HiJackThis - Analisi Log - leggere Regole di Sezione

[franchetiello]

salve a tutti, in pratica non riesc a fare la scansione con nessun antivirus online, ne con ie ne con firefox e troppo spesso i programmi smettoni di funzionare.posto il log, grazie a chiunque mi possa dare una mano

[franchetiello]

Quote:

Originariamente inviato da franchetiello

salve a tutti, in pratica non riesc a fare la scansione con nessun antivirus online, ne con ie ne con firefox e troppo spesso i programmi smettoni di funzionare.posto il log, grazie a chiunque mi possa dare una mano

aggiungo che continuad aprirsi,nonostante adblockplus e nonostante lo abbia inserito in blocksite, il banner pubblicitario relativo a utarget.co.uk, cepu, grandiscuole.....sembra uno spyware ma nessun rogramma trova niente

[wjmat]

Quote:

Originariamente inviato da franchetiello

aggiungo che continuad aprirsi,nonostante adblockplus e nonostante lo abbia inserito in blocksite, il banner pubblicitario relativo a utarget.co.uk, cepu, grandiscuole.....sembra uno spyware ma nessun rogramma trova niente

Ciao
apri qui una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità

[Francizio]

Gentilmente mi controllate questo log?

Grazie mille...

http://www.mediafire.com/?sharekey=c...e8adb371cf6479


Scusate se vi lascio il link, ma non me lo faceva caricare...

[wjmat]

Quote:

Originariamente inviato da Francizio

Gentilmente mi controllate questo log?

Grazie mille...

http://www.mediafire.com/?sharekey=c...e8adb371cf6479


Scusate se vi lascio il link, ma non me lo faceva caricare...

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: wkcalrem.LNK = C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1226761497063
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

C:\WINDOWS\system32\urretnd.exe

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema
Alla fine della verifica rimetti le impostazioni originali

[Francizio]

Le voci non ci sono più.

IL file che mi hai detto di contollare, sarà sicuramente tra i file nascosti.
Anzi, c'è sicuramente prchè visionando la cartella con WinRAR lo vedo. Il problema è che non riesco invece a visualizzarlo per inviarlo e farlo analizzare perchè non mi fa mettere la spunta su "Visualizza cartelle e file nascosti".
La metto, e in automatico la toglie...


Ho poi pquesto problema con l'Antivirus lanciando gli aggiornamenti:



Temo d'aver preso un virus sulla penna USB in negozio...Perchè ho avuto proprio stamattina lo stesso problema su un altro pc in cui ho installato Avira...


Oggi avevo lancaito una scansione del PC, ma al 30% circa la bloccava...Stessa cosa per gli aggiornamenti che facevo in negozio...

[Chill-Out]

@Francizio

Ti suggerisco di seguire la Guida

http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Francizio]

Quote:

Originariamente inviato da Chill-Out

@Francizio

Ti suggerisco di seguire la Guida

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Si si...Ho già lanciato Malwarebytes...

Poi continuo con li resto.

Anticipo che per mancanza di ADSL (purtroppo sono in queste condizioni) non mi sarà possibile fare la scansione online...

Quindi posterò tutto, tranne quella.

Cmq il file urretnd.exe, dovrebbe essere un virus da quel che leggo:

http://www.prevx.com/filenames/17082...ETND2EEXE.html


Che dici, lo rimuovo manualmente????

O faccio prima le scansioni?

[wjmat]

Quote:

Originariamente inviato da Francizio

Si si...Ho già lanciato Malwarebytes...

Poi continuo con li resto.

Anticipo che per mancanza di ADSL (purtroppo sono in queste condizioni) non mi sarà possibile fare la scansione online...

Quindi posterò tutto, tranne quella.

Cmq il file urretnd.exe, dovrebbe essere un virus da quel che leggo:

http://www.prevx.com/filenames/17082...ETND2EEXE.html


Che dici, lo rimuovo manualmente????

O faccio prima le scansioni?

segui la guida, non si sa mai che ci sia dell'altro, poi se rimane passata di avenger

[aeroxr1]

salve ragazzi ,
ho un problemino . In pratica appena emule si connette il mio pc si impalla. Ho provato a reinstallare emule ma niente da fare. Inoltre noto un grosso rallentamento del pc .

inoltre nei momenti di rallentamento totale ho un ciclo idle che va a 100... non capisco

http://wikisend.com/download/770972/hijackthis.log


questo qua sopra è il mio log di hijacjthis . Non so proprio cosa possa essere. C'è qualcosa che non va nel log ?



ho dato uno sguardo al log dopo aver letto la guida ma mi sembra tutto a posto a livello di file maligni... potete dare un occhiata anche voi ?

[wjmat]

Quote:

Originariamente inviato da aeroxr1

salve ragazzi ,
ho un problemino . In pratica appena emule si connette il mio pc si impalla. Ho provato a reinstallare emule ma niente da fare. Inoltre noto un grosso rallentamento del pc .

inoltre nei momenti di rallentamento totale ho un ciclo idle che va a 100... non capisco

http://wikisend.com/download/770972/hijackthis.log


questo qua sopra è il mio log di hijacjthis . Non so proprio cosa possa essere. C'è qualcosa che non va nel log ?



ho dato uno sguardo al log dopo aver letto la guida ma mi sembra tutto a posto a livello di file maligni... potete dare un occhiata anche voi ?

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Codice:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_si te.cab?1232124654421
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1232124638937
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://aeroxr1.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

non vedo altro, se pensi di essere infetto apri qui una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità

[Stefy_MHR]

Mi servirebbe una controllatina al log!
http://www.fileqube.com/file/ppcneBmy171602
Grazie!

[Chill-Out]

Quote:

Originariamente inviato da Stefy_MHR

Mi servirebbe una controllatina al log!
http://www.fileqube.com/file/ppcneBmy171602
Grazie!

Fixa

Quote:

O17 - HKLM\System\CCS\Services\Tcpip\..\{C948DC11-9601-4405-A0E1-1C1105DFC39A}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: McAfee Application Installer Cleanup (0117251233407134) (0117251233407134mcinstcleanup) - Unknown owner - C:\DOCUME~1\Maurizio\IMPOST~1\Temp\011725~1.EXE (file missing)

Da Start - Esegui - digita CMD

nella finestra DOS digita:

sc stop 0117251233407134 -> batti invio
sc delete 0117251233407134 -> batti invio

sc stop 0117251233407134mcinstcleanup -> batti invio
sc delete 0117251233407134mcinstcleanup -> batti invio

Exit per uscire

NB: ci sono tracce di un'infezione da Rogue

[Stefy_MHR]

Quote:

Originariamente inviato da Chill-Out

Fixa



Da Start - Esegui - digita CMD

nella finestra DOS digita:

sc stop 0117251233407134 -> batti invio
sc delete 0117251233407134 -> batti invio

sc stop 0117251233407134mcinstcleanup -> batti invio
sc delete 0117251233407134mcinstcleanup -> batti invio

Exit per uscire

NB: ci sono tracce di un'infezione da Rogue

fatto, nei primi 3 comandi in dos mi veniva fuori che il servizio non esiste come servizio installato. Con l'ultimo ha cancellato invece!

[Chill-Out]

Quote:

Originariamente inviato da Stefy_MHR

fatto, nei primi 3 comandi in dos mi veniva fuori che il servizio non esiste come servizio installato. Con l'ultimo ha cancellato invece!

Ok, riallega nuovo log

[Stefy_MHR]

Quote:

Originariamente inviato da Chill-Out

Ok, riallega nuovo log

OK, Eccolo!
http://www.fileqube.com/file/gmQoVjF171630
P.S. Grazie della pazienza!

[Chill-Out]

Quote:

Originariamente inviato da Stefy_MHR

OK, Eccolo!
http://www.fileqube.com/file/gmQoVjF171630
P.S. Grazie della pazienza!

Il log adesso è Ok

[Stefy_MHR]

Quote:

Originariamente inviato da Chill-Out

Il log adesso è Ok

Grazie ancora!

[Chill-Out]

Quote:

Originariamente inviato da Stefy_MHR

Grazie ancora!

Prego

[paolo-fcb]

ciao ragazzi cm state? rieccomi, ho dei problemini di lentezza e di incoerenza al pc, spero nulla di grave anche perchè difficile da descrivere ma ad esempio sta facendo il windows live update e ci mette 1 secolo, inoltre vedo che il windows installer funge male, ashampoo uninstaller platinum mi fa i capricci e ogni tanto mi sbuca un errore, oggi ho fatto scansione completa con asquared e non ha trovato nulla, con avira e c'erano file sospetti messi in quarantena credo, ecco il log e grazie in anticipo:
http://www.fileqube.com/file/alTDyCeGa172228