HiJackThis - Analisi Log - leggere Regole di Sezione

[DIRRTY FIGHTER]

salve,un mio amico ha seri problemi con il pc,infatti dopo un pò che lo accende e si connette a internet mi dice che la barra start gli diventa tipo windows 98 e che non riesce più ad utilizzare ne internet ne msn,è come se la connessione c fosse (perchè mi dice che i 2 computerini rimangono accesi) ma non funziona.mi sono fatto dare il suo log per farlo controllare da voi che siete èiù esperti..risp perf :


Log rimosso leggere le modalità per allegare i log in prima pagina della presente Guida, grazie.

[wjmat]

Quote:

Originariamente inviato da DIRRTY FIGHTER

salve,un mio amico ha seri problemi con il pc,infatti dopo un pò che lo accende e si connette a internet mi dice che la barra start gli diventa tipo windows 98 e che non riesce più ad utilizzare ne internet ne msn,è come se la connessione c fosse (perchè mi dice che i 2 computerini rimangono accesi) ma non funziona.mi sono fatto dare il suo log per farlo controllare da voi che siete èiù esperti..risp perf :

Ciao, riedita cortesemente il tuo post caricando il log secondo le modalità

[marcosco]

Quote:

Originariamente inviato da wjmat

Ciao, riedita cortesemente il tuo post caricando il log secondo le modalità

funghi.log

[wjmat]

Quote:

Originariamente inviato da marcosco

funghi.log

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: (no name) - {06E60223-084F-471F-B397-1B81E01648AE} - C:\Documents and Settings\Silvano\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\1inav.dat
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Programmi\Hotbar\bin\4.5.1.0\HbHostIE.dll
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Programmi\Hotbar\bin\4.5.1.0\HbHostIE.dll
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programmi\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O18 - Filter hijack: text/html - {FA214BA3-4005-4A54-AD54-6F22BF46468A} - (no file)

poi ripulire per bene il pc apri qui una discussione e poi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log secondo le modalità, in un unico post e nell'ordine indicato.

[doris580]

Quote:

Originariamente inviato da Chill-Out

l'altro forum

ah, ok, l'altro forum è megalab.it

[mas-cio]

il mio pc dà segni di squilibrio mi aiutate per cortesia?
questo è il log

ciao

[Chill-Out]

Quote:

Originariamente inviato da mas-cio

il mio pc dà segni di squilibrio mi aiutate per cortesia?
questo è il log

ciao

Ciao segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446 naturalmente i log per il controllo vanno allegati dove appena indicato

[DIRRTY FIGHTER]

salve,un mio amico ha seri problemi con il pc,infatti dopo un pò che lo accende e si connette a internet mi dice che la barra start gli diventa tipo windows 98 e che non riesce più ad utilizzare ne internet ne msn,è come se la connessione c fosse (perchè mi dice che i 2 computerini rimangono accesi) ma non funziona.mi sono fatto dare il suo log per farlo controllare da voi che siete èiù esperti..risp perf

ecco il log:

http://www.fileqube.com/file/HCvrbwP154425

[Chill-Out]

Quote:

Originariamente inviato da DIRRTY FIGHTER

salve,un mio amico ha seri problemi con il pc,infatti dopo un pò che lo accende e si connette a internet mi dice che la barra start gli diventa tipo windows 98 e che non riesce più ad utilizzare ne internet ne msn,è come se la connessione c fosse (perchè mi dice che i 2 computerini rimangono accesi) ma non funziona.mi sono fatto dare il suo log per farlo controllare da voi che siete èiù esperti..risp perf

ecco il log:

http://www.fileqube.com/file/HCvrbwP154425

Dal log non risulta nulla di particolare

[marcosco]

Quote:

Originariamente inviato da wjmat

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: (no name) - {06E60223-084F-471F-B397-1B81E01648AE} - C:\Documents and Settings\Silvano\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\1inav.dat
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Programmi\Hotbar\bin\4.5.1.0\HbHostIE.dll
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Programmi\Hotbar\bin\4.5.1.0\HbHostIE.dll
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programmi\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O18 - Filter hijack: text/html - {FA214BA3-4005-4A54-AD54-6F22BF46468A} - (no file)

poi ripulire per bene il pc apri qui una discussione e poi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log secondo le modalità, in un unico post e nell'ordine indicato.

si,quelli che mi hai detto tu sapevo già di eliminarli,quello che non riuscivo a capire era come eliminare C:\WINDOWS\system32\temp1.exe che si trova tra le prime voci che il log visualizza,ma che poi non da la possibilità di eliminare fixandolo.

[wjmat]

Quote:

Originariamente inviato da marcosco

si,quelli che mi hai detto tu sapevo già di eliminarli,quello che non riuscivo a capire era come eliminare C:\WINDOWS\system32\temp1.exe che si trova tra le prime voci che il log visualizza,ma che poi non da la possibilità di eliminare fixandolo.

per eliminarlo e pulire per bene il pc segui la guida che ti ho linkato

[yebo]

ciao ragazzi, approfitto anch'io del vostro sapere e vi chiedo se mi dareste un'occhiata al log per favore..

ciao a tutti grazie


Edit: scusate ho corretto. il log dovrebbe apparire come allegato

[wjmat]

Quote:

Originariamente inviato da yebo

ciao ragazzi, approfitto anch'io del vostro sapere e vi chiedo se mi dareste un'occhiata al log per favore..

Ciao, riedita cortesemente il tuo post caricando il log secondo le modalità

[arthos]

i browser non aprono due siti web, posso navigare in tutto il web tranne quei due. Contemporaneamente mi ritrovo nella cartella system32 questo file: ccbmip.dll. Allego cmq il log. Vi ringrazio per ogni aiuto.

http://www.fileqube.com/file/fgprDtOLl154890

[Chill-Out]

Quote:

Originariamente inviato da arthos

i browser non aprono due siti web, posso navigare in tutto il web tranne quei due. Contemporaneamente mi ritrovo nella cartella system32 questo file: ccbmip.dll. Allego cmq il log. Vi ringrazio per ogni aiuto.

http://www.fileqube.com/file/fgprDtOLl154890

Io per scrupolo seguirei la Guida come indicato qui http://www.hwupgrade.it/forum/showth...5#post25232555

[Chill-Out]

Quote:

Originariamente inviato da yebo

ciao ragazzi, approfitto anch'io del vostro sapere e vi chiedo se mi dareste un'occhiata al log per favore..

ciao a tutti grazie


Edit: scusate ho corretto. il log dovrebbe apparire come allegato

Pulito, devi aggiornare al SP3, IE alla versione 7 ti suggerisco di leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

[Ciuccellone]

Salve a tutti.
Ieri purtroppo ho preso il virus bagle.
Seguendo l'ottima guida che ho trovato su questo forum sono riuscito a debellarlo -spero-.
Prima usavo antivir come antivirus e l'ormai datato Sygate come firewall.
Al momento ho reinstallato Antivir e abilitato il firewall di windows in attesa di installare un firewall più serio.
Purtroppo al momento ho dei grossi problemi con la connessione ADSL che continua a cadere:
-la Protezione Esecuzioni Programmi continua a bloccarmi "Generic Host Process for Win32 Services" (ho provato a disabilitarlo andando in Sistema>Avanzate>Opzioni Prestazioni>Protezione Esecuzione Programmi e facendo la spunta su "Generic Host Process for Win32 Services")
-Lo Spybot Resident mi segnala la variazione della chiave %systemroot%/sistem32/dumprep 0 -u (dovrebbe essere un programmino che invia alla microsoft l'avviso degli errori registrati e ho provato a disabilitarlo andando in Sistema>Avanzate>Avvio e ripristino>Errore di Sistema e ho disattivato Invio avviso amministrativo)

Ho appena effettuato le modifiche quindi non sono in grado di dire se la connessione sia stabile al 100%.

Però mi sorge il dubbio di essere ancora infetto.. prima del virus non avevo mai avuto questi problemi..

Allego il log di Hijackthis.
Usando l'analizzatore automatico ci sono alcune voci col punto di domanda giallo che non so come interpretare..
Grazie a chiunque sia in grado di fornirmi un aiuto!

[wjmat]

Quote:

Originariamente inviato da Ciuccellone

Salve a tutti.
Ieri purtroppo ho preso il virus bagle.
Seguendo l'ottima guida che ho trovato su questo forum sono riuscito a debellarlo -spero-.
Prima usavo antivir come antivirus e l'ormai datato Sygate come firewall.
Al momento ho reinstallato Antivir e abilitato il firewall di windows in attesa di installare un firewall più serio.
Purtroppo al momento ho dei grossi problemi con la connessione ADSL che continua a cadere:
-la Protezione Esecuzioni Programmi continua a bloccarmi "Generic Host Process for Win32 Services" (ho provato a disabilitarlo andando in Sistema>Avanzate>Opzioni Prestazioni>Protezione Esecuzione Programmi e facendo la spunta su "Generic Host Process for Win32 Services")
-Lo Spybot Resident mi segnala la variazione della chiave %systemroot%/sistem32/dumprep 0 -u (dovrebbe essere un programmino che invia alla microsoft l'avviso degli errori registrati e ho provato a disabilitarlo andando in Sistema>Avanzate>Avvio e ripristino>Errore di Sistema e ho disattivato Invio avviso amministrativo)

Ho appena effettuato le modifiche quindi non sono in grado di dire se la connessione sia stabile al 100%.

Però mi sorge il dubbio di essere ancora infetto.. prima del virus non avevo mai avuto questi problemi..

Allego il log di Hijackthis.
Usando l'analizzatore automatico ci sono alcune voci col punto di domanda giallo che non so come interpretare..
Grazie a chiunque sia in grado di fornirmi un aiuto!

ciao

mi pare che nella guida di bagle tu non abbia caricato nessun log...
non possiamo sapere se i log fossero puliti e nemmeno se le scansioni fossero complete, dal log di hjt cio sono tracce di infezioni....

fixa

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -

poi torni nel 3d di bagle e carichi i log richiesti secondo le modalità

[syrax]

Chiedo per favore la visione di questo log di HijackThis

http://www.fileqube.com/file/hCDmVGDrW155736

Mi sembra molto strano il processo CTFMON.exe legato a Microsoft Office che non ho installato sul PC dato che utilizzo da anni OpenOffice.

Grazie in anticipo.

[Chill-Out]

Quote:

Originariamente inviato da syrax

Chiedo per favore la visione di questo log di HijackThis

http://www.fileqube.com/file/hCDmVGDrW155736

Mi sembra molto strano il processo CTFMON.exe legato a Microsoft Office che non ho installato sul PC dato che utilizzo da anni OpenOffice.

Grazie in anticipo.

Log pulito per quanto riguarda Ctfmon.exe leggi qui http://support.microsoft.com/kb/282599/it