowsXP non è aggiornato al sp3!!

[xcdegasp]

Quote:

Originariamente inviato da riccardo6

ciao mi potreste dare un'occhiata al log ? grazie

HiJackFree.txt

pulito

[piedibagnati Meccha RuleZ]

[quote=xcdegasp;32840342]il log hijjackthis non mostra una fotografia comnpleta del tuo pc bensi solo una parte di esso quindi se vuoi attuare una disinfezione hijackthis deve essere uno degli attori in gioco e non l'unico, oltre a questo aggiungo che hijackthis va bene per un ritocco finale dopo aver "sgrassato".
quindi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
ovviamente per pubblicarli dovrai aprire un nuovo thread e sopratutto leggere le regole di sezione perchè un errore è distrazione i successivi sono dettati da poca collaborazione

ti faccio presente che il pc possiede software antichissimo (acrobat 6.0) e WindowsXP non è aggiornato al sp3!![/QUOTE

le regole di sezione sono parecchie, scusate per il log non in allegato.
Per quanto riguarda il software vecchissimo tipo il service pack 3 nn installato è perchè il tutto stà su una macchina antichissima P4 Notrwood 2400 Ghz.
Non vorrei appesantirlo ulteriormente, domani parto e ritorno a casa inizi settembre, ci risentiamo in quel periodo se nn sono riuscito a risolvere.
Grazie e scusate nuovamente

[xcdegasp]

la lunghezza è determinata dalla necessità e l'obbligo non ne viene meno, ma concorderai che le regole di sezione non erano più lunghe del tuo messaggio originario, quindi se usassi il tuo metro avrei bellamente ignorato il tuo messaggio d'aiuto e non credo che questa fosse assimilabile come "rispetto nei tuoi confronti"

[piedibagnati Meccha RuleZ]

concordo assolutamente e ti ringrazio dell'aiuto, scusa se non si era capito.

[enzo12345]

Ho contratto il malware in oggetto, questo il log di hijackthis:

Codice:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 2.13.24, on 17/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\massimo\Documenti\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programmi\McAfee\VirusScan Enterprise\Scriptcl.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [sniffer] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [37135695] "C:\DOCUME~1\massimo\IMPOST~1\DATIAP~1\37135695.exe" 12 45 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programmi\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programmi\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programmi\McAfee\VirusScan Enterprise\VsTskMgr.exe

--
End of file - 3251 bytes

Dove si annida quel maledetto? Vi prego aiutatemi, riformattare e reinstallare sarebbe per me un lavoro immane.


17/08/10 EDIT: problema risolto: ho riavviato xp in modalità provvisoria (premendo f8) scegliendo l'opzione "modalità provvisoria con rete": quest'opzione consente di accedere ad internet anche da modalità provvisoria. Dopodichè ho scaricato Malwarebytes' Anti-Malware, del quale la versione gratuita va benissimo, l'ho installato, lanciato la scansione e voilà, rogue debellato! Grazie cmq a Chill-Out per la risposta.

[Chill-Out]

Quote:

Originariamente inviato da enzo12345

Ho contratto il malware in oggetto, questo il log di hijackthis:



Dove si annida quel maledetto? Vi prego aiutatemi, riformattare e reinstallare sarebbe per me un lavoro immane.

Segui passo passo la Guida dedicata ala rimozione della suddetta infezione
http://www.hwupgrade.it/forum/showthread.php?t=1789446 prestando attenzione al Post 3

[gianly80]

Ciao ragazzi, ho un pc hp pavillon che è molto molto lento..anche all'avvio del pc e alla chiusura penso proprio sia un infezione. questo è il log qualcuno saprebbe aiutarmi?

Log rimosso non conforme alle Regole.

[Chill-Out]

Quote:

Originariamente inviato da gianly80

Ciao ragazzi, ho un pc hp pavillon che è molto molto lento..anche all'avvio del pc e alla chiusura penso proprio sia un infezione. questo è il log qualcuno saprebbe aiutarmi?

Log rimosso non conforme alle Regole.

Ciao allega un log completo nel rispetto delle Regole indicate nella prima pagina del presente 3D, grazie.

[gianly80]

Quote:

Originariamente inviato da Chill-Out

Ciao allega un log completo nel rispetto delle Regole indicate nella prima pagina del presente 3D, grazie.

scusate ecco il file:

http://wikisend.com/download/441378/hijackthis.log

[Chill-Out]

Quote:

Originariamente inviato da gianly80

scusate ecco il file:

http://wikisend.com/download/441378/hijackthis.log

E' necessario aggiornare il SO

Quote:

Platform: Windows XP SP2 (WinNT 5.01.2600)

sei fermo al SP2 non più supportato, installa il SP3 + un consistente numeri di aggiornamenti successi.

[gianly80]

purtroppo non si installa sp3, come faccio doppio click sull'eseguibile rimane la clessidra, è tutto lentissimo, anche se devo fare un dvd ci mette 3-4 ore. navigare riesco ma per il resto tutto lentissimo.