Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log

2 pages: [1] 2
Controllo log Opzioni
Topic Precedente · Topic Sucessivo
siriocc
Inviato: Tuesday, September 28, 2010 10:13:24 AM
Rank: Member

Iscritto dal : 3/11/2008
Posts: 19
Angel Ciao amici, mi controllate il log per favore?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.41.08, on 28/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atwtusb.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Paolo\Desktop\Sic e Man\VundoFix.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 5654 bytes

La voce in grassetto è riconosciuta abbastanza sospetta dal controllo automatico e pur avendola tolta col fix di highjack si ripresenta ad ogni avvio. Che cosa rappresenta quella voce? Ciao Angel
Torna in alto
 
Sponsor
Inviato: Tuesday, September 28, 2010 10:13:24 AM

 
Torna in alto
 
a.roselli
Inviato: Tuesday, September 28, 2010 10:39:49 AM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,044
Indicate sempre il problema che riscontrate altrimenti perdiamo solo tempo

fai una scansione completa con malwarebytes
http://software.aiutamici.com/software?ID=80346

e installa un firewall, ti consiglio outpost
http://software.aiutamici.com/software?ID=80361

alfonso_aiutamici@hotmail.it
Torna in alto
 
lucaxd
Inviato: Tuesday, September 28, 2010 3:35:43 PM
Rank: AiutAmico

Iscritto dal : 9/16/2010
Posts: 90
Ciao, questa chiave è uno Spyware : R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Purtroppo HijackThis non te lo fa eliminare. Quindi devi eliminarla manualmente nel registro.

Fai così : start->esegui->regedit e cerca nel registro URLSearchHook la trovi qui : HKEY_CURRENT_USER \ Explorer Software \ Microsoft \ Internet \ URLSearchHooks una volta trovata eliminala. Non rimuovere questo : CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497

Da non confondere con questa chiave : HKEY_LOCAL_MACHINE / Software / Microsoft / Internet Explorer / UrlSearchHooks che fa parte di IE e non va toccata.

Ciao.
Torna in alto
 
siriocc
Inviato: Wednesday, September 29, 2010 11:52:35 PM
Rank: Member

Iscritto dal : 3/11/2008
Posts: 19
Ciao. Non ho trovato Explorer Software in HKEY_CURRENT_USER. E' giusto il percorso che mi hai indicato?Angel
Torna in alto
 
lucaxd
Inviato: Thursday, September 30, 2010 12:25:22 AM
Rank: AiutAmico

Iscritto dal : 9/16/2010
Posts: 90
Tranquillo allora :) se non ha formato questa chiave : HKEY_CURRENT_USER \ Explorer Software \ Microsoft \ Internet \ URLSearchHooks non è Spyware.

Infatti come ho scritto, da non confondere con : HKEY_LOCAL_MACHINE / Software / Microsoft / Internet Explorer / UrlSearchHooks dove si trova la seguente chiave : UrlSearchHooks con relativa Stringa : {CFBFAE00-17A6-11D0-99CB-00C04FD64497}

Ricapitolando, se mai UrlSearchHooks con relativa Stringa {CFBFAE00-17A6-11D0-99CB-00C04FD64497} formerebbero la seguente chiave : HKEY_CURRENT_USER \ Explorer Software \ Microsoft \ Internet \ URLSearchHooks sarebbe Spyware.

Ciao.

P.S. Ma che problema riscontri con il PC ?.
Torna in alto
 
siriocc
Inviato: Thursday, September 30, 2010 7:33:31 PM
Rank: Member

Iscritto dal : 3/11/2008
Posts: 19
Angel Ciao. Non riscontro nessun problema se non il fatto che ogni tanto cade la connessione ma forse questo dipende dai periodi perchè in altri momenti va tutto bene. Era quella una voce che mi aveva rilevato highjackthis e la segnava con una croce e abbastanza sospetta. Comunque ti ringrazio per l'interessamento. Ciao
Torna in alto
 
r16
Inviato: Thursday, September 30, 2010 8:20:59 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao siriocc .
Invece di "giocare" con il registro, forse è meglio che aggiorni il tuo antivirus, alla nuova versione:
http://www.aiutamici.com/software?ID=11537
Ti servirà senz'altro di più, che eliminare una chiave inutile.
Ciao.
Torna in alto
 
lucaxd
Inviato: Friday, October 01, 2010 12:26:43 AM
Rank: AiutAmico

Iscritto dal : 9/16/2010
Posts: 90
Io credo che prima di dire "chiave inutile" ci penserei 2 volte :

- http://www.hijackremote.com/RecentSpywareDetail679.aspx

- http://www.exterminate-it.com/malpedia/remove-searchaid-url-search-hook

E ho perso i link dove riportano esattamente le chiavi che formano (compresa HKEY_CURRENT_USER \ Explorer Software \ Microsoft \ Internet \ URLSearchHooks) appeno lo recupero lo posto.

Inutile perché per fortuna, non ha quella chiave (questo perché ha controllato nel registro) altrimenti volevo vedere se era inutile Drool

Giusto per postare qualche sito, ma ce ne sono a decine.

Saluti.
Torna in alto
 
r16
Inviato: Friday, October 01, 2010 8:22:11 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
lucaxd ha scritto:
Io credo che prima di dire "chiave inutile" ci penserei 2 volte :

No, non ci penso nemmeno 1 volta.
La chiave è inutile perchè manca l'eseguibile.(no file)
Per cui, è innocua.
Commenta:
Purtroppo HijackThis non te lo fa eliminare. Quindi devi eliminarla manualmente nel registro.

Ma chi te lo ha detto? Think
Quel rimasuglio si toglie benissimo fixando la voce con HJT. Whistle
Quindi non è necessario agire manualmente sul registro.
Commenta:
Giusto per postare qualche sito, ma ce ne sono a decine.

Guarda che quel valore, ({CFBFAE00-17A6-11D0-99CB-00C04FD64497}) se vuoi, ti posto un paio di link (fra cui Microsoft) che dice che è legittimo. Whistle

Commenta:
Inutile perché per fortuna, non ha quella chiave

Invece c'è ancora.

Se devi far seguire il percorso di una chiave, devi dare le indicazioni giuste.
Forse non hai notato l'asterisco: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Se poi, per te, è più importante eliminare una chiave che chiaramente è solo un "rimasuglio" innocuo, invece di dire all'utente, che il suo S.O è a rischio perchè ha un antivirus obsoleto, questo è un'altro discorso.
Saluti.
Torna in alto
 
a.roselli
Inviato: Friday, October 01, 2010 8:38:06 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,044
Un solo collaboratore deve assistere la richiesta di aiuto, non fatemelo ripetere all'infinito.

alfonso_aiutamici@hotmail.it
Torna in alto
 
r16
Inviato: Friday, October 01, 2010 8:44:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
a.roselli ha scritto:
Un solo collaboratore deve assistere la richiesta di aiuto, non fatemelo ripetere all'infinito.

Alfonso, ma fammi il piacere.....Pray
Un solo collaboratore và bene quando dà risposte sensate.
Se spara fesserie, oppure indica all'utente di "armeggiare" a vanvera, sull'Editor del Registro, invece di dirgli di aggiornare l'antivirus perchè ha la versione vecchia di un anno, cosa si deve fare.....Think
Aspettare che l'utente combini disastri? Eh?
Torna in alto
 
a.roselli
Inviato: Friday, October 01, 2010 8:49:46 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,044
Se non lo vediamo all'opera come facciamo a stabilire se è affidabile? Lascialo fare.

alfonso_aiutamici@hotmail.it
Torna in alto
 
r16
Inviato: Friday, October 01, 2010 8:53:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Azzzzz.....ma allora non mi sono spiegato bene...Sick
L'ho già visto all'opera.....con quello che ha scritto.
E mi è bastato.
Torna in alto
 
lucaxd
Inviato: Saturday, October 02, 2010 12:10:56 AM
Rank: AiutAmico

Iscritto dal : 9/16/2010
Posts: 90
E' arrivato l'arrotino r16. Bada che non ti stai riferendo a tuo fratello (riferito agli ultimi tuoi 2 post), per cui esprimiti diversamente (o sei un altro frustrato ?.). Tu, invece, ti credi uno "Sciamano" vero ?. Lo credi solo perché stai qui dal 2007 ?. O ti credi un Hacker ?. Ti sei domandato se io sono più Hacker di te ??????.

Più tosto, inizia a capire cosa uno scrive, e mi riferisco al 3° e 5° post di questo topic. Dove ho scritto chiaramente che la chiave infetta è la seguente :
HKEY_CURRENT_USER \ Explorer Software \ Microsoft \ Internet \ URLSearchHooks
e forma la seguente stringa : {CFBFAE00-17A6-11D0-99CB-00C04FD64497}
questo trattasi di Spyware. E per fortuna, siriocc non ha questa chiave, questo Spyware.

Invece ho detto sempre nel 3° e 5° post, da non confondere con :
HKEY_LOCAL_MACHINE / Software / Microsoft / Internet Explorer / UrlSearchHooks
che forma sempre la seguente stringa. : {CFBFAE00-17A6-11D0-99CB-00C04FD64497}
ma non è Spyware.



Quindi, ripeto, è una fortuna che lui non ha la chiave : HKEY_CURRENT_USER \ Explorer Software \ Microsoft \ Internet \ URLSearchHooks con la stringa : {CFBFAE00-17A6-11D0-99CB-00C04FD64497}
altrimenti era Spyware.

Cosa continui a ripetere chiave "innocua" ?.



La chiave : HKEY_CURRENT_USER \ Explorer Software \ Microsoft \ Internet \ URLSearchHooks
in HijackThis, forma sempre la stringa : R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Anche la chiave "INNOCUA" : HKEY_LOCAL_MACHINE / Software / Microsoft / Internet Explorer / UrlSearchHooks
in HijackThis, forma la stringa : R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Se lui non controllava nel registro, come si poteva capire a cosa apparteneva :
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) ???????????????????.

Avanti, rispondi !!.



P.S. Per l'aggiornamento Antivirus, pienamente ragione "TU". Ovvio va aggiornato. Mea culpa, per non averlo notato.
Torna in alto
 
a.roselli
Inviato: Saturday, October 02, 2010 8:03:15 AM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,044
siriocc, scusaci questo battibecco

r16 e lucaxd, confrontatevi pure ma senza litigare.

alfonso_aiutamici@hotmail.it
Torna in alto
 
r16
Inviato: Saturday, October 02, 2010 1:55:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
E' arrivato l'arrotino r16

Arrotino, sarai tu, o tuo fratello.Whistle

Commenta:
Più tosto, inizia a capire cosa uno scrive

Piuttosto complicato, visto l'ortografia.

Commenta:
P.S. Per l'aggiornamento Antivirus, pienamente ragione "TU". Ovvio va aggiornato. Mea culpa, per non averlo notato.
Ecco.....svegliati, invece di sparare cazzate a vanvera.Sick
Chiudo.

Commenta:
Roselli ha scritto:

Commenta:
r16 e lucaxd, confrontatevi pure ma senza litigare.

Rileggiti il post, e vedi chi ha cominciato a offendere.
Io mi sono solo limitato a dare indicazioni "concrete" all'utente.
Confrontati tu, che mi viene da ridere.Drool
Torna in alto
 
sabbb
Inviato: Saturday, October 02, 2010 2:20:01 PM
Rank: AiutAmico

Iscritto dal : 9/12/2009
Posts: 6,632
E' proprio vero quanto detto da te ieri caro Alfonso:questo forum non è per chiacchierare si,troppo giusto. Meglio azzuffarsi .... si,direi che tra le due cose è meglio questo.E' più accettabile del venire a chiacchierare.
Torna in alto
 
a.roselli
Inviato: Saturday, October 02, 2010 3:59:23 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,044

alfonso_aiutamici@hotmail.it
Torna in alto
 
a.roselli
Inviato: Saturday, October 02, 2010 3:59:25 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,044
Qua due sono le cose, o chiudo la sezione sicurezza, o vi caccio tutti, meglio che la chiudo cosi non ne parliamo più.

alfonso_aiutamici@hotmail.it
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.