HiJackThis - Analisi Log - leggere Regole di Sezione

[xcdegasp]

Quote:

Originariamente inviato da Stefy_MHR

Per mi fa invalid files??
Scusate per l'immagine schifosa!
Allegato 63950

magari era troppo grande,in ogni caso ci sono altri sistemi utili per pubblicare un log

[Rinopc]

Starware Horoscopes Toolbar : virus o no?

--------------------------------------------------------------------------------


Al termine di più scansioni con SpywareTerminator mi sono ritrovato il
seguente "oggetto critico" : <Starware Horoscopes Toolbar>, considerato
nel sito di Spyware Terminator come una minaccia di bassa pericolosità, mentre trovo che il suo percorso fa capo a windows.Ci capite niente? Qualcuno ha una soluzione?
Il report di Spyware Terminator è il seguente(in sintesi):
Logfile of Spyware Terminator v2.1.1.314 (db:1.0.193.892)
Scan Time: 13/07/2008 12.03.54 length: 5160 s
Platform: VISTA (6.0.0.6001)
User: Admin
Boot Mode: Normal
Scan type: Full_Virus__Spyware_Scan
Scanned Objects: 127421 (Critical:1)
Filter: No System items, No Safe items, No Invalid items
Threat Files<Starware Horoscopes Toolbar> : C:\Windows\winsxs\x86_microsoft-windows-ie-infocard_31bf3856ad364e35_6.0.6000.20777_none_58fa301d80678af6\icardie.dll

Ho anche effettuato una scansione con HijakThis, di cui allego il file report.
Qualcuno mi può aiutare?

[wjmat]

Quote:

Originariamente inviato da Rinopc

Starware Horoscopes Toolbar : virus o no?

--------------------------------------------------------------------------------


Al termine di più scansioni con SpywareTerminator mi sono ritrovato il
seguente "oggetto critico" : <Starware Horoscopes Toolbar>, considerato
nel sito di Spyware Terminator come una minaccia di bassa pericolosità, mentre trovo che il suo percorso fa capo a windows.Ci capite niente? Qualcuno ha una soluzione?
Il report di Spyware Terminator è il seguente(in sintesi):
Logfile of Spyware Terminator v2.1.1.314 (db:1.0.193.892)
Scan Time: 13/07/2008 12.03.54 length: 5160 s
Platform: VISTA (6.0.0.6001)
User: Admin
Boot Mode: Normal
Scan type: Full_Virus__Spyware_Scan
Scanned Objects: 127421 (Critical:1)
Filter: No System items, No Safe items, No Invalid items
Threat Files<Starware Horoscopes Toolbar> : C:\Windows\winsxs\x86_microsoft-windows-ie-infocard_31bf3856ad364e35_6.0.6000.20777_none_58fa301d80678af6\icardie.dll

Ho anche effettuato una scansione con HijakThis, di cui allego il file report.
Qualcuno mi può aiutare?

Io farei una verifica completa....
Torna nella discussione che avevi già aperto, leggi le regole di sezione e poi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

[Rinopc]

O.K. Seguirò il tuo consiglio. Grazie.
Saluti, Rinopc.

[Chill-Out]

Quote:

Originariamente inviato da Rinopc

O.K. Seguirò il tuo consiglio. Grazie.
Saluti, Rinopc.

Esegui hijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:

Quote:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio.exe (file missing)

clicca su Fix checked

Per quanto riguarda

Quote:

Threat Files<Starware Horoscopes Toolbar> : C:\Windows\winsxs\x86_microsoft-windows-ie-infocard_31bf3856ad364e35_6.0.6000.20777_none_58fa301d80678af6\icardie.dll

come detto in precedenza dovrebbe essere un falso positivo ==>> http://www.spywareterminator.com/it/...s-Toolbar.html segnalalo al Team di ST

[Stefy_MHR]

Ecco fatto...
http://wikisend.com/download/654734/hijackthis.log

[xcdegasp]

Quote:

Originariamente inviato da Stefy_MHR

Ecco fatto...
http://wikisend.com/download/654734/hijackthis.log

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfree.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfree.dll
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfree.dll
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - .DEFAULT User Startup: hpothb07.dat (User 'Default user')
O4 - .DEFAULT User Startup: hpothb07.tif (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206545955218
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14E81FF6-6886-45B4-A2E4-385EB3A55154}: NameServer = 85.37.17.43 85.38.28.96
O17 - HKLM\System\CS1\Services\Tcpip\..\{14E81FF6-6886-45B4-A2E4-385EB3A55154}: NameServer = 85.37.17.43 85.38.28.96

le O16puoi sempre fixarleper fare pulizia

[Kripto]

Ciao a tutti....qualcuno ha qualche consiglio da darmi sul seguente log?

hijackthis.log

[Chill-Out]

Quote:

Originariamente inviato da Kripto

Ciao a tutti....qualcuno ha qualche consiglio da darmi sul seguente log?

hijackthis.log

Hai una discussione aperta http://www.hwupgrade.it/forum/showth...0#post23333390 mi domando il perchè hai allegato il log di HijackThis qui

Fixa

Quote:

O17 - HKLM\System\CCS\Services\Tcpip\..\{2F795B54-A03E-4071-9410-41ACA9EDF4FF}: NameServer = 212.31.224.2,212.31.224.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F795B54-A03E-4071-9410-41ACA9EDF4FF}: NameServer = 212.31.224.2,212.31.224.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{2F795B54-A03E-4071-9410-41ACA9EDF4FF}: NameServer = 212.31.224.2,212.31.224.3
O20 - AppInit_DLLs:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O21 - SSODL: hqlPCrjEeUS - {E44B4704-4EE1-EDAE-9CA6-4948BBBBA654} - C:\WINDOWS\system32\rydxs.dll (file missing)

hai reinstallato VirIt e non hai ancora aggiornato i software complementari come da Guida post infezione, dove è anche indicato come mettere in sicurezza il Pc

Successivamente fai questa verifica: Start - Esegui - digita Regedit si apre l' Editor del Registro di sistema naviga fino alla seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - nel pannello di dx in corrispondenza del Nome Userinit dimmi qual'è il valore impostato dovrebbe essere questo C:\WINDOWS\System32\userinit.exe, virgola inclusa

[Kripto]

Scusami Chill, è il portatile questo...l'altro ora è OK grazie a te...

Purtroppo qui VirIt devo tenerlo perchè ho ancora 10 mesi di licenza

[wjmat]

Quote:

Originariamente inviato da Kripto

Purtroppo qui VirIt devo tenerlo perchè ho ancora 10 mesi di licenza

se ahimè compro una panda, ma mi segnalano che c'è una ferrari gratis io mi prenderei la ferrario no?

[Kripto]

Quote:

Originariamente inviato da wjmat

se ahimè compro una panda, ma mi segnalano che c'è una ferrari gratis io mi prenderei la ferrario no?

Si, effettivamente hai ragione! Ma VirIT è così male come antivirus?

[Chill-Out]

Quote:

Originariamente inviato da Kripto

Si, effettivamente hai ragione! Ma VirIT è così male come antivirus?

Lo dimostra il fatto che su 2 Pc ci sono problemi

[Kripto]

Maledetta la volta che l'ho comprato!!!
Però c'è anche da dire che è mia sorella che navigando riesce a racattare tutti i virus esistenti!

[yak]

E' la mia prima scansione con HiJackThis (vedi Allegato.txt)
potreste dirmi cosa togliere, per favore ?

[wjmat]

Quote:

Originariamente inviato da yak

E' la mia prima scansione con HiJackThis (vedi Allegato.txt)
potreste dirmi cosa togliere, per favore ?

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log secondo le modalità

[yak]

Grazie della risposta !
ecco il nuovo LOG aggiornato
aspetto notizie !

[Stefy_MHR]

Quote:

Originariamente inviato da xcdegasp

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfree.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfree.dll
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfree.dll
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - .DEFAULT User Startup: hpothb07.dat (User 'Default user')
O4 - .DEFAULT User Startup: hpothb07.tif (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206545955218
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14E81FF6-6886-45B4-A2E4-385EB3A55154}: NameServer = 85.37.17.43 85.38.28.96
O17 - HKLM\System\CS1\Services\Tcpip\..\{14E81FF6-6886-45B4-A2E4-385EB3A55154}: NameServer = 85.37.17.43 85.38.28.96

le O16puoi sempre fixarleper fare pulizia

Ok grazie, ho fatto tutto quello che mi hai detto! C'era qualcosa di "potente" nelle cose che ho eliminato?

[wjmat]

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Esegui il programma di registrazione della chiave USB Wi-Fi Nintendo.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe

dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti

da cui importanti
aggiornare java
rimuovere avast in favore dell'ottimo antivir

[garzaman]

Salve potreste darmi un occhiata a questo log? L'ultima riga mi puzza.....

Grazie