HiJackThis - Analisi Log - leggere Regole di Sezione

[BravoGT83]

Quote:

Originariamente inviato da Stereogab

infatti
e sottolineo necessario

anche il FW che non ha

[juninho85]

doppio

[juninho85]

leggiti questa pagina

[Stereogab]

Quote:

Originariamente inviato da BravoGT83

anche il FW che non ha

vabbè dai con quello di xp almeno in rete ci sopravvive

[BravoGT83]

Quote:

Originariamente inviato da Stereogab

vabbè dai con quello di xp almeno in rete ci sopravvive

con quello di SP1 sicuramente no

[Stereogab]

Quote:

Originariamente inviato da BravoGT83

con quello di SP1 sicuramente no

concordo

[MadebyN]

Questo è il mio log, chiedo un parere dato che ultimamente il PC appare "strano", specie quando utilizzo internet.

Logfile of HijackThis v1.99.1
Scan saved at 2.02.35, on 09/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5112.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\MobileMeter\mobmeter.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\******\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: MobileMeter.lnk = C:\Program Files\MobileMeter\mobmeter.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{65DDCAE6-EB69-458C-8B99-83A782DFCD46}: NameServer = 85.37.17.52 151.99.125.1
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - (no file)

Da notare:

- La voce "017" si riferisce a due IP del mio provider, Telecom, il primo è il "Provider Local Registry", il secondo è l'"InterBusiness Backbone", sono ok, vero ?!?
EDIT: Temo proprio di si

- La prima "023", riferita ad un .exe di Macrovision.. cos'è ?!?
EDIT: Leggo solo ora dalla prima pagina che è ok

- L'ultimo posso cancellarlo, dato che non c'è più il file ?!?
EDIT: Il fix lo elimina... ma allo scan successivo riappare

- Raxco è un defrag, dato che lo uso saltuariamente e mai in automatico... posso cancellare i servizi ?!?

- Perché ho due "C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe" ? Ed anche due "svchost.exe" ?!?

- Strano... sto usando eMule e non appare ! Forse perché eMule è in esecuzione come utente non privilegiato "eMule_Secure" ?!?

Grazie mille!

[juninho85]

elimina23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - (no file)

- L'ultimo posso cancellarlo, dato che non c'è più il file ?!?
EDIT: Il fix lo elimina... ma allo scan successivo riappare pulisci il registro

- Raxco è un defrag, dato che lo uso saltuariamente e mai in automatico... posso cancellare i servizi ?!? cancellare no,impostalo su avvio manualw

- Perché ho due "C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe" ? Ed anche due "svchost.exe" ?!? anzi ritieni fortunato ad averne solo 2

- Strano... sto usando eMule e non appare ! Forse perché eMule è in esecuzione come utente non privilegiato "eMule_Secure" ?!? non c'entra nulla

[lognomo33]

Quote:

Originariamente inviato da MadebyN

? Ed anche due "svchost.exe" ?!?

io ne ho 6..ed è tutto ok..pensa tu il culo che hai ad averne solo 2!!!

[MadebyN]

Quote:

Originariamente inviato da juninho85

elimina23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - (no file)

- L'ultimo posso cancellarlo, dato che non c'è più il file ?!?
EDIT: Il fix lo elimina... ma allo scan successivo riappare pulisci il registro

- Raxco è un defrag, dato che lo uso saltuariamente e mai in automatico... posso cancellare i servizi ?!? cancellare no,impostalo su avvio manualw

- Perché ho due "C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe" ? Ed anche due "svchost.exe" ?!? anzi ritieni fortunato ad averne solo 2

- Strano... sto usando eMule e non appare ! Forse perché eMule è in esecuzione come utente non privilegiato "eMule_Secure" ?!? non c'entra nulla

Ho provato a pulire il registro con RegClean, RegSeeker, RegSupreme, Ace utilities e CCleaner ma... la voce è sempre li e non si fa cancellare !

Per il problema che il processo di eMule non appare ? Nel task manager di Windows, invece, c'è !

Grazie per l'interessamento !

PS Mi consigliate un antispyware in particolare ?

[juninho85]

Ho provato a pulire il registro con RegClean, RegSeeker, RegSupreme, Ace utilities e CCleaner ma... la voce è sempre li e non si fa cancellare ! controlla nei servizi di sistema di windows se c'è qualcosa di sospetto,non te lo rimuove perchè appunto quel servizio è in esecuzione

Per il problema che il processo di eMule non appare ? Nel task manager di Windows, invece, c'è ! non saprei,certo è che non è normale....

PS Mi consigliate un antispyware in particolare ?te ne dico 3,ognuno indispensabile:spyware blaster,ewido,spysweeper

[MadebyN]

Quote:

Originariamente inviato da juninho85

Ho provato a pulire il registro con RegClean, RegSeeker, RegSupreme, Ace utilities e CCleaner ma... la voce è sempre li e non si fa cancellare ! controlla nei servizi di sistema di windows se c'è qualcosa di sospetto,non te lo rimuove perchè appunto quel servizio è in esecuzione

Per il problema che il processo di eMule non appare ? Nel task manager di Windows, invece, c'è ! non saprei,certo è che non è normale....

PS Mi consigliate un antispyware in particolare ?te ne dico 3,ognuno indispensabile:spyware blaster,ewido,spysweeper

Mmmhhh... il servizio c'è ma è in "manuale" e non era attivo ! Ora l'ho proprio disabilitato

Indagherò sul processo di eMule che non appare in HiJack

Spyware blaster lo uso già ! Ho provato Ewido (non ha trovato nulla!)... ora provo Spysweeper. Faccio bene a tenere Spybot e MS Antispyware ?

Grazie mille!

[lognomo33]

Quote:

Originariamente inviato da MadebyN

Mmmhhh... il servizio c'è ma è in "manuale" e non era attivo ! Ora l'ho proprio disabilitato

Indagherò sul processo di eMule che non appare in HiJack

Spyware blaster lo uso già ! Ho provato Ewido (non ha trovato nulla!)... ora provo Spysweeper. Faccio bene a tenere Spybot e MS Antispyware ?

Grazie mille!

io li ho tutti...devo dire che il migliore mi sembra ewido..seguito da spybot..

[Stereogab]

Quote:

Originariamente inviato da lognomo33

io li ho tutti...devo dire che il migliore mi sembra ewido..seguito da spybot..

infatti è il migliore
anche ms antispy è un buon prodotto

[BravoGT83]

Quote:

Originariamente inviato da MadebyN

Ho provato a pulire il registro con RegClean, RegSeeker, RegSupreme, Ace utilities e CCleaner ma... la voce è sempre li e non si fa cancellare !

Per il problema che il processo di eMule non appare ? Nel task manager di Windows, invece, c'è !

Grazie per l'interessamento !

PS Mi consigliate un antispyware in particolare ?

ma il rispristino di sistema l'hai disabilitato?

[MadebyN]

Quote:

Originariamente inviato da BravoGT83

ma il rispristino di sistema l'hai disabilitato?

Si l'ho disabilitato... perché ?!?

Comunque ho disinstallato sia SpyBot che MS Antispyware per passare a Ewido 3.5 e Spy Sweeper 4.5, quest'ultimo lo utilizzo come residente in memoria.

Penso di tornare indietro, però. Anche se hanno belle funzioni: ewido usa anche metodi euristici per i rilevamenti, mentre Spy Sweeper ha un sacco di "scudi"

Ewido non riesce a terminare uno scan o, meglio, forse lo termina ma alla fine esce sistematicamente dal programma

Spy Sweeper, sempre durante uno scan, si blocca analizzando la libreria "libnuv_plugin.dll." di VLC Media Player 0.8.4 beta2, il programma per le anteprime in eMule.

[juninho85]

conta che hai disinstallato 2 programmi free per due a pagamento(o comunque non totalmente gratis)

[MadebyN]

Quote:

Originariamente inviato da juninho85

conta che hai disinstallato 2 programmi free per due a pagamento(o comunque non totalmente gratis)

Ehm...

Comunque sono tornato indietro.

Grazie a tutti.

Bye.

[juninho85]

..e ti conviene

[Lyd]

Posto qui come è stato richiesto nel topic che ho fatto:


Logfile of HijackThis v1.99.1
Scan saved at 21.22.43, on 10/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Lyd\IMPOST~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe
C:\Programmi\Empire\PVR Plus\PVR Plus\TVPlus.exe
C:\Programmi\Empire\PVR Plus\TVR\honestechTV.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFE637F-A78F-468F-8EA8-4FC81C7E8AB8}: NameServer = 193.70.192.25 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe