[Topic Ufficiale] Log HijackThis - Postateli qui

[JeanGrey]

@Dr.Grano, nel log di hijackthis non vedo malware, iniziamo a fixare delle voci inutili in avvio e poi faremo un controllo di Sistema.

Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"

Scarica Combofix
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

 

[Dr.Grano]

Visualizza allegato 10532

Log di combofix.

a cosa serve fare il fix checked?

Questi sono valori di roba che conosco, e che mi fa abbastanza piacere che si avviino da soli...devo comunque eliminarli?

Grazie del tuo aiuto.

P.S.:adesso mi parte un rundll32.exe, che però non mi imballa la cpu...lo sento anche dalla ventola... che sia già successo qualcosa di positivo?

 

[JeanGrey]

@Dr.Grano, come ho anticipato nel precedente messaggio, fixare quelle voci (legittime) serve a velocizzare l'avvio del pc, e non compromette il funzionamento dei programmi.

Vedo che usi CodeStuff, invece di fixare le voci, puoi togliere la spunta dai processi indicati, se invece preferisci che vengano caricati in automatico, lascia pure tutto come sta. :)

Nel rapporto di Combofix non vedo infezioni, prova a fare un controllo con Kaspersky.

*Guida*

 

[giovanna1989]

anche io ho lo stesso problema, ogni volta che apro il task manager perchè il pc rallenta trovo sempre IEXPLORER.EXE. quando lo chiudo facendo termina operazione me ne riapre altri 2 o 3.. che devo fare? aiutooo!!
vi allego il mio log preso da HijackThis.

 

[Dr.Grano]

Oh Scintilla che hai dato vita all' Universo e Fiamma che lo consumerai, kaspersky non ha trovato ahimè alcunchè.

Grazie dalla tua attenzione, mi farò vivo se ricompariranno segni di infezione.

 

[zerospazio]

Un saluto a tutti . Gentilmente vi chiedo se mi potete fare il controllo di questo log allegato. Grazie in anticipo:)

 

[karamazov]

potete controllare il mio log hijackthis?

Salve a tutti, mi sono appena iscritto per esporvi il mio problema:
é da circa un mese che non riesco a togliere un dannato rootkit o malware nonostante i ripetuti tentativi con spyware doctor, superantispyware, e nonostante abbia installato il norton internet security originale.
Spyware Doctor me lo rileva ma quando riavvio il computer riparte la scansione e lo rileva nuovamente!!
il trojan in questione è :w32/agent.HZTR [Norman].
Per favore aiutatemi altrimenti dovrò formattare il pc!!
Vi allego anche il log ottenuto con Hijackthis:



aspetto notizie con ansia!!
grazie.

 

[Assioma80]

purtroppo ho ancora problemi al pc..è sempre molto lento

Allego il report della scansione con antivir e Malwarebytes... fino a ieri nn risultava nulla dalle varie scansioni (Antivir, Malwarebytes; log di Hijackthis e Kaspersky)...oggi sembra ci siano 2 trojans...

grazie per l'aiuto

Allego anche i nuovi report del log di hijackthis e combofix

 

[JeanGrey]

@giovanna1989, benvenuta :)
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKCU\..\Run: [MealSlow] C:\DOCUME~1\giogi\DATIAP~1\BLEHME~1\funk close.exe

Esegui una scansione online con Kaspersky ed allega il rapporto.

*Guida*

Sarebbe anche opportuno installare il SP3

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

@zerospazio, benvenuto :)
nel log non vedo malware, però ci sono delle chiavi senza alcun riferimento :boh:
tipo questa O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'SERVIZIO LOCALE')

Se il pc presenta problemi esegui un controllo con Combofix
Disattiva temporaneamente i programmi di sicurezza
Scarica Combofix
Tasto destro esegui come amministratore
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

@karamazov, benvenuto :)
Tasto destro su Hijackthis, esegui come amministratore
Clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [qmeieau] "c:\users\personal\appdata\local\qmeieau.exe" qmeieau
O4 - HKCU\..\Run: [L08IXLRD_14121179] "C:\Program Files\Microsoft Student\Microsoft Encarta 2008 - Premium + Student DVD\EDICT.EXE" -m
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

Disattiva temporaneamente i programmi di sicurezza
Scarica Combofix
Tasto destro esegui come amministratore
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

@Assioma80, i rapporti sono puliti, malwarebytes e Antivir hanno eliminato, ciò che hanno trovato.
(I warning non sono virus.)

Prova ad installare la versione 7 di IE.
http://www.microsoft.com/italy/windows/products/winfamily/ie/default.mspx

 

[Assioma80]

Grazie JeanGrey...ho istallato Explorere 7 e sembra che le pagine caricano molto più velocemente...
devo chiederti solo un'ultima cosa: ho dovuto disinstallare uotpost perchè era quello che impediva la corretta visualizzazione delle pagine internet...puoi consigliare tu un buon firewall? al momento ho quello di windows...e come antivirus ho Antivir

 

[giovanna1989]

JeanGrey buongiornio, ho cercato di fare la scansione su internet usando kaspersky ma non apro la pagina e il programma non parte. ho esaminato anche la "guida", ma nn ottengo nessun risultato.. che devo fare?


scusa ho scritto male.. apro la pagina, ma il programma nn parte...

 

[JeanGrey]

@giovanna1989, se usi IE devi accettare i controlli activex per far partire la scansione.


Se utilizzi FireFox 3 controlla di avere l'ultima versione di Java
Download gratuito del software Java - Sun Microsystems

Se non dovessi riuscire prova su altri siti di scansione
http://www.tomshw.it/forum/sicurezz...ni-antivirus-online-e-tools-di-rimozione.html

 

[bluca]

contrallare info HijackThis

Ciao Vi chiedo una cortesia , se qualcuno puo controllare questo file HijackThis e farmi sapere se c'è qualcosa che non, in quanto talvolta ho computer che si inceppa.
Grazie a tutti in anticipo
ciao
Luca

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.11.35, on 26/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Java\jre6\bin\java.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://mail.ylemat.it/]WorldClient[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Programmi\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Barra degli strumenti Trend Micro - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Programmi\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OE] C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [URL]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226825268812[/URL]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [URL]http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228866956500[/URL]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [URL]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/URL]
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE3E7B0A-81AA-4A9D-BD2F-8BE5C79AAA52}: NameServer = 85.37.17.44 85.38.28.90
O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Programmi\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: Security Activity Dashboard Service - Unknown owner - C:\Programmi\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe
O23 - Service: Componente Central Control Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programmi\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\TmProxy.exe
--
End of file - 8107 bytes

 

[JeanGrey]

Ciao bluca, benvenuto/a :)
il log di hijackthis non presenta malware.

Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer.

Per correggere piccoli errori e velocizzare il Sistema è utile eseguire una Defremmentazione ed uno Scandisk.

 

[bluca]

Ciao bluca, benvenuto/a :)
il log di hijackthis non presenta malware.

Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer.

Per correggere piccoli errori e velocizzare il Sistema è utile eseguire una Defremmentazione ed uno Scandisk.

ciao JeanGrey , ti ringrazio per la risposta, vorrei un'altro parere, ma è normale che la cartella Trend Micro sia di circa 28 Gb? mi sembra assurdo, ma la mia è cosi

Appena puoi rispondimi
ciao e grazie
Luca