[Topic Ufficiale] Log HijackThis - Postateli qui

[pino85]

@jeangrey

Ciao pino85, il mio consiglio è di dimenticarti di Windows Worm Doors Cleaner, disinstallalo, non è un firewall ed in molti casi crea problemi.

Sei l'unico ad avere accesso al pc?
Sei sicuro di aver digitato la password correttamente?
Che errore ricevi?
Se apri messenger, trovi un link per impostare la password (password dimenticata?)

I programmi per trovare le password sono illegali :sisi:

ok non lo tengo più in considerazione, non l' ho installato è un exe che ho sul desktop. Per la password ho risolto tramite il servizio assistenza. Ho un altro problema e se mi rispondi faccio stampare un santino con il tuo avatar. Perchè a volte all' accensione lo schermo acceso mi da una schermata nera? Ah dimenticavo... a volte il mouse si muove come una palla pazza sia quando gioco che quando sono sul desktop. Perchè? Grazie mille per la risposta

 

[JeanGrey]

Ciao pino85, il topic si chiama: "Log HijackThis - Postateli qui", (per un controllo di routine), non: "Domanda all'oracolo" :lol:

Il forum dispone di molte sezioni, ed ognuna tratta diversi problemi ;)

Per lo schermo: controlla gli aggiornamenti della scheda video.
Per il mouse: se è un wifi, potrebbe essere un conflitto con altre periferiche wifi, se è un mouse ottico, prova a cambiare superficie di appoggio, controlla le pile, controlla che i driver siano originali.

 

[pino85]

Ciao pino85, il topic si chiama: "Log HijackThis - Postateli qui", (per un controllo di routine), non: "Domanda all'oracolo" :lol:

Il forum dispone di molte sezioni, ed ognuna tratta diversi problemi ;)

Per lo schermo: controlla gli aggiornamenti della scheda video.
Per il mouse: se è un wifi, potrebbe essere un conflitto con altre periferiche wifi, se è un mouse ottico, prova a cambiare superficie di appoggio, controlla le pile, controlla che i driver siano originali.

Hai ragione "oracolo" ;) cercherò i topic adatti ad ogni problema
grazie ancora di tutto

 

[martino]

controllo del log

mi controllate il log per favore?

http://www.martinopapesso.com/hijackthis.txt


grazie:)

 

[JeanGrey]

Ciao martino, benvenuto :) nel tuo log non c'è nulla da segnalare.

 

[di4b0liko]

msn manda link ai contatti

me lo controllate?

p.s. come posso imparare a controllare i log!? :D

diciamo che la maggior parte delle cose le capisco ma non tutte..

hijackthis_1234392208025_2236.log

 

[JeanGrey]

Ciao di4b0liko, il log di Hijackthis è pulito.
Se pensi di avere problemi con Msn, scarica MSNCleaner
Tasto destro su MSNCleaner.exe / esegui come amministratore
Clicca su Analizar / attendi il termine della scansione
Se viene trovato qualcosa clicca su Eliminar.

 

[Gtanick]

Ciao Protettori di thg :D
mi potreste dire se il log di hijack this è pulito?
grazie mille
p.s. a me sembra di vedere un worm:look:
hijackthis.rar

 

[JeanGrey]

Ciao Gtanick, non mi pare di vedere worm, ma solo qualche voce inutile.

Fixa queste:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=%s
R3 - URLSearchHook: (no name) - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

[Gtanick]

Ciao Gtanick, non mi pare di vedere worm, ma solo qualche voce inutile.

Fixa queste:

fatto, grazie mille:)

 

[JohnCrichton]

Post con HiJackThis

Per tutti quelli che volessero farsi vedere il log di hijackthis,postassero qua così evitiamo di aprire topic e cerchiamo di tenere un po' pulita la sezione.Attenzione e che sia ben chiaro:postate qui per farvi dare una controllata oppure se avete paura di essere infetti,ma se per esempio avete un infezione postate normalmente con un vostro topic personale.

Salve a tutti è la prima volta che posto in questo forum ed è anche la prima volta che uso questo tool. vi chiedo un aiuto in quanto mi trovo in una situazione praticamente senza uscita. Vi spiego solo l'antefatto. Dopo aver passato un'azienda di circa 100 host alla ricerca del famoso Donwadup e fortunatamente debellato (con BitDefender) improvvisamente alcuni di questi 100 hosts hanno iniziato a sparare pacchetti via internet intasando tutta la banda, risultato chi lavora in CITRIX è praticamente piantato. Non riesco a quantificare il numero dei pc in quanto quando (con uno sniffer) vado a monitorizzare il consumo della banda ed invididuo il suo indirizzo ip la prima cosa che faccio è staccarlo dalla rete ma improvvisamente un altro pc con un altro indirizzo ip inizia a consumare banda anche lui...
Ricapitolando:
Un PC occupa l'85% della banda - lo stacco - un altro PC inizia a consumare banda fino a raggiungere l' 85-90% ....
Vi posto due log fatti con HijackThis in due PC presi a campione:
=========================================================

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 16:31:27, on 25/02/2009Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exeC:\Programmi\Softwin\BitDefender10\bdagent.exeC:\Programmi\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exeC:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exeC:\Programmi\CA\Unicenter Remote Control\rcHost.exeC:\Programmi\CA\Unicenter Software Delivery\BIN\SDSERV.EXEC:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exeC:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exeC:\Programmi\CA\Unicenter Software Delivery\BIN\TRIGGAG.EXEC:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exeC:\Programmi\Trend Micro\OfficeScan Client\CNTAoSMgr.exeC:\WINDOWS\TEMP\TN4FF9.EXEC:\WINDOWS\system32\wuauclt.exeC:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exeC:\Programmi\Softwin\BitDefender10\vsserv.exeC:\Programmi\Internet Explorer\iexplore.exeC:\Programmi\Trend Micro\HijackThis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.greatstartpage.com/search_page.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xinet:8080R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = CollegamentiO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindowO4 - HKLM\..\Run: [SDJobCheck] triggusr.exeO4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender10\bdmcon.exe" /regO4 - HKLM\..\Run: [BDAgent] "C:\Programmi\Softwin\BitDefender10\bdagent.exe"O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exeO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = z07.sanitamarche.intraO17 - HKLM\Software\..\Telephony: DomainName = z07.sanitamarche.intraO17 - HKLM\System\CCS\Services\Tcpip\..\{2BB2C212-2D5F-401B-A4B7-C0D63E9174DC}: NameServer = 10.250.15.141,10.252.0.3O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = z07.sanitamarche.intraO17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = z07.sanitamarche.intra,sanitamarche.intraO17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = z07.sanitamarche.intra,sanitamarche.intraO23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exeO23 - Service: DM Primer (DMPrimer) - Computer Associates - C:\Programmi\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exeO23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exeO23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeO23 - Service: Unicenter Remote Control Host (rcHost) - Computer Associates International, Inc. - C:\Programmi\CA\Unicenter Remote Control\rcHost.exeO23 - Service: Unicenter Software Delivery (SDService) - Computer Associates International, Inc. - C:\Programmi\CA\Unicenter Software Delivery\BIN\SDSERV.EXEO23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exeO23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\TmProxy.exeO23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programmi\Softwin\BitDefender10\vsserv.exeO23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe--End of file - 5549 bytesProssimo Post il secondo PC...

PS: non fate caso al fatto che ci sono 2 o più antivirus Installati ma ciò è solamente dovuto ad i tanti tentativi che faccio per capire qual'è il problema. Vi Ringrazio in anticipoGiorgio

 

[Ghemon]

Posto il log di HiJackThis....dateci un occhiata gentilmente.

Posto il log di HiJackThis....dateci un occhiata gentilmente.

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
H:\PROGRA~1\AVG\AVG8\avgfws8.exe
H:\Programmi\Bonjour\mDNSResponder.exe
H:\WINDOWS\system32\CTsvcCDA.EXE
H:\Programmi\Java\jre6\bin\jqs.exe
H:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
H:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\MsPMSPSv.exe
H:\PROGRA~1\AVG\AVG8\avgemc.exe
H:\PROGRA~1\AVG\AVG8\avgam.exe
H:\PROGRA~1\AVG\AVG8\avgrsx.exe
H:\PROGRA~1\AVG\AVG8\avgnsx.exe
H:\Programmi\AVG\AVG8\avgcsrvx.exe
H:\PROGRA~1\AVG\AVG8\avgtray.exe
H:\Programmi\Creative\ShareDLL\CtNotify.exe
H:\Programmi\iTunes\iTunesHelper.exe
H:\Programmi\Java\jre6\bin\jusched.exe
H:\WINDOWS\system32\CTHELPER.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Programmi\Creative\ShareDLL\MediaDet.Exe
H:\Programmi\iPod\bin\iPodService.exe
H:\WINDOWS\system32\wscntfy.exe
H:\Programmi\Mozilla Firefox\firefox.exe
H:\Programmi\WinRAR\WinRAR.exe
H:\DOCUME~1\Pc\IMPOST~1\Temp\Rar$EX00.563\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://www.google.it/"]Google[/URL]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - H:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - H:\Programmi\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - H:\Programmi\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [UpdReg] H:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] H:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AVG8_TRAY] H:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Disc Detector] H:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "H:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DCA7AA5-7AE6-4CD0-8A3F-789602D54A16}: NameServer = 85.37.17.58 85.38.28.94
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - H:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - H:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - H:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - H:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - H:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: Bonjour Service - Apple Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - H:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - H:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

--
End of file - 5697 bytes

 

[Inuyasha]

Tutto ok niente di sospetto ;)

 

[JeanGrey]

Salve a tutti è la prima volta che posto in questo forum ed è anche la prima volta che uso questo tool. vi chiedo un aiuto in quanto mi trovo in una situazione praticamente senza uscita.

Ciao JohnCrichton, il log copiati in quel modo sono incomprensibili,

Carica i log QUI e poi copia il Direct Link che ti viene assegnato nella tua risposta.

 

[_ReDa_]

Ecco il mio log:

hijackthis.txt

Grazie in anticipo :ok: