Analizzare un log di hijackthis da soli

[MrOZ]

Questa è una pag web con uno script x analizzare un log di hijackthis

http://hijackthis.de/index.php?langselect=english

basta copiare il contenuto di hijackthis.log nel box in fondo e premere "analyze" dopodichè avrete una analisi del vostro log.

- Attenzione xò che questo sistema è ancora in fase di sviluppo, quindi non riconosce ancora tutti i prog.


Mentre qui è disponibile un tutorial su HiJackThis:
http://www.bleepingcomputer.com/tuto...utorial42.html

Ciao.

[Bandit]

ok

[netquik]

ottimo MrOz!

mi sembra utilizzi le informazioni di pacman per gli startups o erro?

ciauz

[wgator]

wow... mica male... e ci prende anche parecchio

ottimo ausilio all'interpretazione dei log...

Edit

Ho fatto un po' di esperimenti con i log appestati di alcuni utenti del forum. Come giustamente mette in evidenza MrOz un po' di cautela non guasta prima di cancellare qualcosa, comunque sembra piuttosto affidabile.

Forse meriterebbe di essere messo in evidenza... cosa ne pensi Eraser?

[eraser]

si lo metto in rilievo

scusate ma sono tornato ieri e mi sono perso un pò di cose

[wgator]

Quote:

Originariamente inviato da eraser
si lo metto in rilievo

scusate ma sono tornato ieri e mi sono perso un pò di cose

Uhmm... niente di grave o importante, purtroppo non sono passate a trovarci nè Naomi nè Megane sul nostro forum preferito

... solo virus, trojan e malware assortiti...

ciao

[The Lenny]

Quote:

Originariamente inviato da MrOZ
Questa è una pag web con uno script x analizzare un log di hijackthis

http://hijackthis.de/index.php?langselect=english

basta copiare il contenuto di hijackthis.log nel box in fondo e premere "analyze" dopodichè avrete una analisi del vostro log.

- Attenzione xò che questo sistema è ancora in fase di sviluppo, quindi non riconosce ancora tutti i prog.

Ciao.

In effetti, qualche prg ancora sfugge, ma non credo ci sia da strapparsi i capelli x questo..
EBBRAVO MROZ!!

[MrOZ]

Beh cmq dal giorno in cui ho postato il link hanno fatto notevoli progressi... ora riconosce molti + progr installati e non pericolosi...

...avevo mandato loro una mail informandoli che il log checker non riconosceva i file di DialerControl, BOClean e L'n'S, ora invece lo fa

[Idx]

Veramente ottimo! Ora i log sono più comprensibili!

mni da questo a me

http://hijackthis.de/logfiles/301ed2...db4fe91aa.html

[wgator]

Ciao,

hehehe, ora, non so perchè riconosce come "pericoloso" il pulsante "collegamenti" sulla barra degli strumenti di Internet explorer.

Fino ad un paio di giorni lo considerava solo "sconosciuto"

Edit del 07/08/04:

Abbiamo scoperto che gli sfugge (segnalandola come sicura) questa cosetta qua:
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe

che invece sembrerebbe appartenere a questo trojan:

Name: Mojuo.w32
Type: Trojan
File Name: mcc.exe
Found: 06.23.2004
Packer: UPX based
Installation: Copies itself to "Windows\System32" and registers itself in autostartup key [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ CurrentVersion\ Run] "Multimedia Codecs" = “%system%\mcc.exe”
Size (bytes): 36864
Components: mcc.exe

Il Log Analizer invece dice che:

The entered application Multimedia Codecs was identified: Multimedia KBDorMULTIMEDIA KEYBOARD. Hit rate: 43,08 % (result)

Morale: ricontrollare tutto anche con gli antichi sistemi

[iron84]

Grazie a questo tread, sto imparando ad analizzarmi da solo il log di HijackThis. Ho già trovato degli spyware.... Poi, una volta terminata la mia analisi, proverò a far analizzare il log in quella pagina che analizza i log per vedere il risultato del duro lavoro.
Volevo però porVi una domanda.
Per le righe O2 e O3 che si deve guardare la pagina www.sysinfo.org/bholist.php, e se l'oggetto in questione è classificato come X (spyware), come L ("buono"), O(sotto dibattito) e ?. Ma a me capita che una riga non viene riconosciuta all'interno del sito: è la seguente:

O3 - Toolbar: (no name) - {31D1CA78-F919-4198-8DA5-AB6F44E4AB28} - (no file)
come bisogna comportarsi in questi casi?


Un ultima precisazione, cosa significano le diciture "BHO" e "LT"in piccolo vicino alle lettere sopra-citate?

Vi ringrazio molto.

[MrOZ]

Quote:

Originariamente inviato da iron84
Grazie a questo tread, sto imparando ad analizzarmi da solo il log di HijackThis. Ho già trovato degli spyware.... Poi, una volta terminata la mia analisi, proverò a far analizzare il log in quella pagina che analizza i log per vedere il risultato del duro lavoro.
Volevo però porVi una domanda.
Per le righe O2 e O3 che si deve guardare la pagina www.sysinfo.org/bholist.php, e se l'oggetto in questione è classificato come X (spyware), come L ("buono"), O(sotto dibattito) e ?. Ma a me capita che una riga non viene riconosciuta all'interno del sito: è la seguente:

O3 - Toolbar: (no name) - {31D1CA78-F919-4198-8DA5-AB6F44E4AB28} - (no file)
come bisogna comportarsi in questi casi?


Un ultima precisazione, cosa significano le diciture "BHO" e "LT"in piccolo vicino alle lettere sopra-citate?

Vi ringrazio molto.

Quella stringa 03 è un rimasuglio, puoi eliminarla.

"BHO" significa browser helper object e sta a rappresentare qualsiasi cosa/file che modifica le impostazioni o la struttura del browser.

[netquik]

Quote:

cosa significano le diciture "BHO" e "LT"in piccolo vicino alle lettere sopra-citate?

per BHO ti ha detto MrOZ

per LT... penso tu volessi dire TB che ovviamente sta per ToolBar

[Nicky]

Questa è una buona notizia.
Ultimamente sto diventando una maniaca della sicurezza e rompere sempre le scatole qui non mi sembra il caso.
Quando torno dalle ferie vedo come funge

[MrOZ]

Quote:

Originariamente inviato da Nicky
Questa è una buona notizia.
Ultimamente sto diventando una maniaca della sicurezza e rompere sempre le scatole qui non mi sembra il caso.
Quando torno dalle ferie vedo come funge

TOH... chi si rivede

Attenta che 6 agli sgoccioli... sono gli ultimi gg. GODITELI!!!


ciao ...ed a presto

[iron84]

So di aver letto in un tread che si diceva che se non si hanno problemi con il computer di non

postare log di hijackthis. Io a perte che qualche volta crasha Explorer o si blocca wmplayer non ho

grossi problemi, ma penso che si tratti per il fatto che devo formattare e quindi non mi preoccupo.
Il fatto è che adesso, appunto prima di formattare, stavo sperimentando un po di cose tra le quali

questa della sicurezza.
Ho usato poi spybot.
Ora vi posto il log prima e poi, di seguito ci metto quello "pulito da me". (Devo ancora eliminare

DAP) per vedere se ho fatto un buon lavoro e quindi, se tutto va bene dovrei riuscire a cavarmela da

solo senza abusare del vostro tempo.

Le mie domande sono:
1) Come mai DAP e Statbar vengono considerati spyware?
2) Cos'è secondo voi quel processo attivo rundll32.exe? Non mi sembra sia zozzeria di win.
3) Non so cosa corrisponde questa riga => F:\WINDOWS\downlo~1\f4bwd1g\jvxtf2.exe





Logfile of HijackThis v1.98.2
Scan saved at 18.49.00, on 15/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programmi\Sygate\SPF\smc.exe
F:\WINDOWS\Explorer.EXE
F:\Documents and Settings\Diego\Desktop\RedLine\Taskbar.exe
F:\programmi\ASUS\AsusProb.exe
F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
F:\SCANJET\PrecisionScanLT\hppwrsav.exe
F:\Programmi\File comuni\Real\Update_OB\realsched.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programmi\QuickTime\qttask.exe
F:\PROGRA~1\NORTON~1\navapw32.exe
F:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
F:\Programmi\D-Tools\daemon.exe
F:\PROGRAMMI\EASY FILE PROTECTOR\EFPA.exe
F:\WINDOWS\System32\rundll32.exe
F:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
F:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\sj652\hpupdate.exe
F:\Programmi\Messenger\msmsgs.exe
F:\Programmi\ATI Multimedia\RemCtrl\ATIX10.exe
F:\Programmi\ATI Multimedia\main\ATISched.EXE
F:\Programmi\vmtu\VMTU.Exe
F:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\System32\rundll32.exe
F:\Programmi\Digisoft AntiDialer\AntiDialer.exe
F:\WINDOWS\downlo~1\f4bwd1g\jvxtf2.exe
F:\Documents and Settings\Diego\Desktop\redline\gameutil.exe
F:\Programmi\SEC\Natural Color\NaturalColorLoad.exe
F:\Programmi\Norton AntiVirus\navapsvc.exe
F:\Programmi\Palick Soft\SIGuardian\SIGuardian.exe
F:\Programmi\Globe Software\StatBar\StatBar.exe
F:\Programmi\File comuni\Real\Update_OB\rnathchk.exe
F:\Documents and Settings\Diego\Impostazioni locali\Temp\HijackThis.exe
F:\Programmi\Expert System\PlanetGate Trio\Point&Go.exe
F:\Programmi\Expert System\PlanetGate Trio\txtuser.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - F:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat

5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -

F:\Programmi\NewDotNet\newdotnet6_22.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programmi\Norton

AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programmi\Norton

AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - F:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: (no name) - {31D1CA78-F919-4198-8DA5-AB6F44E4AB28} - (no file)
O3 - Toolbar: UCmore - The Search Accelerator Toolbar - {44BE0690-5429-47f0-85BB-3FFD8020233E} -

F:\Programmi\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [RedLine Taskbar] F:\Documents and Settings\Diego\Desktop\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [ASUS Probe] f:\programmi\ASUS\AsusProb.exe
O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [hppwrsav] F:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [TkBellExe] F:\Programmi\File comuni\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [ATIPTA] F:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "F:\Programmi\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Prozrachnaya2.exe] F:\Programmi\DBSOFT\PYE.exe
O4 - HKLM\..\Run: [mspwr] F:\WINDOWS\System32\pwrupst.exe
O4 - HKLM\..\Run: [PCXLSE] F:\Programmi\PCAccel6000\pcaccel.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 F:\PROGRA~1\NewDotNet\newdotnet6_22.dll,NewDotNetStartup
O4 - HKLM\..\Run: [RVP] "F:\Programmi\RVP\bpc.e*e"
O4 - HKLM\..\Run: [webHancer Survey Companion] "F:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Nokia Tray Application] F:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] F:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [HP Update 3400C] C:\sj652\hpupdate.exe 3400C
O4 - HKCU\..\Run: [MSMSGS] "F:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Remote Control] F:\Programmi\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Scheduler] F:\Programmi\ATI Multimedia\main\ATISched.EXE
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "F:\Programmi\WashAndGo\checker.exe

/check"
O4 - HKCU\..\Run: [VMTU] F:\Programmi\vmtu\VMTU.Exe
O4 - Startup: SIGuardian.lnk = F:\Programmi\Palick Soft\SIGuardian\SIGuardian.exe
O4 - Startup: StatBarr.lnk = F:\Programmi\Globe Software\StatBar\StatBar.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programmi\File comuni\Adobe\Calibration\Adobe

Gamma Loader.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = F:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: gameutil.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &Download with &DAP - F:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - F:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - F:\Programmi\ATI

Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - F:\PROGRA~1\DAP\DAP.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: F:\Programmi\Internet Explorer\Plugins\NPDocBox.dll


=====================================================================================
Dopo la pulizia

Logfile of HijackThis v1.98.2
Scan saved at 23.51.49, on 27/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programmi\Sygate\SPF\smc.exe
F:\WINDOWS\Explorer.EXE
F:\Documents and Settings\Diego\Desktop\RedLine\Taskbar.exe
F:\programmi\ASUS\AsusProb.exe
F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
F:\SCANJET\PrecisionScanLT\hppwrsav.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programmi\File comuni\Real\Update_OB\realsched.exe
F:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programmi\QuickTime\qttask.exe
F:\PROGRA~1\NORTON~1\navapw32.exe
F:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
F:\PROGRAMMI\EASY FILE PROTECTOR\EFPA.exe
F:\Programmi\D-Tools\daemon.exe
F:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
F:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
F:\Programmi\Messenger\msmsgs.exe
F:\Programmi\ATI Multimedia\RemCtrl\ATIX10.exe
F:\Programmi\ATI Multimedia\main\ATISched.EXE
F:\WINDOWS\System32\Ati2evxx.exe
F:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
F:\Programmi\vmtu\VMTU.Exe
F:\WINDOWS\downlo~1\f4bwd1g\jvxtf2.exe
F:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programmi\Digisoft AntiDialer\AntiDialer.exe
F:\Documents and Settings\Diego\Desktop\redline\gameutil.exe
F:\WINDOWS\System32\rundll32.exe
F:\Programmi\SEC\Natural Color\NaturalColorLoad.exe
F:\Programmi\Norton AntiVirus\navapsvc.exe
F:\Programmi\Palick Soft\SIGuardian\SIGuardian.exe
F:\Programmi\Globe Software\StatBar\StatBar.exe
F:\Documents and Settings\Diego\Impostazioni locali\Temp\HijackThis.exe

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - F:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat

5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\Spybot - Search &

Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programmi\Norton

AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programmi\Norton

AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - F:\Programmi\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [RedLine Taskbar] F:\Documents and Settings\Diego\Desktop\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [ASUS Probe] f:\programmi\ASUS\AsusProb.exe
O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [hppwrsav] F:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [TkBellExe] F:\Programmi\File comuni\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [ATIPTA] F:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "F:\Programmi\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [mspwr] F:\WINDOWS\System32\pwrupst.exe
O4 - HKLM\..\Run: [PCXLSE] F:\Programmi\PCAccel6000\pcaccel.exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Nokia Tray Application] F:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] F:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Remote Control] F:\Programmi\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Scheduler] F:\Programmi\ATI Multimedia\main\ATISched.EXE
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "F:\Programmi\WashAndGo\checker.exe

/check"
O4 - HKCU\..\Run: [VMTU] F:\Programmi\vmtu\VMTU.Exe
O4 - Startup: SIGuardian.lnk = F:\Programmi\Palick Soft\SIGuardian\SIGuardian.exe
O4 - Startup: StatBarr.lnk = F:\Programmi\Globe Software\StatBar\StatBar.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programmi\File comuni\Adobe\Calibration\Adobe

Gamma Loader.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = F:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: gameutil.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &Download with &DAP - F:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - F:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - F:\Programmi\ATI

Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - F:\PROGRA~1\DAP\DAP.EXE
O12 - Plugin for .spop: F:\Programmi\Internet Explorer\Plugins\NPDocBox.dll





Ringrazio molto e scusate la lunghezza.
P.S. Molto utile la guida per hijackthis

[Nicky]

Edit: risolto da sola...

[Max The Carret]

allora, mi son beccato un trojan , se non era per zone alarm che lo bloccava chissà se me ne accorgevo, avg lo ha trovato il giorno seguente dopo aver fatto l'aggiornamento. ma non lo toglie.
fatto scansioni in rete, individuato, non tolto.
fatto log con hijackthis, individuato
il fatto è che ho appena formattato e me ne sono accorto subito dopo, chissà dove si era intanato... impossibile averlo preso nei tre minuti in cui zone era disattivato mentre facevo l'up.
non mi costa nulla riformattare, ma se risiede ancora nei documenti? penso mi sia entrato attraverso un p2p, oppure con mirc. si chiama linux.exe, trojan/irc/backdoor.sdbot.47

mi aiutate a toglierlo? vi posto il log:
grazie per l'aiuto

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\soundman.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
D:\Service Disk\html2pop3117betawin32\html2pop3.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\iTunes\iTunes.exe
D:\Service Disk\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xoomer.virgilio.it/pronius
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Linux.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] Linux.exe
O4 - Startup: Collegamento a html2pop3.lnk = D:\Service Disk\html2pop3117betawin32\html2pop3.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{794D9CDA-DCD4-4A81-9BE4-D4F51C3A0A15}: NameServer = 80.18.114.155 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{794D9CDA-DCD4-4A81-9BE4-D4F51C3A0A15}: NameServer = 80.18.114.155 151.99.125.1

[BadMirror]

.