HiJackThis - Analisi Log - leggere Regole di Sezione

[Daleel]

Ciao sono un novizio,

posso partecipare anche io? cosa ve ne pare c'è roba in +?

Logfile of HijackThis v1.99.1
Scan saved at 11.52.03, on 06/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\trcboot.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\IBM\Personal Communications\PCS_AGNT.EXE
C:\WINDOWS\system32\Drivers\ldlcserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Mediatools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programmi\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B10B9423-B2D5-4389-9FA2-71157C4E7CDE}: NameServer = (SICURO!!!)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: ldlcserv - IBM Corporation - C:\WINDOWS\system32\Drivers\ldlcserv.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrcBoot - IBM Corporation - C:\WINDOWS\system32\drivers\trcboot.exe

[juninho85]

se non avete problemi di sicurezza mi spiegate che senso può avere postare un kilometrico log senza averlo fatto analizzare prima dal tool automatico e senza aver fatto uno scan con i vari antispyware?

[andorra24]

L'ho gia scritto tempo fa. Ormai c'e' l'hobby di postare il log per divertimento.

[Stev-O]

perchè non posti anche tu il tuo andorra cosi' noi lo analizziamo e commentiamo?

[Stev-O]

@daeel: non c'e' nulla in più, hai un log cortino, salvo il realtime di spybot che potresti rimuovere

[Daleel]

qual'è il link al sito di controllo automatico? non mi ricordo


era soltanto un dubbio....

vabbè scendo un pò + nel dettaglio:

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

(2 processi identici) se vado nel task manager a volte ne trovo anche 5 ????? che roba è?

C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\trcboot.exe


O23 - Service: ldlcserv - IBM Corporation - C:\WINDOWS\system32\Drivers\ldlcserv.exe

O23 - Service: TrcBoot - IBM Corporation - C:\WINDOWS\system32\drivers\trcboot.exe


che roba è? sono indispensabili? ho collegamento as/400 si riferisce a quello?

grazie scusate le domande (forse per voi) idiote!!!

[Stev-O]

svchost è normale che siano 5
spoolsv anche
trcboot dev'essere una qualche utility ibm

http://www.anti-spy.info/process/trcboot.exe.html

[andorra24]

Quote:

Originariamente inviato da Stev-O

perchè non posti anche tu il tuo andorra cosi' noi lo analizziamo e commentiamo?

Non ci penso proprio.

[Stev-O]

dopo ti "massacrano" per bene

[Daleel]

ok grazie mille Stev per la risp e per la disp....
il real di Spybot non è un granchè vero? c'è di meglio?!?!

Saluti

[Stev-O]

esatto, il migliore sarebbe quello di spysweeper ma costa
spybot è utile per l'immunizzazione dei siti assieme a spywareblaster
un alternativa è quello microsoft o un'altro che non mi ricordo adesso...
sicuramente c'e qualcuno che lo ricorda

[Animale Di Zona]

Quote:

Originariamente inviato da juninho85

se non avete problemi di sicurezza mi spiegate che senso può avere postare un kilometrico log senza averlo fatto analizzare prima dal tool automatico e senza aver fatto uno scan con i vari antispyware?

ma questo è o non è il topic ufficiale di hijackthis?
detto ciò,ho fatto analizzare il log al tool automatico(sì ci ero arrivato da solo) ma mi riconosce 3 voci con ? quindi ho preferito postarlo qui.
Poi se è una scocciatura rispondermi è un altro paio di maniche,vado per altri lidi,no problema!

[Stev-O]

vai tranquillo animale di zona: non è mai mancata risposta su questo thread

[Animale Di Zona]

pardon juninho ho visto che non ti riferivi a me.

Steve sai darmi indicazioni su quella quarta voce?comunque non ho installato nulla di nuovo,solo che ora quando chiudo le finestre con il tastino x in alto a dx(non necessariamente internet)noto un leggero effetto slow motion che prima non faceva.
Un'altra pioccola domanda:come posso aggiornare sysclean?

[Stev-O]

dici questa?

O4 - HKLM\..\RunServices: [s] S

sei sicuro di averla copiata tutta?

[Animale Di Zona]

no è proprio così che è?
sai darmi indicazioni su sysclean?

[andorra24]

Quote:

Originariamente inviato da Animale Di Zona

Un'altra pioccola domanda:come posso aggiornare sysclean?

Ti riferisci a sysclean della trendmicro? Per aggiornarlo devi di volta in volta scaricarti il Pattern file contenente le ultime definizioni virali e inserire il file LPTXXX.ZIP nella stessa cartella dove si trova il file SYSCLEAN.COM.
Il file pattern lo trovi qui: http://www.trendmicro.com/download/viruspattern.asp

[Stev-O]

hai qualche file sul pc che si chiama s.exe?

io fixerei...
sentiamo altri illustri pareri...

sysclean non lo conosco: sembra un doppione di altri antispyware migliori

[Animale Di Zona]

Quote:

Originariamente inviato da andorra24

Ti riferisci a sysclean della trendmicro? Per aggiornarlo devi di volta in volta scaricarti il Pattern file contenente le ultime definizioni virali e inserire il file LPTXXX.ZIP nella stessa cartella dove si trova il file SYSCLEAN.COM.
Il file pattern lo trovi qui: http://www.trendmicro.com/download/viruspattern.asp

sì andorra grazie mille,è proprio come pensavo,devo scaricare ogni volta il pattern aggiornato

[Animale Di Zona]

Quote:

Originariamente inviato da Stev-O

hai qualche file sul pc che si chiama s.exe?

io fixerei...
sentiamo altri illustri pareri...

sysclean non lo conosco: sembra un doppione di altri antispyware migliori

questo è il punto.
non ho nessuno programma che si chiama s.exe..
francamente sono spiazzato anch'io perchè non mi è mai capitata una cosa del genere..