HiJackThis - Analisi Log - leggere Regole di Sezione

[Flay83]

Quote:

Originariamente inviato da Flay83

Ok grazie, poi vi farò sapere.

Potrebbe essere anche qualcosa, secondo te, a livello hardware?
Non so se possa c'entrare il discorso dell'hard disk secondario che ho fatto prima..

Riporto il problema inserito due pagine fa.. questo l'ultimo aggiornamento..

Dopo un'ulteriore breve verifica con HD Tune.. come mai quelle voci sono in giallo? Non ne capisco nulla a cosa si riferiscono..

[Flay83]

Quote:

Originariamente inviato da Flay83

Riporto il problema inserito due pagine fa.. questo l'ultimo aggiornamento..

Dopo un'ulteriore breve verifica con HD Tune.. come mai quelle voci sono in giallo? Non ne capisco nulla a cosa si riferiscono..

Pensavo a una cosa: in passato (poco dopo il restyling-formattazione del pc, circa 6 mesi fa), ho avuto un problema al cavetto dati dell'hard disk su cui gira Windows: praticamente mi si bloccava all'avvio oppure mentre lavoravo, poi staccandolo e rimettendolo andava per qualche giorno ma poi il problema si ri-presentava. Sostitutito il cavetto il problema era stato risolto.
Non è che potrebbe essersi guastato di nuovo? Potrebbero essere i sintomi anche quelli da me descritti sopra? Seppure questa volta i sintomi siano in parte diversi dall'altra volta..

Grazie anticipate!

[Chill-Out]

Quote:

Originariamente inviato da Flay83

Riporto il problema inserito due pagine fa.. questo l'ultimo aggiornamento..

Dopo un'ulteriore breve verifica con HD Tune.. come mai quelle voci sono in giallo? Non ne capisco nulla a cosa si riferiscono..

Quote:

Originariamente inviato da Flay83

Pensavo a una cosa: in passato (poco dopo il restyling-formattazione del pc, circa 6 mesi fa), ho avuto un problema al cavetto dati dell'hard disk su cui gira Windows: praticamente mi si bloccava all'avvio oppure mentre lavoravo, poi staccandolo e rimettendolo andava per qualche giorno ma poi il problema si ri-presentava. Sostitutito il cavetto il problema era stato risolto.
Non è che potrebbe essersi guastato di nuovo? Potrebbero essere i sintomi anche quelli da me descritti sopra? Seppure questa volta i sintomi siano in parte diversi dall'altra volta..

Grazie anticipate!

Sei OT il 3D è dedicato al solo controllo del log di HJT.

[Flay83]

Quote:

Originariamente inviato da Chill-Out

Sei OT il 3D è dedicato al solo controllo del log di HJT.

Lo so, ma visto che mi avevate aiutato due pagine più indietro, pensavo di poter chiedere un'ulteriore info, dato che il problema è lo stesso.
Grazie comunque, ciao.

[xcdegasp]

ti avevo già detto a chi chiedere aiuto per l'hdd quindi vai nella sezione appropriata e chiedi a loro. grazie

[majinzin]

Riuscite a darmi un' occhiata al log...avevo un virus che mi creava un processo Svchost.exe da un diverso percorso rispetto a quelli di default, adesso dovrei essere riuscito a cancellarlo però non si sa mai...grazie

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.31.47, on 03/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Mediafour\MacDrive 8\MacDrive.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\AirPrint\Airprint.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\Programmi\IDrive\IDriveE Service.exe
C:\Programmi\IDrive\IDriveWebM.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Mediafour\MacDrive 8\MacDrive8Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Raxco\PerfectDisk10\PDAgent.exe
C:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\SonicWALL\SonicWALL Global VPN Client\SWGVCSvc.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\File comuni\Java\Java Update\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: CutePDF Form Filler - {D41289F2-69C6-417B-897E-C653D677CBAF} - C:\Programmi\CutePDF Pro\CPFillerCo.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\Programmi\File comuni\Microsoft Shared\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [MacDrive 8 application] "C:\Programmi\Mediafour\MacDrive 8\MacDrive.exe"
O4 - HKLM\..\Run: [Getting started with MacDrive 8] "C:\Programmi\Mediafour\MacDrive 8\MDGetStarted.exe" /auto
O4 - HKLM\..\Run: [snppro] C:\WINDOWS\vsnppro.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [IDriveE Startup] "C:\Programmi\IDrive\IDrvieEStartup.exe" Hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Marcello\Dati applicazioni\Dropbox\bin\Dropbox.exe
O4 - Global Startup: PC-TV FM Remote Control.lnk = C:\Programmi\Albatros\PC-TV FM\RemoteCtl.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://blablabla.myftp.org
O16 - DPF: {46D8BEE7-0B27-4466-ABA2-A5F1E157971C} (Remote200 Control) - http://blablabla.myftp.org/RemoteWeb.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {5FFDFC21-AE40-4C7C-955C-415A1ACE01C8} (CViewerControl Object) - http://blablabla.myftp.org/VideoViewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1278923340875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1258544325562
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B242967-8999-4B6B-A8CC-EBC2BE6D756B}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AirPrint - Apple Inc. - C:\Program Files\AirPrint\Airprint.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service:  Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IDriveE Service - Pro Softnet Corporation - C:\Programmi\IDrive\IDriveE Service.exe
O23 - Service: IDrive WebManager (IDriveWebM) -  Pro-Softnet - C:\Programmi\IDrive\IDriveWebM.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: MacDrive 8 service (MacDrive8Service) - Mediafour Corporation - C:\Programmi\Mediafour\MacDrive 8\MacDrive8Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk10\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk10\PDEngine.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SonicWALL Global VPN Client Service (SWGVCSvc) - SonicWALL, Inc. - C:\Programmi\SonicWALL\SonicWALL Global VPN Client\SWGVCSvc.exe

--
End of file - 9854 bytes

[xcdegasp]

devi aggiornare alla versione 2.0.4 quindi poi rifai il log

[sweetlou]

Scusate il disturbo

Potete darmi una mano a verificare il log allegato ,fatto con HiJackFree v4.5, di un portatile Sony Vaio di un amico.

Ho preventivamente scansionato il portatile sia con G-DATA che con Emergency Kit della Emsisoft non trovando nulla a parte qualche cookie

Mi sembrano strane queste 2 voci in particolare

O21 - ShellServiceObjectDelayLoad: WebCheck -
O23 - Service: Windows NT - C:\Windows\\system32\svchost.exe

Ringrazio anticipatamente chiunque possa darmi una mano

[xcdegasp]

Quote:

Originariamente inviato da sweetlou

Scusate il disturbo

Potete darmi una mano a verificare il log allegato ,fatto con HiJackFree v4.5, di un portatile Sony Vaio di un amico.

Ho preventivamente scansionato il portatile sia con G-DATA che con Emergency Kit della Emsisoft non trovando nulla a parte qualche cookie

Mi sembrano strane queste 2 voci in particolare

O21 - ShellServiceObjectDelayLoad: WebCheck -
O23 - Service: Windows NT - C:\Windows\\system32\svchost.exe

Ringrazio anticipatamente chiunque possa darmi una mano

log pulito, quelle due voci sono normali

[sweetlou]

Quote:

Originariamente inviato da xcdegasp

log pulito, quelle due voci sono normali

Grazie ... per la risposta celere

Pensavo che la locazione del svchost.exe fosse non corretta quindi C:\Windows\\system32\svchost.exe e C:\Windows\system32\svchost.exe sono la stessa cosa.

Prima che ci mettessi le mani era molto rallentato (credevo ci fosse un virus)poi una volta rimosso un po' di sw Sony inutile,diversi autorun etc è diventato molto più rapido

[majinzin]

allego il log fatto con l'ultima versione id hjt come richiesto...

P.S. il blablabla nella trusted zone l'ho aggiunto io chiaramente...

Codice:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.36.19, on 04/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Mediafour\MacDrive 8\MacDrive.exe
C:\WINDOWS\vsnppro.exe
C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programmi\Albatros\PC-TV FM\RemoteCtl.exe
C:\Documents and Settings\Marcello\Dati applicazioni\Dropbox\bin\Dropbox.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Program Files\AirPrint\Airprint.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\Programmi\IDrive\IDriveE Service.exe
C:\Programmi\IDrive\IDriveWebM.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Mediafour\MacDrive 8\MacDrive8Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Raxco\PerfectDisk10\PDAgent.exe
C:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\SonicWALL\SonicWALL Global VPN Client\SWGVCSvc.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: CutePDF Form Filler - {D41289F2-69C6-417B-897E-C653D677CBAF} - C:\Programmi\CutePDF Pro\CPFillerCo.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\Programmi\File comuni\Microsoft Shared\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [MacDrive 8 application] "C:\Programmi\Mediafour\MacDrive 8\MacDrive.exe"
O4 - HKLM\..\Run: [Getting started with MacDrive 8] "C:\Programmi\Mediafour\MacDrive 8\MDGetStarted.exe" /auto
O4 - HKLM\..\Run: [snppro] C:\WINDOWS\vsnppro.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marcello\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [IDriveE Startup] "C:\Programmi\IDrive\IDrvieEStartup.exe" Hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Marcello\Dati applicazioni\Dropbox\bin\Dropbox.exe
O4 - Global Startup: PC-TV FM Remote Control.lnk = C:\Programmi\Albatros\PC-TV FM\RemoteCtl.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://blablabla.myftp.org
O16 - DPF: {46D8BEE7-0B27-4466-ABA2-A5F1E157971C} (Remote200 Control) - http://blablabla.myftp.org/RemoteWeb.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {5FFDFC21-AE40-4C7C-955C-415A1ACE01C8} (CViewerControl Object) - http://blablabla.myftp.org/VideoViewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1278923340875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1258544325562
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B242967-8999-4B6B-A8CC-EBC2BE6D756B}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AirPrint - Apple Inc. - C:\Program Files\AirPrint\Airprint.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service:  Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IDriveE Service - Pro Softnet Corporation - C:\Programmi\IDrive\IDriveE Service.exe
O23 - Service: IDrive WebManager (IDriveWebM) -  Pro-Softnet - C:\Programmi\IDrive\IDriveWebM.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: MacDrive 8 service (MacDrive8Service) - Mediafour Corporation - C:\Programmi\Mediafour\MacDrive 8\MacDrive8Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk10\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk10\PDEngine.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SonicWALL Global VPN Client Service (SWGVCSvc) - SonicWALL, Inc. - C:\Programmi\SonicWALL\SonicWALL Global VPN Client\SWGVCSvc.exe

--
End of file - 11002 bytes

[meriokite]

log file 1.txt

gentilmente potreste dirmi come muovermi ora? ho installato da tempo nod 32 e non riesco a rimuovere il malware olmarik.

grazie

meriokite

[Robialpa]

Salve!

Effettuando un controllo ho notato che ho alcuni esecutivi che lavorano costantemente in background.
Ho effettuato un log di hijackthis, che allego.


Penso che tutta questa serie di voci possa essere fixata:

Codice:

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

Ma vorrei chiedere gentilmente un controllo sul resto del log.

Grazie fin da ora

[xcdegasp]

Quote:

Originariamente inviato da sweetlou

Grazie ... per la risposta celere

Pensavo che la locazione del svchost.exe fosse non corretta quindi C:\Windows\\system32\svchost.exe e C:\Windows\system32\svchost.exe sono la stessa cosa.

Prima che ci mettessi le mani era molto rallentato (credevo ci fosse un virus)poi una volta rimosso un po' di sw Sony inutile,diversi autorun etc è diventato molto più rapido

purtroppo i notebook nelle preinstallazioni vengono farci come bigne con software inutile e spesso sono questi le cause di vari problemi.. la soluzione migliore sarebbe quella di crearsi un cd/dvd con il sistema operativo nudo e crudo, più eventuali service pack, eventuali patch che si possono includere e i driver necessari e poi usare questo cd/dvd per creare una nuova installazione di windows ovviamente previo salvataggio della licenza

[xcdegasp]

Quote:

Originariamente inviato da majinzin

allego il log fatto con l'ultima versione id hjt come richiesto...

P.S. il blablabla nella trusted zone l'ho aggiunto io chiaramente...

fixa:

Codice:

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [MacDrive 8 application] "C:\Programmi\Mediafour\MacDrive 8\MacDrive.exe"
O4 - HKLM\..\Run: [Getting started with MacDrive 8] "C:\Programmi\Mediafour\MacDrive 8\MDGetStarted.exe" /auto
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Marcello\Dati applicazioni\Dropbox\bin\Dropbox.exe

il log è comunque pulito, poi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[xcdegasp]

Quote:

Originariamente inviato da meriokite

log file 1.txt

gentilmente potreste dirmi come muovermi ora? ho installato da tempo nod 32 e non riesco a rimuovere il malware olmarik.

grazie

meriokite

fixa:

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TimMonitor] C:\Programmi\Chiavetta Internet Olicard 100\TimMonitor.exe start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [mssend] "C:\Documents and Settings\merio\Dati applicazioni\xssend2\svcnost.exe"

il pc è chiaramente infetto quindi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
ovviamente apriti un nuovo thread per pubblicare i log/report

[xcdegasp]

Quote:

Originariamente inviato da Robialpa

Salve!

Effettuando un controllo ho notato che ho alcuni esecutivi che lavorano costantemente in background.
Ho effettuato un log di hijackthis, che allego.


Penso che tutta questa serie di voci possa essere fixata:

Codice:

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

Ma vorrei chiedere gentilmente un controllo sul resto del log.

Grazie fin da ora

log pulito

[Robialpa]

Quote:

Originariamente inviato da xcdegasp

log pulito

Non me lo aspettavo. Ne sono felice.
Posso procedere a fixare senza problemi anche le voci indicate nel precedente messaggio?

Molte grazie

[xcdegasp]

Quote:

Originariamente inviato da Robialpa

Non me lo aspettavo. Ne sono felice.
Posso procedere a fixare senza problemi anche le voci indicate nel precedente messaggio?

Molte grazie

no non ti ho detto di fixare perchè quelle voci sono corrette così come sono

[Robialpa]

Quote:

Originariamente inviato da xcdegasp

no non ti ho detto di fixare perchè quelle voci sono corrette così come sono

Per fortuna ho chiesto, pensavo già di essere capace di interpretare un log da solo.


Molte grazie, sei veramente gentile.