HiJackThis - Analisi Log - leggere Regole di Sezione

[merlinoilmago]

Il mio log: http://www.mediafire.com/?vxsmzqqy5nhhkxm

Situazione:
Windows Xp Tablet PC Edition 2005 sp3
Problemi vari legati alla funzionalità (o meglio alla mancata funzionalità) dell'active desktop.
Non visualizzo più ne sfondi ne foto. Non riesco a visualizzare la webpage corrente, ne a visualizzarne una nuova (vedi google.it ultima riga del log)

Nel menu contestuale dx del desktop non c'è più l'opzione di modifica dell'active desktop.

Azioni condotte :
full scan Norton
downgrade IE7 IE6
Provato a registrare nuovamente mshtml.dll ma non trova header ??
Provando ad attivare Ink Desktop il desktop va in crash, il processo non riesce neppure ad apparire sul task manager, ma per un lampo appare.

[xcdegasp]

Quote:

Originariamente inviato da arcofreccia

ciao ragazzi, cortesemente me lo potreste controllare?

vi ringrazio

http://wikisend.com/download/391982/hijackthis.log

fixa:

Codice:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://it.search.yahoo.com
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Freecorder FLV Service] "C:\Programmi\Freecorder\FLVSrvc.exe" /run
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe (file missing)

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[xcdegasp]

Quote:

Originariamente inviato da sasasi91

ciao raga potreste controllare se c'è qualche problema. Di seguito posto il log:
con HijackFree HiJackFree.log

con HiJackThis hijackthis.log

Grazie.

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WMAAD] C:\Program Files (x86)\Sony\WALKMAN Launcher\WMAAD.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe"

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

hai il pc infetto: http://www.prevx.com/filenames/X1909...WMAAD.EXE.html


segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti in un nuovo thread facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[xcdegasp]

Quote:

Originariamente inviato da merlinoilmago

Il mio log: http://www.mediafire.com/?vxsmzqqy5nhhkxm

Situazione:
Windows Xp Tablet PC Edition 2005 sp3
Problemi vari legati alla funzionalità (o meglio alla mancata funzionalità) dell'active desktop.
Non visualizzo più ne sfondi ne foto. Non riesco a visualizzare la webpage corrente, ne a visualizzarne una nuova (vedi google.it ultima riga del log)

Nel menu contestuale dx del desktop non c'è più l'opzione di modifica dell'active desktop.

Azioni condotte :
full scan Norton
downgrade IE7 IE6
Provato a registrare nuovamente mshtml.dll ma non trova header ??
Provando ad attivare Ink Desktop il desktop va in crash, il processo non riesce neppure ad apparire sul task manager, ma per un lampo appare.

hai il file HOSTS che è stato modificato in maniera strana e questo può darti dei problemi.. inoltre è terminato il supporto a IE6 e nel pc vedo anche altri software obsoleti, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[arcofreccia]

Quote:

Originariamente inviato da xcdegasp

fixa:

Codice:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://it.search.yahoo.com
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Freecorder FLV Service] "C:\Programmi\Freecorder\FLVSrvc.exe" /run
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe (file missing)

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

ti ringrazio degasp

[merlinoilmago]

Quote:

Originariamente inviato da xcdegasp

hai il file HOSTS che è stato modificato in maniera strana e questo può darti dei problemi.. inoltre è terminato il supporto a IE6 e nel pc vedo anche altri software obsoleti, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

Grazie.
In che modo il file host è stato modificato ? come controllarlo e nel caso ripristinarlo ?
IE7 mi stava dando dei problemi, questo il motivo del downgrade a IE6.
In tal modo il file msmhtml.dll è risultato finalmente registrato correttamente.

Il check con Secunia non ha rilevato niente di rilevante.

ps. trovato le info sul file host. Verifico e aggiorno il file con uno migliore.

[xcdegasp]

Quote:

Originariamente inviato da merlinoilmago

Grazie.
In che modo il file host è stato modificato ? come controllarlo e nel caso ripristinarlo ?
IE7 mi stava dando dei problemi, questo il motivo del downgrade a IE6.
In tal modo il file msmhtml.dll è risultato finalmente registrato correttamente.

Il check con Secunia non ha rilevato niente di rilevante.

ps. trovato le info sul file host. Verifico e aggiorno il file con uno migliore.

guarda che quello che definisci niente d'irrilevante è in realtà quello che ti farà infettare il pc.
è da 2 anni che il maleware usa i software di cornice non aggiornati per inocularsi nel pc.. questo già lo sapevi presumo quindi se non aggiorni tutto poi non chiedere assistenza qui per curare il pc

a parte gli scherzi, è importantissimo tenere aggiornati java, realplayer, quicktime, flashplayer, acrobat reader ecc..

il file hosts lo puoi aprire con notepad al seguente percorso:
c:\windows\system32\drivers\etc\HOSTS

[omosapiens]

Per favore un occhio a questo log? Vi ringrazio assai!

[omosapiens]

Un occhio a questo log per cortesia. Sempre grazie assai

http://wikisend.com/download/954918/hijackthis.log

nisba, non riesco ad allegare nulla...

[xcdegasp]

Quote:

Originariamente inviato da omosapiens

Un occhio a questo log per cortesia. Sempre grazie assai

http://wikisend.com/download/954918/hijackthis.log

nisba, non riesco ad allegare nulla...

pulito

[omosapiens]

Mizzica, risposta fulminia fù. Thanks a lot

[merlinoilmago]

Quote:

Originariamente inviato da xcdegasp

guarda che quello che definisci niente d'irrilevante è in realtà quello che ti farà infettare il pc.
è da 2 anni che il maleware usa i software di cornice non aggiornati per inocularsi nel pc.. questo già lo sapevi presumo quindi se non aggiorni tutto poi non chiedere assistenza qui per curare il pc

a parte gli scherzi, è importantissimo tenere aggiornati java, realplayer, quicktime, flashplayer, acrobat reader ecc..

il file hosts lo puoi aprire con notepad al seguente percorso:
c:\windows\system32\drivers\etc\HOSTS

Eh no ! non lo sapevo.
Aggiornato Flash e Chrome come indicato nel log.
Trovato indicazioni come utilizzare il file Host in funzione antimalware con una lista aggiornata di siti "cattivi", dirottando l'indirizzo su local.
Grazie molte

[The_Player]

Ciao qualcuno mi può controllare il log per favore?

http://wikisend.com/download/564594/HiJackFree.log

Grazie

[Th4N4Th0S]

Quote:

Originariamente inviato da Chill-Out

Pulito

ti ringrazio per la risposta

[xcdegasp]

Quote:

Originariamente inviato da The_Player

Ciao qualcuno mi può controllare il log per favore?

http://wikisend.com/download/564594/HiJackFree.log

Grazie

log pulito

[vegahardware]

Salve ragazzi,
da oggi ho notato un rallentamento del sistema, specialmente del cursore che funziona a tratti... ho fatto una scansione con PrevX e tutto ok...

Potreste darmi un'occhiata al log in allegato, magari c'è qualcosa da fixare...

http://wikisend.com/download/421200/hijackthis.txt

[xcdegasp]

Quote:

Originariamente inviato da vegahardware

Salve ragazzi,
da oggi ho notato un rallentamento del sistema, specialmente del cursore che funziona a tratti... ho fatto una scansione con PrevX e tutto ok...

Potreste darmi un'occhiata al log in allegato, magari c'è qualcosa da fixare...

http://wikisend.com/download/421200/hijackthis.txt

fixa:

Codice:

O23 - Service: GenericMount Helper Service - Unknown owner - C:\Programmi\Norton Ghost\Shared\Drivers\GenericMountHelper.exe (file missing)
O23 - Service: SymSnapService - Unknown owner - C:\Programmi\Norton Ghost\Shared\Drivers\SymSnapService.exe (file missing)

sembra che norton ghost abbia problemi, reinstallalo.

[coolintel]

Potete controllarlo????

http://wikisend.com/download/608848/HiJackFree1.log

Grazie.

[xcdegasp]

Quote:

Originariamente inviato da coolintel

Potete controllarlo????

http://wikisend.com/download/608848/HiJackFree1.log

Grazie.

pulito

[FulValBot]

ci date un'occhiata pls?

hijackthis.log


per il runddl32 vi dico subito che se non avessi avuto come sk audio la c-media non mi si sarebbe mai aperto da lì. ho appena controllato regedit e la cosa è legato al software della scheda...


m'interessa sapere come sistemare quel coso della ricerca di ie, xkè nei settaggi del browser è impostata bene, ma come vedete su regedit non lo è... su firefox l'ho fixato ora...

su chrome l'ho messo a posto facilmente. su opera e safari non credo di farcela...

qual è la chiave di default?


edit: ho provato a mettere direttamente la spunta su quella chiave dentro hijackthis, speriamo bene... xkè cmq nei log degli utenti la chiave c'è ma dopo l'= è vuoto, ora da me non esiste più...

le altre voci col "?" sono due link di pes6 che poi sistemerò sti giorni, tanto ormai credo non mi servano più.