HiJackThis - Analisi Log - leggere Regole di Sezione

[paolo-fcb]

Quote:

Originariamente inviato da gabmamb

ma se uso Hijackthis su win7 64bit cosa succede di male?
il mio pc nn è infettto ma voglio eliminare tutto quello che posso all'avvio e la versione per 64 bit non me li comastra come questo!

non so che dirti amico, io anche uso HJT e non HJF e ho 64 bit, non saprei come fare con HJFree ma se a pagina 1 è scritto di usare quello un motivo ci sarà, almeno credo visto lo stato in cui è ridotto questo thread, stato di abbandono a quanto vedo, ti consiglio di usare l'autoanalizzatore del log, io ho dovuto fare così, ciao

[gabmamb]

Quote:

Originariamente inviato da paolo-fcb

non so che dirti amico, io anche uso HJT e non HJF e ho 64 bit, non saprei come fare con HJFree ma se a pagina 1 è scritto di usare quello un motivo ci sarà, almeno credo visto lo stato in cui è ridotto questo thread, stato di abbandono a quanto vedo, ti consiglio di usare l'autoanalizzatore del log, io ho dovuto fare così, ciao

in realtà il mio problema non sono infezioni, dato che ho appena installato su un ssd nuvo di zecca, ma eliminare più programmi possibili all'avvio

[gio88]

ciao a tutti,ho un problemaer connettere il mi cellulare al pc uso il programma Zune e ogni volta che lo apro mi da "si è verificato un errore in microsoft zune.l'applicazione verrà chiusa." ecco i miei logfiles sperando che mi aiuti a risolvere il problema:

Quote:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.04.35, on 04/04/14
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
c:\Programmi\Zune\ZuneBusEnum.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\AVAST Software\Avast\AvastUI.exe
C:\Programmi\Zune\ZuneLauncher.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\DAEMON Tools Ultra\DiscSoftBusService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Ferraro\Documenti\Download\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Programmi\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKLM\..\Run: [Zune Launcher] "c:\Programmi\Zune\ZuneLauncher.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [DAEMON Tools Ultra Agent] "C:\Programmi\DAEMON Tools Ultra\DTAgent.exe" -autorun
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\SearchProtect\SearchProtect\bin\SPVC32Loader.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Disc Soft Bus Service - Disc Soft Ltd - C:\Programmi\DAEMON Tools Ultra\DiscSoftBusService.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programmi\Skype\Updater\Updater.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4450 bytes

[paolo-fcb]

Quote:

Originariamente inviato da gabmamb

in realtà il mio problema non sono infezioni, dato che ho appena installato su un ssd nuvo di zecca, ma eliminare più programmi possibili all'avvio

i programmi in avvio li puoi killare digitando dal menu start "msconfig" e lasciando nella opzione avvio solo quelli che vuoi-

[gabmamb]

Quote:

Originariamente inviato da paolo-fcb

i programmi in avvio li puoi killare digitando dal menu start "msconfig" e lasciando nella opzione avvio solo quelli che vuoi-

no quello che elenca hijack li non si vede

[-think-]

ecco qua, vi posto il log di hijackthis...
http://wikisend.com/download/883648/hijackthis.log

[picea abies]

Ciao a tutti

Espongo brevemente il mio problema: dal 2009 ho comprato un intel core duo E7500 2.9 ghz con 4 GB di RAM e 2 HD da 250 GB che non ha mai dato problemi. Come sistema operativo ho xp pro con service pack 3.

E’ da alcuni giorni che è lentissimo a avviarsi (ci mette anche più di 5 minuti) e per spostare un file da un HD all’altro ci mette anche 20 minuti.
Ho provato a fare vari defrag e vari scansione con vari antirus e con Malwarebytes Anti-Malware ma il risultato non cambia.

Allego il logfile con la speranza che qualcuno di voi riesca a dare una mano a questo 40 enne imbranato anche perché il pc è pieno di documenti del lavoro e non so più che fare.

Specifico infine che da oggi appena accendo il pc, parte in automatico con un controllo di coerenza del disco quindi incomincio anche a temere che sia il disco fisso che abbia dei problemi.

Grazie a tutti per la pazienza e cortesia.

[1enry1]

inutile qui NON risponde mai nessuno !

[MegaToc]

Allora posto qui visto che pare sia la sezione giusta, chissa che qualcuno mi risponda.


Allora per casini vari ho usato l'installer di "softonic" che mi ha installato un mare di monnezza software vari
giochi e chi più ne ha più ne metta, in pratica ero convinto di aver scaricato un certo programma che poi si è rivelato tutt'altro.
visto che in passato questo sito era discretamente accettabile/affidabile ho azzardato, lo ammetto sono stato imprudente ero anni
che non beccavo virus o altre schifezze e ora ho abbassato la guardia !!!.

Cmq. l'esito del tutto è stato il dirottamento con software proxy,IP, etc. in pratica mi si apriva firefox da solo su siti vari
casinò, e chi più ne ha più ne metta, banner in mezzo alle pagine web compresi. E in più il "sabotaggio" del collegamento alla connessione di rete
ethernet, tant'è che andavo a cliccare su "stato" / "disabilita" etc. e mi compariva nel desktop l'avviso "Impossibile trovare ethernet", nonostante ciò
la connessione a internet fungeva e il processo di diagnostica rete nonsegnalava problemi.

Da notare che qualche ora prima avevo disinstallato l'antivirus quindi ero praticamente con le chappet nude (solo windows 8.1).

Ho eliminato qualcosa sia tramite "about: config" di firefox sia tramite inst/disinst di windows.
Il problema comunque persisteva, allora ho fatto un analisi con hijackthis piccolo controllo tramite il loro sito che mi confermava
l'infezione . Quindi ho iniziato con "malwarebytes" (la versione completa trial) che mi ha rilevato/eliminato 27 elementi inquinanti,
poi è stata la volta di "SUPERAntiSpyware Professional" rilevato/eliminato altri 22 elementi, poi installato "Avast" versione completa che non ha rilevato
un bel nulla.
Ho riavviato tutto ma ancora persistevano sia i banner che le aperture di firefox automatiche su pubblicità.
Stesso controllo l'ho fatto in modalità provvisoria dove malwarebytes non trovava più nulla mentre SUPERAntiSpyware Professional rilevava/eliminava 12 elementi.
Fatto questo ho disinstallato avast, e ho usato lo strumento antimalware di Microsoft (nessun rilevamento), poi a seguire: AdwCleaner, RogueKiller che hanno
rilevato/eliminato diversi elementi (cioè ho dato il comando per eliminare tutto) . L'ultimo controllo l'ho fatto con Avira che non ha rilevato niente.



Ora finalmente sembra che la navigazione vada bene, non mi si apre nulla , non ci sono reindirizzamenti di nessun tipo, però non so se posso rilassarmi. Oppure per sicurezza potrebbe essere meglio formattare e reinstallare Windows 8.1 e tutto l'ambaradan, spero di no !

Ho fatto un altro controllo con hijackthis e relativa analisi sul loro sito e di seguito riporto i risultati, che dite posso stare tranquillo, utilizzare l'e-mail, password etc. senza il rischio che me le pinzino o peggio ancora ? :


Ecco così allegerisco il server

(fareste un controllino per cortesia ? GRAZIE !!!)
Hijacthis e avira.txt





Ultimo controllo fatto in modalità provvisoria:
- AdwCleaner e RogueKiller mi danno tutto ok, niente infezioni
- Malwarebytes - solo all'ultimo controllo (quello euristico) mi rileva come pericoloso il file "EXPLORER.dll"
-SUPERAntiSpyware mi rileva ed elimina il file:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/09/2014 at 10:28 AM

Application Version : 5.7.1018

Core Rules Database Version : 11219
Trace Rules Database Version: 9031

Scan type : Complete Scan
Total Scan Time : 00:44:35

Operating System Information
65 Edition 64-bit (Build 6.02.9200)
UAC On - Limited User

Memory items scanned : 881
Memory threats detected : 0
Registry items scanned : 67398
Registry threats detected : 0
File items scanned : 60667
File threats detected : 1

Adware.Tracking Cookie
C:\Users\Pippo\AppData\Local\Microsoft\Windows\INetCookies\PJHTVX5G.txt [ /doubleclick.net ]



Cmq. apparentemente i problemi che avevo all'inizio sembrerebbero del tutto spariti. Che dite mi posso fidare?

[curvanord]

Ciao Megatoc, beh hai fatto girare tutti i programmi che in genere vengono fatti girare quando ce una bella infezione in atto

Se incolli il log di hijackthis qui: http://www.hijackthis.de/it e analizzi vedi che sembra tutto apposto, a parte i ? gialli che comunque sono processi/servizi non riconosciuti ma che te conosci benissimo guardando il nome (es. bluetooth ecc.)

Se vuoi far girare un altro programma per una maggiore sicurezza scarica il kit di emsisoft http://www.emsisoft.it/it/software/eek/ e poi fai girare il kit scanner

Per il resto aspettiamo qualcuno più esperto!

[MegaToc]

Grazie Curvanord per avermi risposto

Come da te indicato ho scaricato e installato Emisoft kit/tool (che tra l'altro non conoscevo), ho usato in particolare Emergency Kit scanner che mi ha dato 6 elementi rilevati ma segnalati come " NESSUN RISCHIO" e Hijackfree che mi ha segnato in rosso questi processi niente di che mi pare.
‪

Codice:

Emsisoft Emergency Kit - Versione 4.0
Ultimo aggiornamento: 09/05/2014 16:59:13
Account utente: Pippo-PC\Pippo

Impostazioni scansione:

Tipo scansione: Completa
Oggetti: Rootkits, Memoria, Tracce, C:\

Rileva PUPs: On
Archivio scansioni: On
Scansione ADS: On
Filtro estensione dei file: Off
Caching avanzato: On
Accesso diretto al disco: Off

Scansione avviata:	09/05/2014 18:30:25
C:\Users\Pippo\AppData\Local\Temp\APN-Stub 	rilevati: Application.Win32.WebToolbar (A)
Key: HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG\APPLICATION\IEPLUGINSERVICE 	rilevati: Application.AdShort (A)
Key: HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG\APPLICATION\WPM 	rilevati: Application.AdShort (A)
Key: HKEY_USERS\S-1-5-21-1295102261-3435645689-1523116799-1001\SOFTWARE\CONTEXT2PRO 	rilevati: Application.Win32.AdCyc (A)
Key: HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{006EE092-9658-4FD6-BD8E-A21A348E59F5} 	rilevati: Application.Win32.WSearch (A)
Key: HKEY_USERS\S-1-5-18\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{006EE092-9658-4FD6-BD8E-A21A348E59F5} 	rilevati: Application.Win32.WSearch (A)

Hijackfree evidenziati in rosso:

Codice:

C:\Program Files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe

‪C:\Program Files (x86)\Nero\Update\NASvc.exe

Come hai già detto tu aspettiamo qualche altro parere, ma cmq. inizio ad essere già più fiducioso
Almeno spero di non dover formattare e reistallare tutto.

Ora starò più attento. Penso di lasciare installati Avira(che tra l'altro anche in passato non mi ha dato alcun problema, salvo qualche falso positivo), Malwarebytes, non so se sia il caso di tenere anche SUPERAntiSpyware/Emisoft Kit
oppure qualche altro che però faccia controllo in real time(o sarà sufficiente Avira per questo ? ho anche installata la tool bar di avira sul browser), altrimenti non saprei su cosa orientarmi con controllo in realtime su spy e malware vari.

Sai volevo fare anche un controllo con Combofix e JRT ma poi ho evitato, meglio andarci cauti con questi due.

[curvanord]

Ah si avevo dimenticato combofix.. mah una passata la darei.. quelle volte che l'ho usato non ha dato mai problemi..

Per il resto si tieni un antivirus, avira va bene ma volendo ce anche l'antivirus di microsoft (security essential), e malwarebytes installato.. Fai scansione di quest'ultimo tipo una volta a settimana. Emsisoft dovrebbe essere versione portable se non erro quindi potresti tenerlo in una cartella tranquillamente.

[1enry1]

per gravi infezioni COMBOFIX e' ancora il top..... o c'e di meglio ?

ma (almeno su xp) alla fine ha sempre il vizietto di disabiliare la
connesione a internet o hanno risolto ?

[Alessandro1974]

Un controllo appena possibile? grazie in anticipo

hijackthis.log

[Alessandro1974]

Quote:

Originariamente inviato da Davide Z

dal log hjt risulta sospetto nitro pdf reader , ti conviene disinstallarlo

ti ringrazio, per il resto non c'è altro che non vada?

giorni fa mio fratello ha installato un programma di posta elettronica (non so il nome, consigliato sul blog di aranzulla) e si è " un po' " infettato.

[1enry1]

ma come funziona esattamente adwcleaner ?

flaggo le voci e clicco su elimina, poi riavvio il PC lo riapro e clicco SOLO si disintalla ? corretto o ....come si usa sto prg ???

[1enry1]

in manuale come ? mi spieghi meglio ? grazieee

[Alessandro1974]

Quote:

Originariamente inviato da Davide Z

a livello di programmi instalalti non ho visto altro di sospetto, magari dai cmq una passata con adwcleaner , lo trovi sul sito bleeping computer

in modo da rimuovere eventuali estensione nocive nei browser

forse lo conosce già avendolo già usato in passato su un pc di un collega ma glielo farò presente, grazie ancora.

[1enry1]

nessuno che conosce sto adwcleanewr ????

[xcdegasp]

@ 1enry1: questo thread è rivolto esclusivamente all'analisi dei log di hijackthis/hijackfree pertanto ti invito gentilmente ad aprire un thread nel quale porre questo quesito.
grazie mille per la collaborazione