HiJackThis - Analisi Log - leggere Regole di Sezione

[Samu78]

Quote:

Originariamente inviato da Chill-Out

Il log è incompleto.

l'ho rifatto

controlla se ora va bene grazie mille

http://www.mediafire.com/?zzydnykitid

[wjmat]

Quote:

Originariamente inviato da omissam

aiutoo...ari-sono sicuramente infetto!!!!Potete darmi suggerimenti??
http://wikisend.com/download/605814/hijackthis.log

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0843473d138e7c4e3516/netzip/RdxIE601.cab
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37960.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15106/CTPID.cab

se hai regolare licenza di nod disinstalla avast

devi aggiornare Windows all'ultimo service pack
non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[omissam]

Buongiorno wjmat.Grazie per l'assistenza.Ho effettuato le operazioni da te richieste.Attualmente la situazione è quella dell'allegato(le voci fixate sono sparite),ma al riavvio prevX mi segnala ancora infezione 9430693.exe in c:\ che ne pensi??

[wjmat]

Quote:

Originariamente inviato da omissam

Buongiorno wjmat.Grazie per l'assistenza.Ho effettuato le operazioni da te richieste.Attualmente la situazione è quella dell'allegato(le voci fixate sono sparite),ma al riavvio prevX mi segnala ancora infezione 9430693.exe in c:\ che ne pensi??

il log di hjt è pulito
apri qui una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (esempio1 & esempio2)
Qui trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

[Hitman47]

Quote:

Originariamente inviato da Hitman47

Il pc di mio fratello ha un problema...
Stava scaricando da internet un file, si è aperto un popup, e di colpo il pc ha iniziato ad andare lentissimo...ha riavviato e da quel momento, a caso, la barra Start gli si blocca del tutto...e non riesce a richiamare neanche il task manager...
Ha fatto la scansione con diversi programmi, tipo eset smart security e malwarebytes anti-malware, ma nulla...ha anche provato con il ripristino del sistema ad una data precedente "all'incidente"....non so più che consigliarli (oltretutto stiamo a 6 ore di fuso di distanza)

grazie

Quote:

Originariamente inviato da Chill-Out

Logfile of Trend Micro HijackThis v2.0.0 (BETA) avete usato una version obsoleta di HJT, la versione corrente è scaricabile da qui http://free.antivirus.com/hijackthis/

Inoltre siete fermi al SP2 è necessario aggiornare al SP3 altrimenti è tutto vano.

Guarda, ha provato a mettere l'SP3 sia via file che via iso e gli da file corrotto...non vorrei che fosse sto problema....

questo è il log con l'ultimo HJT

[xcdegasp]

Quote:

Originariamente inviato da Hitman47

Guarda, ha provato a mettere l'SP3 sia via file che via iso e gli da file corrotto...non vorrei che fosse sto problema....

questo è il log con l'ultimo HJT

fixa:

Codice:

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TrialReset] C:\WINDOWS\regx32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe

comunque è presente nel pc un Cloaked Malware quindi segui la guida alla disinfezione per infetti

[vegahardware]

Ciao a tutti,

potreste darmi un'occhiatina a questo log:
http://www.mediafire.com/download.php?yj3i2oyqdiu

da un pò di tempo ho continui crash di "explorer.exe"

inoltre vorrei anche snellire l'avvio da applicazioni e/o servizio non utili...

gentilissimi come sempre!!!

[xcdegasp]

Quote:

Originariamente inviato da vegahardware

Ciao a tutti,

potreste darmi un'occhiatina a questo log:
http://www.mediafire.com/download.php?yj3i2oyqdiu

da un pò di tempo ho continui crash di "explorer.exe"

inoltre vorrei anche snellire l'avvio da applicazioni e/o servizio non utili...

gentilissimi come sempre!!!

fixa:

Codice:

O4 - HKLM\..\Run: [HFFSRV] c:\windows\hffext\hffsrv.exe
O23 - Service: Hide Files and Folders (HideFilesAndFolders_S) - Unknown owner - C:\WINDOWS\System32\hffsrv.exe (file missing)
O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Unknown owner - C:\WINDOWS\system32\IcdSptSv.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)

segui la guida GUIDA alla DISINFEZIONE per INFETTI inquanto il pc moostra segni di un infezione parzialmente risolta, per togliersi ogni eventuale dubbio è bene seguire quella guida perchè offrirà uno screening completo
oviamente per publicare i log apri un nuovo thread

[Xenahort]

Ragazzi...ultimamente sto avendo un po di problemucci strani col PC. Qualcuno sa dirmi (xkè di hijack non ci capisco niente) se ho qualke problema?!?!
GRAZIE INFINITE

Allego il file .txt

[Tizzy88]

salve a tutti, riposto un log di hijack perchè ho notato che si apre un'applicazione di norton in automatico che io non possiedo in quanto utilizzo avira


http://www.mediafire.com/file/tmntnd...ijackthisx.txt


grazie in anticipo

[xcdegasp]

Quote:

Originariamente inviato da Xenahort

Ragazzi...ultimamente sto avendo un po di problemucci strani col PC. Qualcuno sa dirmi (xkè di hijack non ci capisco niente) se ho qualke problema?!?!
GRAZIE INFINITE

Allego il file .txt

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "F:\Programmi\RivaTuner v2.24\RivaTuner.exe" /S
O4 - HKLM\..\Run: [RivaTuner] "F:\Programmi\RivaTuner v2.24\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [PC Suite Tray] "F:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "F:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

hai un sacco di roba inutile nelle esecuzioni automatiche che ruba cpu e ram senza motivo, in più ti ho fatto disabilitare il supporto ai caratteri asiatici.

ho notato qualcosa di strano (la riga che comincia F2) quindi poi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
ovviamente apri un nuovo thread per pubblicare i log

[xcdegasp]

Quote:

Originariamente inviato da Tizzy88

salve a tutti, riposto un log di hijack perchè ho notato che si apre un'applicazione di norton in automatico che io non possiedo in quanto utilizzo avira


http://www.mediafire.com/file/tmntnd...ijackthisx.txt


grazie in anticipo

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

poi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituirlo con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[Samu78]

Quote:

Originariamente inviato da Samu78

l'ho rifatto

controlla se ora va bene grazie mille

http://www.mediafire.com/?zzydnykitid

grazie a chi mi vorrà rispondere!!!

[Xenahort]

Quote:

Originariamente inviato da xcdegasp

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "F:\Programmi\RivaTuner v2.24\RivaTuner.exe" /S
O4 - HKLM\..\Run: [RivaTuner] "F:\Programmi\RivaTuner v2.24\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [PC Suite Tray] "F:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "F:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

hai un sacco di roba inutile nelle esecuzioni automatiche che ruba cpu e ram senza motivo, in più ti ho fatto disabilitare il supporto ai caratteri asiatici.

ho notato qualcosa di strano (la riga che comincia F2) quindi poi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
ovviamente apri un nuovo thread per pubblicare i log

Ok ho fatto tutto come mi hai detto ed ecco il log eseguito con MALWAREBYTES'.

[pax86]

Salve a tutti, sono nuovo del forum.
Volevo chiedevi aiuto, ho scoperto di avere due iexplore.exe ogni pagina ho fatto una scansione con hijackthis qualcuno sa dirmi come risolvere il problema. Vi allego il file di log

http://www.mediafire.com/?mzjhumvonjd

[Chill-Out]

Quote:

Originariamente inviato da Samu78

grazie a chi mi vorrà rispondere!!!

Ciao, ma quale versione di HJT hai utilizzato?

[Chill-Out]

Quote:

Originariamente inviato da pax86

Salve a tutti, sono nuovo del forum.
Volevo chiedevi aiuto, ho scoperto di avere due iexplore.exe ogni pagina ho fatto una scansione con hijackthis qualcuno sa dirmi come risolvere il problema. Vi allego il file di log

http://www.mediafire.com/?mzjhumvonjd

Dal log non emerge nulla, per quanto concerne iexplore.exe evere più istanze è normale.

[pax86]

Forse non mi sono spigato bene, se io clicco su internet explorer subito nel task ho due processi iexplore.exe se dopo apro per esempio una nuova scheda o una nuova finestra i processi nel task diventano quattro e così via. Che io sappia non credo sia normale visto anche che cercando su google ho visto che altre persone hanno avuto lo stesso problema, questi poi hanno postato il loro log e alcuni gli hanno consigliato quali processi fixare e poi avevano risolto. Ma siccome ogniuno aveva processi diversi che aveva cancellato e io non ci capisco nulla chiedevo se voi potevate aiutarmi.

[lukyred]

ciao ragazzi, da qualche giorno il mio pc si è rallentato notevolmente, anche nella scrittura testi...
potreste dirmi se c'è qualcosa che non va in questo log?

hijackthis.txt

grazieeeeee

luk

[Samu78]

Quote:

Originariamente inviato da Chill-Out

Ciao, ma quale versione di HJT hai utilizzato?

a2hijack free visto che ho un sistema a 64bit