HiJackThis - Analisi Log - leggere Regole di Sezione

BravoGT83 · 10-05-2005, 09:50

Hijackthis

Hijackthis

Su windows a 64bit si deve usare HiJackFree -> HiJackFREE (gratuito solo in ambito casalingo)
(per salvare il log basta usare l'icona in alto a sinistra proprio affianco all'icona "stampa" e scegliere la voce "HJT compatibile")

Analizzatore del LOG

Guide utili:

Guida Completa in Inglese

Guida completa in Italiano

Un altra guida in ITA

vi consiglio di leggere la guida in ITA prima di fare delle domande, cosi sarete più preparati ad usarlo

Tutorial in ING come analizzare il LOG

-Cos'è un Spyware
-Keylogger
-Backdoor
-Trojan
-Malware

Links utili per capire dei file di Windows

Top Security Risks Listed in the WinTasks Process Library
Top Applications Listed in the WinTasks Process Library
Other Processes Listed in the WinTasks Process Library
Top System Processes Listed in the WinTasks Process Library

analogamente possiamo creare un nostro database interno con tutti i file,chiavi di registro e vari malefici

Come disabilitare il ripristino di sistema ->start->tutti i programmi->accessori->utilità di sistema

Come riavviare in modalità provvisoria (F8 all'avvio del pc)

Servizio Messenger
- Apri il pannello di controllo
- Doppio click su "Strumenti di Amministrazione"
- Doppio click sull'icona "Servizi"
- Scorri la lista fino a trovare "Messenger"
- Tasto destro su "Messenger" e scegli "Proprietà dal menù
- Dalla finestra che appare sotto "Tipo di Avvio" seleziona "Disabilitato" e premi Ok.

La Lista DNS
DNS Libero infostrada:
DNS Primario: 193.70.192.25;DNS Secondario: 193.70.152.25

-Alice
-Altri DNS & link 2
link 3

Removal Tools

Kaspersky

Symantec

NOD32

McAfee

Panda

Bitdefender

F-Secure

AVG

Stringer

linkoptimizer/gromozon

win32/agent.vp

look2me
killsgrunt
kaboom
mydoom

che capitano abbastanza di frequente

e poi ho trovato un altro analizzatore on-line che, facendo una ricerca sul forum, non pare (dico pare) essere stato mai citato:

http://hjt.networktechs.com/

Rimuovere DYFuca

_________________________________________________

le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati non in formato compresso (zip, rar, ecc...) nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come http://wikisend.com/ - http://fileqube.com/ - http://www.mediafire.com/

Questo eviterà di appesantire il server (maggior velocità nel sfogliare i thread, minor disservizi, minor tempo per eseguire i backup del server) e sopratutto renderà la discussione più leggibile con i vantaggi sia per chi cerca un'analisi sia per chi dovrà assistere l'utente bisognoso.

Nessuno dovrà più dare assistenza agli utenti che non rispettono tale regola.

FOXYLADY · 10-05-2005, 09:57

Una guida interessante all'interpretazione dei log si trova qui

http://www.ilsoftware.it/articoli.asp?ID=2459

Ciao

SkunkWorks 68 · 10-05-2005, 10:00

..Ottimo...Ci voleva...,usarlo come si deve non è proprio facile..si rischia di fare casini....

.

BravoGT83 · 10-05-2005, 10:05

Quote:

Originariamente inviato da FOXYLADY

Una guida interessante all'interpretazione dei log si trova qui

http://www.ilsoftware.it/articoli.asp?ID=2459

Ciao

ottimo

davdo · 10-05-2005, 12:03

bella idea!

DF69 · 10-05-2005, 18:06

Quote:

Originariamente inviato da BravoGT83

Ecco vedo ultimamente tanti utenti hanno cominciato ad usare questo programma fantastico...

quindi anziche sempre aprire mille 3d uguale

ecco il link dove scaricarlo

http://80.237.140.193/downloads/hijackthis_199.zip

potete farlo anche analizzare qua

http://www.hijackthis.de/index.php

in + è in italiano

se avete altre domande sul vostro log postate le qua

Mezzo OT

Posso prendermi il 49% dell'idea ??

Uso questa battuta per upparlo ..stava uscendo dalla prima pagina

e mi sa che è bene che ci resti

Un saluto

coatl · 10-05-2005, 18:54

Quote:

Mezzo OT
Posso prendermi il 49% dell'idea ??

Uso questa battuta per upparlo ..stava uscendo dalla prima pagina e mi sa che è bene che ci resti

si ecco visto che è un programma che ormai utilizzano in molti in hw (basti vedere alle quantità di threads uguali nelle ultime settimane:"mi guardate questo log pls"?) non si riuscirebbe a farlo mettere in prima pg, come THREAD IMPORTANTE??

BravoGT83 · 10-05-2005, 19:33

Quote:

Originariamente inviato da coatl

si ecco visto che è un programma che ormai utilizzano in molti in hw (basti vedere alle quantità di threads uguali nelle ultime settimane:"mi guardate questo log pls"?) non si riuscirebbe a farlo mettere in prima pg, come THREAD IMPORTANTE??

infatti devo chiederlo ad eraser

VelenoX79 · 10-05-2005, 20:52

Quote:

Originariamente inviato da BravoGT83

Ecco vedo ultimamente tanti utenti hanno cominciato ad usare questo programma fantastico...

quindi anziche sempre aprire mille 3d uguale

ecco il link dove scaricarlo

http://80.237.140.193/downloads/hijackthis_199.zip

potete farlo anche analizzare qua

http://www.hijackthis.de/index.php

in + è in italiano

se avete altre domande sul vostro log postate le qua

ottima idea questo thread,bravo

juninho85 · 11-05-2005, 00:36

era ora,ad aprire questa sezione ormai vi vengono i cali di zuccheri

a breve conto di stilare,oltre alla guida sulla rimozione di norton,anche una guida su come non fare del proprio pc un locale a luci rosse

eliogolf · 11-05-2005, 08:11

ragassuol,non so se è off topic ma..
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Non capisco mai che è.è l'unica cosa che su quel sito dove si mette il log di hithackthis per farlo analizzare mi dà sconosciuto e nn so manco io cos'è..ad una parte avevo trovato cos'èra e mi avevo detto: ah ok è sicuro..ma ora nn me lo ricordo +,e mi vorrei togliere il dubbio

andyweb79 · 11-05-2005, 08:39

ho sbagliato.. scusatemi.

BravoGT83 · 11-05-2005, 09:16

Quote:

Originariamente inviato da eliogolf

ragassuol,non so se è off topic ma..
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Non capisco mai che è.è l'unica cosa che su quel sito dove si mette il log di hithackthis per farlo analizzare mi dà sconosciuto e nn so manco io cos'è..ad una parte avevo trovato cos'èra e mi avevo detto: ah ok è sicuro..ma ora nn me lo ricordo +,e mi vorrei togliere il dubbio

la cosa migliore e' fare una ricerca su google

DF69 · 11-05-2005, 21:18

Up..

Un saluto a tutti...

bluepix · 11-05-2005, 21:36

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe

assolutamente legittimo

BravoGT83 · 11-05-2005, 21:39

Quote:

Originariamente inviato da bluepix

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe

assolutamente legittimo

bene allora lo metto nel primo post cosi con il tempo facciamo un piccolo manuale

eliogolf · 12-05-2005, 08:23

scusate se ve lo chiedo ma...significa che nn è un file sospetto o che lo è ?

ps. come la lista dei file dannosi?allora è un file dannoso?argh

ps. se vado nella cartella ci sono cartelle cn numeri tipo 6 7 8 9 che hanno quasi lo stesso contenuti..3 file exe idrir na cosa del genere cn l'icona dell'installazione tipo quella dell'acrobat ad esempio ma nn so seè proprio quella e se clicco su quell'icona mi fa il processo idriver ecc..secondome sono driver però!
PS. se va bene e nn è sospetto mi potete dire di che cosa fa parte o seè un driver?
ps. per sicurezza vi posto il log di hitjackthis completo

Logfile of HijackThis v1.99.1
Scan saved at 11.23.54, on 12/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Agent\agent.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\SM1BG.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Belkin\Software Bluetooth\BTTray.exe
C:\Programmi\GetRight\getright.exe
C:\Programmi\GetRight\getright.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\SysMetrix\SysMetrix.exe
C:\Programmi\ASUS\Cool & Quiet\Cool&Quiet.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\acrobat_7.0_pro\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RoxioDragToDisc] "E:\roxio\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PlexTools Professional XL.lnk = C:\Programmi\Plextor\PTPXL\PTPXL.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Belkin\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab30149.cab
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programmi\File comuni\Acronis\Agent\agent.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - E:\powetranslator8\LogoMedia TranslateDotNet Server.exe
O23 - Service: License Management Service ESD - element5 - C:\Programmi\File comuni\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe questo su quel sito lo da tutto ok tranne dei procewssi che nn conosce ma io li conosco e sono sicuri e idriver..

BravoGT83 · 12-05-2005, 13:07

O4 - Global Startup: BTTray.lnk = ?

di questo cosa ne dici

eliogolf · 12-05-2005, 13:59

è il bluetooth..mi dici quella cosa di idrivert o comè?

BravoGT83 · 12-05-2005, 17:45

Quote:

Originariamente inviato da eliogolf

è il bluetooth..mi dici quella cosa di idrivert o comè?

leggi il post di bluepix

10-05-2005, 09:50	#1
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	HiJackThis - Analisi Log - leggere Regole di Sezione Hijackthis Hijackthis Su windows a 64bit si deve usare HiJackFree -> HiJackFREE (gratuito solo in ambito casalingo) (per salvare il log basta usare l'icona in alto a sinistra proprio affianco all'icona "stampa" e scegliere la voce "HJT compatibile") Analizzatore del LOG Guide utili: Guida Completa in Inglese Guida completa in Italiano Un altra guida in ITA vi consiglio di leggere la guida in ITA prima di fare delle domande, cosi sarete più preparati ad usarlo Tutorial in ING come analizzare il LOG -Cos'è un Spyware -Keylogger -Backdoor -Trojan -Malware Links utili per capire dei file di Windows Top Security Risks Listed in the WinTasks Process Library Top Applications Listed in the WinTasks Process Library Other Processes Listed in the WinTasks Process Library Top System Processes Listed in the WinTasks Process Library analogamente possiamo creare un nostro database interno con tutti i file,chiavi di registro e vari malefici Come disabilitare il ripristino di sistema ->start->tutti i programmi->accessori->utilità di sistema Come riavviare in modalità provvisoria (F8 all'avvio del pc) Servizio Messenger - Apri il pannello di controllo - Doppio click su "Strumenti di Amministrazione" - Doppio click sull'icona "Servizi" - Scorri la lista fino a trovare "Messenger" - Tasto destro su "Messenger" e scegli "Proprietà dal menù - Dalla finestra che appare sotto "Tipo di Avvio" seleziona "Disabilitato" e premi Ok. La Lista DNS DNS Libero infostrada: DNS Primario: 193.70.192.25;DNS Secondario: 193.70.152.25 -Alice -Altri DNS & link 2 link 3 Removal Tools Kaspersky Symantec NOD32 McAfee Panda Bitdefender F-Secure AVG Stringer linkoptimizer/gromozon win32/agent.vp look2me killsgrunt kaboom mydoom che capitano abbastanza di frequente e poi ho trovato un altro analizzatore on-line che, facendo una ricerca sul forum, non pare (dico pare) essere stato mai citato: http://hjt.networktechs.com/ Rimuovere DYFuca _________________________________________________ le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati non in formato compresso (zip, rar, ecc...) nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come http://wikisend.com/ - http://fileqube.com/ - http://www.mediafire.com/ Questo eviterà di appesantire il server (maggior velocità nel sfogliare i thread, minor disservizi, minor tempo per eseguire i backup del server) e sopratutto renderà la discussione più leggibile con i vantaggi sia per chi cerca un'analisi sia per chi dovrà assistere l'utente bisognoso. Nessuno dovrà più dare assistenza agli utenti che non rispettono tale regola. Ultima modifica di xcdegasp : 26-03-2012 alle 23:58. Motivo: inserito HiJackFREE

10-05-2005, 09:57	#2
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Una guida interessante all'interpretazione dei log si trova qui http://www.ilsoftware.it/articoli.asp?ID=2459 Ciao __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

10-05-2005, 12:03	#5
davdo Senior Member Iscritto dal: Feb 2004 Città: Ceprano: lat.nord.4133°long.est.1331° Origini:100% Ciociaro Occupazione: moderatore di forum mancato Messaggi: 647	bella idea! __________________ ECCELLENTE!

11-05-2005, 08:11	#11
eliogolf Senior Member Iscritto dal: Sep 2004 Città: Terracina Messaggi: 2522	ragassuol,non so se è off topic ma.. O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe Non capisco mai che è.è l'unica cosa che su quel sito dove si mette il log di hithackthis per farlo analizzare mi dà sconosciuto e nn so manco io cos'è..ad una parte avevo trovato cos'èra e mi avevo detto: ah ok è sicuro..ma ora nn me lo ricordo +,e mi vorrei togliere il dubbio __________________ iMac 21.5 // MacBook Pro 13 // Alienware 17

12-05-2005, 08:23	#17
eliogolf Senior Member Iscritto dal: Sep 2004 Città: Terracina Messaggi: 2522	scusate se ve lo chiedo ma...significa che nn è un file sospetto o che lo è ? ps. come la lista dei file dannosi?allora è un file dannoso?argh ps. se vado nella cartella ci sono cartelle cn numeri tipo 6 7 8 9 che hanno quasi lo stesso contenuti..3 file exe idrir na cosa del genere cn l'icona dell'installazione tipo quella dell'acrobat ad esempio ma nn so seè proprio quella e se clicco su quell'icona mi fa il processo idriver ecc..secondome sono driver però! PS. se va bene e nn è sospetto mi potete dire di che cosa fa parte o seè un driver? ps. per sicurezza vi posto il log di hitjackthis completo Logfile of HijackThis v1.99.1 Scan saved at 11.23.54, on 12/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\Acronis\Agent\agent.exe C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe C:\Programmi\ewido\security suite\ewidoctrl.exe C:\Programmi\ewido\security suite\ewidoguard.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programmi\Logitech\Video\LogiTray.exe C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\WINDOWS\SM1BG.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programmi\Belkin\Software Bluetooth\BTTray.exe C:\Programmi\GetRight\getright.exe C:\Programmi\GetRight\getright.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\Logitech\Video\FxSvr2.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Raxco\PerfectDisk\PDSched.exe C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE C:\Programmi\SysMetrix\SysMetrix.exe C:\Programmi\ASUS\Cool & Quiet\Cool&Quiet.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Documents and Settings\Administrator\Documenti\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\acrobat_7.0_pro\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [RoxioDragToDisc] "E:\roxio\Drag to Disc\DrgToDsc.exe" O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: PlexTools Professional XL.lnk = C:\Programmi\Plextor\PTPXL\PTPXL.exe O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Belkin\Software Bluetooth\btsendto_ie_ctx.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab30149.cab O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programmi\File comuni\Acronis\Agent\agent.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - E:\powetranslator8\LogoMedia TranslateDotNet Server.exe O23 - Service: License Management Service ESD - element5 - C:\Programmi\File comuni\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe questo su quel sito lo da tutto ok tranne dei procewssi che nn conosce ma io li conosco e sono sicuri e idriver.. __________________ iMac 21.5 // MacBook Pro 13 // Alienware 17 Ultima modifica di eliogolf : 12-05-2005 alle 12:11.

10-05-2005, 10:00	#3
SkunkWorks 68 Senior Member Iscritto dal: Sep 2004 Città: Prov. Novara/Palmdale Messaggi: 5228	..Ottimo...Ci voleva...,usarlo come si deve non è proprio facile..si rischia di fare casini.... .

11-05-2005, 00:36	#10
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28894	era ora,ad aprire questa sezione ormai vi vengono i cali di zuccheri a breve conto di stilare,oltre alla guida sulla rimozione di norton,anche una guida su come non fare del proprio pc un locale a luci rosse

11-05-2005, 08:39	#12
andyweb79 Senior Member Iscritto dal: Jun 2003 Città: Near Trento Messaggi: 2782	ho sbagliato.. scusatemi.

11-05-2005, 21:18	#14
DF69 Member Iscritto dal: Apr 2005 Città: Torino-Chieri Messaggi: 181	Up.. Un saluto a tutti...

11-05-2005, 21:36	#15
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe assolutamente legittimo

12-05-2005, 13:07	#18
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	O4 - Global Startup: BTTray.lnk = ? di questo cosa ne dici

12-05-2005, 13:59	#19
eliogolf Senior Member Iscritto dal: Sep 2004 Città: Terracina Messaggi: 2522	è il bluetooth..mi dici quella cosa di idrivert o comè? __________________ iMac 21.5 // MacBook Pro 13 // Alienware 17

Strumenti
Mostra una versione stampabile Invia questa pagina per email