HiJackThis - Analisi Log - leggere Regole di Sezione

[andorra24]

Controlla gli ip delle voci 017. Li riconosci come appartenenti al tuo provider? Mi insospettiscono.

[juninho85]

Quote:

Originariamente inviato da andorra24

Controlla gli ip delle voci 017. Li riconosci come appartenenti al tuo provider? Mi insospettiscono.

infatti...4 sono troppi

[farfa]

Scusate,
potreste spiegarmi meglio?

[andorra24]

Quote:

Originariamente inviato da farfa

Scusate,
potreste spiegarmi meglio?

Semplice. Non quadrano tutte quelle voci 017 che hai. Da una breve ricerca fatta direi che sicuramente puoi fixare queste:
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F8A16B-40BA-4BAD-B73B-5699EB4552F5}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{69CA0977-67AC-440F-B9DE-CBC619B73697}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F8A16B-40BA-4BAD-B73B-5699EB4552F5}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{16F8A16B-40BA-4BAD-B73B-5699EB4552F5}: NameServer = 69.50.176.158,85.255.112.8

[andorra24]

Hai alice giusto?

[farfa]

Si ho alice purtroppo.
Quindi ne fixo solo 4 delle 5 O17 che copaiono nel log?

[andorra24]

Quote:

Originariamente inviato da farfa

Si ho alice purtroppo.
Quindi ne fixo solo 4 delle 5 O17 che copaiono nel log?

Si fixa le 4 voci che ti ho indicato sopra. Il fix devi farlo dopo aver chiuso tutte le finestre aperte,browser compreso.

[farfa]

OK ci provo!

[farfa]

Ah scusa, secondo te è meglio fixare con ripristino configurazione di sistema disattivato o è indifferente?

[andorra24]

Quote:

Originariamente inviato da farfa

Ah scusa, secondo te è meglio fixare con ripristino configurazione di sistema disattivato o è indifferente?

Se non dovesse riuscirti il fix in modalita' normale allora poi riproverai in modalita' provvisoria.

[farfa]

Il fix è riuscito, perchè ho rifatto lo scan e c'è una sola voce O17
ma il problema non si è risolto cioè ho ritrovato l'exe nella cartella di ripristino configurazione di sistema.
Scusa se ti rifaccio la domanda:
Ho notato anche data e ora di modifica dell'exe (17 ago 05 h1007) quindi ha fatto Cerca *.* con data modificata il 17 agosto ed ho trovato una serie di files il cui orario di creazione coincide con quello del mio caro exe: può significare qualcosa???

[andorra24]

Quote:

Originariamente inviato da farfa

Il fix è riuscito, perchè ho rifatto lo scan e c'è una sola voce O17
ma il problema non si è risolto cioè ho ritrovato l'exe nella cartella di ripristino configurazione di sistema.
Scusa se ti rifaccio la domanda:
Ho notato anche data e ora di modifica dell'exe (17 ago 05 h1007) quindi ha fatto Cerca *.* con data modificata il 17 agosto ed ho trovato una serie di files il cui orario di creazione coincide con quello del mio caro exe: può significare qualcosa???

A parte le voci 017 che hai fixato il tuo log di hijackthis non presentava nulla di strano. In un tuo post di alcuni giorni fa dicesti di aver fatto la tua prima connessione adsl il 17 agosto e quel giorno ti entrarono un sacco di robacce nel pc. Evidentemente ti e' rimasto qualcosa. Scaricati questo antivirus:http://www.bitdefender.com/site/Down...adFile/340/EN/ installatelo e aggiornalo per bene. Disattiva il ripristino di sistema e vai in modalita' provvisoria. Esegui la scansione con bitdefender (scansione completa mi raccomando, entra nel setting e impostalo su ''scan all files''). Cosi vediamo se riuscirai ad eliminare questo problema.

[biggestopolino]

Avendo visto nel post diverse domande su dei processi presenti nel task manager, posto diversi processi di windows e programmi vari. Spero che possano servire, io li ho cercati uno ad uno fra i siti stranieri, e infatti la spiegazione è in inglese. Questi sono una buona parte dei programmi eseguibili aperti ogni volta nei nostri windows (a parte alcuni programmi particolari, come ad esempio quelli della mia ati)
-----------------------
alg.exe = alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should not be terminated
-----------------------
atiptaxx.exe = Process Name: ATI Utilitiy
-----------------------
ati2evxx.exe = Process name: ATI External Event Utility
-----------------------
avgnt.exe = it's a freeware antivirus guard
-----------------------
csrss.exe = Process Name: Microsoft Client/Server Runtime Server Subsystem.This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated.
-----------------------
lass.exe = lsass.exe is a system process of the Microsoft Windows
security mechanisms, and is NOT to be confused with the lsas.exe virus.
-----------------------
ctfmon.exe = is a part of the Microsoft Office suite. It activates the Alternative User Input Text Input Processor (TIP) and the Microsoft Office XP Language Bar. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.
-----------------------
ntvdm.exe = ntvdm.exe is process that belongs to the Windows 16-bit Virtual Machine. It provides an environment for a 16-bit process to execute on a 32-bit platform. This program is important for the stable and secure running of your computer and should not be terminated.
-----------------------
PPControl.exe = PestPatrol Control Center
-----------------------
services.exe = This process also deals with the automatic starting of services during the comptuers boot-up and the stopping of servicse during shut-down.
-----------------------
smagent.exe = is a SoundMAX service component from Analog Devices
-----------------------
smc.exe = Process Name: Sygate Personal Firewall
-----------------------
smss.exe = It is called the Session Manager SubSystem and is responsible for handling sessions on your system.
-----------------------
SmTray.exe = sound max
-----------------------
spoolsv.exe = Process Name: Microsoft Printer Spooler Service
-----------------------
svchost.exe = Process Name: Microsoft Service Host Process.This
program is important for the stable and secure running of your
computer and should not be terminated.
-----------------------
jusched.exe = Process Name: Sun Java Update Scheduler
-----------------------
Wuauclt.exe = is a process managing automatic updates for Windows
-----------------------
wowexec.exe = is a part the operating system, and supports the use of 16-bit procseses.This program is important for the stable and secure running of your computer and should not be terminated.
-----------------------

[juninho85]

lol biggest
la colonia sarda su HWU cresce

[biggestopolino]

Quote:

Originariamente inviato da juninho85

lol biggest
la colonia sarda su HWU cresce

umm conosco?
si cmq i sardi invadono internet siamo 2 cani in sardegna e facciamo finta di essere di + nel web
-------------------------------
L'ACQUA è UN BENE PREZIOSO,NON SPRECARLA...BEVI MIRTO

con questa frase come firma, non puoi non essere sardo eheh

[Lanzajump]

ciao a tutti ragazzi/e...
mi dareste un occhio al log? ho gia controllato con il controllo online e mi da 2 voci sospette

O17 - HKLM\System\CCS\Services\Tcpip\..\{24384FAE-7F06-46AD-B8F8-D223B6003A90}: NameServer = 80.20.6.36 80.20.4.53

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

la prima dicono di controllare se 'ip appartiene al mio isp...ok...come faccio a saperlo? chiamo alice e gli chiedo se è loro....presumo di no....
mentre la seconda mi dicono sia un virus un trojan per la precisione che ne nod32 ne spybot aggiornati hanno beccato.... volevo conferma prima di incasinare il pc della morosa che sennò poi mi legna a dovere

vi posto il log completo... thx



Logfile of HijackThis v1.99.0
Scan saved at 11.38.33, on 08/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
I:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{24384FAE-7F06-46AD-B8F8-D223B6003A90}: NameServer = 80.20.6.36 80.20.4.53
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

[FOXYLADY]

Prima disattiva il ripristino configurazione di sistema, poi fixa questa
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
fai una pulizia dei file temporanei con ccleaner
ed una scansione con Ewido
Sarebbe bene installare l'Sp2.

Ciao

[BravoGT83]

Quote:

Originariamente inviato da FOXYLADY

Prima disattiva il ripristino configurazione di sistema, poi fixa questa
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
fai una pulizia dei file temporanei con ccleaner
ed una scansione con Ewido
Sarebbe bene installare l'Sp2.

Ciao

esatto...soprattutto sp2

[Lanzajump]

intanto thx per l'aiuto, per l'sp2 pensavo di metterglielo al prossimo format, che considerando il fratellino dela morosa èpenso sarà abb presto.. cmq a parte questo non basta il sygate e firefox per esere "protetti" ???
fra qualche giorno cmq provo la pulizia....
ciao

[BravoGT83]

Quote:

Originariamente inviato da Lanzajump

intanto thx per l'aiuto, per l'sp2 pensavo di metterglielo al prossimo format, che considerando il fratellino dela morosa èpenso sarà abb presto.. cmq a parte questo non basta il sygate e firefox per esere "protetti" ???
fra qualche giorno cmq provo la pulizia....
ciao

se o non sei protetto dipende che file l'utente va ad aprire...

e l'antivirus & antispyware?