HiJackThis - Analisi Log - leggere Regole di Sezione

[xcdegasp]

Quote:

Originariamente inviato da Matteo_76

Ho aggiornato Adobe e 2 programmi Apple che diceva secunia e ora tutte le voci sono in verde.
Ecco il nuovo log. Grazie.

windows non è aggiornato e nero non è aggiornato, mi spiace.

[Nicflames]

Ciao a tutti..potete controllarmi questo log?
Ho win 7 64bit..
Grazie!

[Matteo_76]

Quote:

Originariamente inviato da xcdegasp

windows non è aggiornato e nero non è aggiornato, mi spiace.

Grazie. Nero non ho la licenza superiore e per l'SP1, se intendi quello, c'è un software proprietario a pagamento che mi hanno detto che ha difficoltà con SP1, anche se non so il perché. Secunia da te linkato mi dice tutto OK

Comunque per il resto sul log tutto OK? Grazie.

[delfinroma]

salve..potete controllarmi il log? thanks!

[edo vech]

Salve amici.
Vi chiedo cortesemente di controllare questo log perchè il collega proprietario di questo pc sembra che sia infetto da TSPY_SPYEYE.BW.
L'antivirus dell'azienda è Trend Micro che l'ha trovato e cancellato un sacco di volte (sto guardando il suo log ora e vedo che il suddetto spywere compare moltissime volte e la scansione è ancora in corso quindi è probabile che ricompaia chissà dove).

Ho caricato il log di HJT sul sito HijackThis.de per una prima verifica e non c'è alcun processo e/o chiave che risulti pericolosa (tranne i software interni dell'azienda che ovviamente HJT non può conoscere).

Per ora il pc non sembra dare segni di cedimento; il collega si è spaventato di vedere così tante volte questo virus. Nel log di Trend Micro vedo che il virus è presente dal 9 giugno quindi è chiaro che Trend Micro non riesce ad eliminare le voce necessarie al virus per funzionare.

Grazie per l'aiuto.

[xcdegasp]

Quote:

Originariamente inviato da Nicflames

Ciao a tutti..potete controllarmi questo log?
Ho win 7 64bit..
Grazie!

windows non è aggiornato al SP1

[xcdegasp]

Quote:

Originariamente inviato da Matteo_76

Grazie. Nero non ho la licenza superiore e per l'SP1, se intendi quello, c'è un software proprietario a pagamento che mi hanno detto che ha difficoltà con SP1, anche se non so il perché. Secunia da te linkato mi dice tutto OK

Comunque per il resto sul log tutto OK? Grazie.

per ilr esto è ok, ma risolvi al più presto l'impedimento sul SP1 perchè è importante

[xcdegasp]

Quote:

Originariamente inviato da delfinroma

salve..potete controllarmi il log? thanks!

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
O4 - HKLM\..\Run: [Nikon Message Center 2] C:\Program Files\Nikon\Nikon Message Center 2\NkMC2.exe -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

il log comunque è pulito però ci sono software obsoleti, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[xcdegasp]

Quote:

Originariamente inviato da edo vech

Salve amici.
Vi chiedo cortesemente di controllare questo log perchè il collega proprietario di questo pc sembra che sia infetto da TSPY_SPYEYE.BW.
L'antivirus dell'azienda è Trend Micro che l'ha trovato e cancellato un sacco di volte (sto guardando il suo log ora e vedo che il suddetto spywere compare moltissime volte e la scansione è ancora in corso quindi è probabile che ricompaia chissà dove).

Ho caricato il log di HJT sul sito HijackThis.de per una prima verifica e non c'è alcun processo e/o chiave che risulti pericolosa (tranne i software interni dell'azienda che ovviamente HJT non può conoscere).

Per ora il pc non sembra dare segni di cedimento; il collega si è spaventato di vedere così tante volte questo virus. Nel log di Trend Micro vedo che il virus è presente dal 9 giugno quindi è chiaro che Trend Micro non riesce ad eliminare le voce necessarie al virus per funzionare.

Grazie per l'aiuto.

il log hijackthis mostra una piccolissima porzione della salute di un pc per questo non può essere preso come unico mezzo valutativo, il log risulta pulito.
segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti in un nuovo thread facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[edo vech]

L'ho letta molto attentamente la guida e purtroppo, a meno che non spaventi volutamente il collega, in generale è un po' restio ad installare tanti programmini per la pulizia e anche se mi desse l'ok dovrei beccarlo in un momento in cui non ha molto da fare ed è difficile da trovare.
Se invece è possibile eseguire ogni scansione poco per volta e mi dite che posso postare i log uno per volta senza fretta allora magari la cosa diventa più facile.

Vi chiedo scusa se non mi è possibile seguire subito la guida...mi rendo conto che è la strada migliore ma in questo momento la vedo difficile da percorrere.
Intanto sto guardando in giro come poter rimuovere questa infezione e qualcosa lo sto trovando; ad esempio a questo link Edit o a questo Edit mi sembra ci sia qualche indicazione utile. Certo è che bisogna capire che la situazione descritta sia quella in cui mi trovo.

Comunque sia, se posso seguire i vostri consigli, appena riesco vi posto tutti i log che vi servono.

Intanto grazie per l'aiuto.

p.s.: ma i programmi che consigliate eseguono tutti i loro lavoro senza la necessità di attivarli? perchè ad esempio mbam, prima dell'ultima release, non permetteva di eseguire una scansione con successiva rimozione, mi sembra...o forse non permetteva una completa protezione...non ricordo bene...ad ogni modo è sufficiente usarli nel periodo di prova, giusto?

[delfinroma]

Quote:

Originariamente inviato da xcdegasp

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
O4 - HKLM\..\Run: [Nikon Message Center 2] C:\Program Files\Nikon\Nikon Message Center 2\NkMC2.exe -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

il log comunque è pulito però ci sono software obsoleti, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

bah...mi dà questa schermata...(screenshot) ho provato anche a fare quello che dice..col tasto destro non mi dà apre come amministratore..e aprendo quel file non dà niente di hijackthis.. che posso fare?

cmq per dire..itunes e quicktime non li aggiorno mai, anche se mi viene suggerito a volte..perchè non li uso.li aggiorno cmq che è meglio o cosa?

[edo vech]

Dunque...per ora sono riuscito ad eseguire una scansione veloce con mbam (purtroppo non riesco ad aggiornarlo perchè non so quale sia l'indirizzo da aggiungere alle eccezioni del proxy) ma comunque ha trovato un file. Ho detto al collega di effettuare la scansione approfondita durante la pausa e nel pomeriggio posto il log di quella scansione.

Per adesso posto quello della scansione veloce.

p.s. Per ora la scansione che effettua trend micro non ha rilevato la presenza dei file creati da spyeye; tra l'altro il collega ha detto che ieri ha provato di cancellare manualmente le cartelle temporanee che venivano segnate come infette. E' possibile che sia riuscito in un qualche modo a bloccare l'azione del virus cancellando quelle cartelle?

[xcdegasp]

Quote:

Originariamente inviato da edo vech

L'ho letta molto attentamente la guida e purtroppo, a meno che non spaventi volutamente il collega, in generale è un po' restio ad installare tanti programmini per la pulizia e anche se mi desse l'ok dovrei beccarlo in un momento in cui non ha molto da fare ed è difficile da trovare.
Se invece è possibile eseguire ogni scansione poco per volta e mi dite che posso postare i log uno per volta senza fretta allora magari la cosa diventa più facile.

Vi chiedo scusa se non mi è possibile seguire subito la guida...mi rendo conto che è la strada migliore ma in questo momento la vedo difficile da percorrere.
Intanto sto guardando in giro come poter rimuovere questa infezione e qualcosa lo sto trovando; ad esempio a questo link Edit o a questo Edit mi sembra ci sia qualche indicazione utile. Certo è che bisogna capire che la situazione descritta sia quella in cui mi trovo.

Comunque sia, se posso seguire i vostri consigli, appena riesco vi posto tutti i log che vi servono.

Intanto grazie per l'aiuto.

p.s.: ma i programmi che consigliate eseguono tutti i loro lavoro senza la necessità di attivarli? perchè ad esempio mbam, prima dell'ultima release, non permetteva di eseguire una scansione con successiva rimozione, mi sembra...o forse non permetteva una completa protezione...non ricordo bene...ad ogni modo è sufficiente usarli nel periodo di prova, giusto?

tutti i programmi della guida sono in licenza gratuita, l'acquisto della licenza full-commerciale è a discapito dell'utoilizzatore e dell'ambito di utilizzo. la tempistica per forza la detta l'utilizzatore, l'ordine è dettato da noi.
qui siamo OT e ti prego di non usarlo più per questo genere di domande e assistenza.

[xcdegasp]

Quote:

Originariamente inviato da delfinroma

bah...mi dà questa schermata...(screenshot) ho provato anche a fare quello che dice..col tasto destro non mi dà apre come amministratore..e aprendo quel file non dà niente di hijackthis.. che posso fare?

cmq per dire..itunes e quicktime non li aggiorno mai, anche se mi viene suggerito a volte..perchè non li uso.li aggiorno cmq che è meglio o cosa?

se hai scompattato hijackthis in una directory creata da te non dovrebbe avere questo problema con i permessi.
per il resto a te ogni decisione ma poi non chiedere assistenza su un infezione al pc

[edo vech]

Quote:

Originariamente inviato da xcdegasp

tutti i programmi della guida sono in licenza gratuita, l'acquisto della licenza full-commerciale è a discapito dell'utoilizzatore e dell'ambito di utilizzo. la tempistica per forza la detta l'utilizzatore, l'ordine è dettato da noi.
qui siamo OT e ti prego di non usarlo più per questo genere di domande e assistenza.

Chiedo scusa per l'OT. Non succederà più. Avevo bisogno di un minimo di chiarezza sulla questione.

[arcofreccia]

Ragazzi è un log pulito?

http://wikisend.com/download/632290/hijackthis.log

[=Kraven83=]

Mi controllereste se c'è qualcosa in questo log che possa essere responsabile della voracità di ram che ha colpito uno dei miei svchost.exe?

link referenziato

[xcdegasp]

Quote:

Originariamente inviato da arcofreccia

Ragazzi è un log pulito?

http://wikisend.com/download/632290/hijackthis.log

il log è pulito, puoi fixare questa voce:

Codice:

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe (file missing)

[xcdegasp]

Quote:

Originariamente inviato da =Kraven83=

Mi controllereste se c'è qualcosa in questo log che possa essere responsabile della voracità di ram che ha colpito uno dei miei svchost.exe?

link referenziato

non sono ammessi link referenziati o di bannering, pertanto sei sospeso 2 giorni

[delfinroma]

Quote:

Originariamente inviato da xcdegasp

se hai scompattato hijackthis in una directory creata da te non dovrebbe avere questo problema con i permessi.
per il resto a te ogni decisione ma poi non chiedere assistenza su un infezione al pc

l'ho messo sul desktop..boh non so che è..forse errori pregressi..ho provato anche ad aggiornare, ma m'ha dato problemi con l'updater..tanto mi avevano consigliato di formattarlo..quindi alla fine questo farò...
grazie mille però, anche dei consigli sugli aggiornamenti..non pensavo creasse problemi non farli...

(pleaseee..consiglio su cooler pad..nella sezione giusta...è urgentissimo!!)