Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Log Hijack x Steven75 Opzioni
Ikks
Inviato: Friday, October 13, 2006 11:08:13 AM

Rank: Member

Iscritto dal : 11/16/2004
Posts: 4
Questo e' il secondo log Hijack "disastrato"
Grazie x il tuo prezioso aiuto.

Logfile of HijackThis v1.99.1
Scan saved at 11.05.41, on 13/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programmi\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\system32\lateshow.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\Programmi\File comuni\System\MAPI\1040\nt\MAPISP32.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\lateshow.exe
F:\Sicurezza\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gooogle.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSMalwareKit] C:\WINDOWS\system32\MalwareRemover.exe
O4 - HKLM\..\Run: [fix] C:\WINDOWS\system32\trust.exe
O4 - HKLM\..\Run: [MSGlobal] C:\WINDOWS\system32\Idro.exe
O4 - HKLM\..\Run: [MicrosoftFirewall] C:\WINDOWS\system32\MSFirewall.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programmi\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programmi\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [wke.exe] C:\WINDOWS\system32\wke.exe
O4 - HKCU\..\Run: [Microsoft Security] C:\WINDOWS\system32\msantivir.exe
O4 - HKCU\..\Run: [lateshow.exe] C:\WINDOWS\system32\lateshow.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.acquadirose.com
O15 - Trusted Zone: www.cywanstorage.biz
O15 - Trusted Zone: www.defaultbar.com
O15 - Trusted Zone: www.forteforte.com
O15 - Trusted Zone: www.gooogle.bz
O15 - Trusted Zone: www.nanobyte.biz
O15 - Trusted Zone: www.phishingfix.biz
O15 - Trusted Zone: www.playmore.biz
O15 - Trusted Zone: www.preferiti-windows.com
O15 - Trusted Zone: www.ricercadoppia.com
O15 - Trusted Zone: www.scalalap.com
O15 - Trusted Zone: www.semeterapia.com
O15 - Trusted Zone: www.super-videochat-community.biz
O15 - Trusted Zone: www.tuttaqualita.com
O15 - Trusted Zone: www.umts-gprs-mondo-telefonino-cellulare.biz
O16 - DPF: {381E86E3-E7CE-46FC-BA2C-E83D3B6E4309} - http://www.cywanstorage.biz/WWE/Catto.exe
O16 - DPF: {3A4DCD02-A451-4799-9E1C-AC0D4F769A97} - http://www.cywanstorage.biz/PHFX/MSPhish.exe
O16 - DPF: {4360E841-FE3E-427F-98DC-7ABC8ACE6665} - http://www.cywanstorage.biz/FFF6/FotoVacanze.exe
O16 - DPF: {8838BDA8-9C2E-480C-8926-3104C642D7E4} - http://www.gooogle.bz/cywtr.exe
O16 - DPF: {96966B7C-CA72-4928-895B-1C2F0E5302A9} - http://www.cywanstorage.biz/CXDF2/pialla.exe
O16 - DPF: {9F5BB9E1-31AE-4A13-8734-15CED0F60A3D} (myActiveXCOM Class) - http://www.gooogle.bz/lateshow.cab
O16 - DPF: {EA5B2F8A-2094-47A1-ADC5-373E93EAF936} - http://www.cywanstorage.biz/DRT65/IBWire.exe
O16 - DPF: {EB5CDBC6-DBA4-48BC-B888-5E2CFF9DF3CD} - http://www.playmore.biz/pop/MSF.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD828BEB-9967-4587-B7D2-D19DC371DBF3}: NameServer = 193.70.152.15,193.70.152.25
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



Sponsor
Inviato: Friday, October 13, 2006 11:08:13 AM

 
steven75
Inviato: Friday, October 13, 2006 3:00:55 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao,
* Scarica <b><u>Ewido</u></b>
NOTA__ é shareware ma dopo i 30 gg di prova,smetteranno di funzionare solo la protezione in tempo reale e gli aggiornamenti automaticim ma il programma potrai continuare ad aggiornarlo per fare lo scan del tuo pc.

<b>Pulizia files inutili</b>
<b><u>Ccleaner</u></b>
<b>(Quando lo installi ricordati che se lasci le spunte di defuat ,verrà installata anche la toolbar yahoo)</b>

<b>Pulizia chiavi di registro obsolete</b>
<b><u>RegSeeker</u></b>

Per il log prosegui cosi:
- Scarica lo script per riparare la <b><u>trusted zone</u></b> (---) <i>tasto destro sul link e salvalo sul desktop</i>
- Portati nelle installazioni/applicazioni del pannello di controllo e disinstalla tutto quello che non hai installato tu..

<b>Consiglio__</b>
- Metti hijackthis in una cartella a lui dedicata,es;(C:\HJT) altrimenti non sarà in grado di fare il backup delle voci rimosse
- Stampati la pagina perché in modalità provvisoria non avrai accesso a internet

Poi:
- <b><u>Disattiva il ripristino di configurazione di sistema</u></b>,

- <b><u>Riavvia in modalità provvisoria</u></b>

- * <b>Assicurati di avere accesso a file e cartelle nascosti</b>
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) metti la spunta su: <i>Visualizza file e cartelle nascoste</i>
2) Disattiva: <i>nascondi file protetti di sistema</i>

- Ora tasto destro sul file <b>.inf</b> salvato sul desktop e seleziona installa

- Avvia hijackthis , clicca su <b>Do a System Scan Only</b> metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su <font color=red><b>fix checked</b></font id=red>
O4 - HKLM\..\Run: [MSMalwareKit] C:\WINDOWS\system32\MalwareRemover.exe
O4 - HKLM\..\Run: [fix] C:\WINDOWS\system32\trust.exe
O4 - HKLM\..\Run: [MSGlobal] C:\WINDOWS\system32\Idro.exe
O4 - HKLM\..\Run: [MicrosoftFirewall] C:\WINDOWS\system32\MSFirewall.exe
O4 - HKCU\..\Run: [wke.exe] C:\WINDOWS\system32\wke.exe
O4 - HKCU\..\Run: [Microsoft Security] C:\WINDOWS\system32\msantivir.exe
O4 - HKCU\..\Run: [lateshow.exe] C:\WINDOWS\system32\lateshow.exe
tutte le 015 e 016

* cerca ed elimina ;
C:\WINDOWS\system32\<b>lateshow.exe</b>
<b>Nota__</b>se i file non compaiono in modalità provvisoria vanno cercati dalla modalità normale


Fai uno scan con il tuo antivirus e con Ewido

- Ritorna in modalità normale,e facci sapere come va ...

-- Al limite fai anche uno <b><u>scan online</u></b>

* Dovresti installare anche un firewall all'altezza e disabilitare quello di Windows
_________________________________________

<b>-- PS__</b>Alla fine delle procedure é importante:
1) ri-nascondere i file e le cartelle di sistema
2) Riattivare il ripristino configurazione di sistema
3) Creare un nuovo punto di ripristino -> http://steven.altervista.org/files/ripristino.html



Edited by - steven75 on 10/13/2006 15:03:16
Ikks
Inviato: Friday, October 13, 2006 9:32:13 PM

Rank: Member

Iscritto dal : 11/16/2004
Posts: 4
Come sempre sei stato impeccabile, appena possibile ti riposto i log aggiornati....un domanda:
Come fai ad analizzare e capire quali sono le chiavi e i relativi file da eliminare con HiJack.C'e' un programma apposito oppure quale altro magheggio?Ho visitato con interesse il tuo sito ed ho trovato e provato tutte le tue utilissime "utility" ma per quanto riguarda un analisi dei log di HiJack non so' come fai.
Ho notato che sono sempre diversi e non capisco come fai ad azzeccarli tutti.
Se è un trucco che non puoi svelare non fa' nulla sei un grande comunque.
Ciao alla prox.
pidue
Inviato: Friday, October 13, 2006 10:53:54 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Come fai ad analizzare e capire quali sono le chiavi e i relativi file da eliminare con HiJack.C'e' un programma apposito oppure quale altro magheggio?
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
HijackThis non toglie i virus e i malware, hijackthis si limita ad analizzare i punti più sensibili del pc del punto di vista della sicurezza. Il log che produce va interpretato.
Il log può essere copiato e incollato per la sua analisi nella pagina di cui ti do il link in fondo, ma il fai date è pericoloso se non si è esperti. Se provi ad analizzare un log, troverai che molti voci l'analizzatore automatico le considera "sconosciute", questo perchè quelle voci non esistono probabilmente nel data base. Figurati che file relativi alla scheda Wireless del mio portatile risultano addirittura "sospetti". Pure molti DNS dei provider (quelli della riga 17) risultano sospetti.
Il database si arricchisce giornalmente col contributo dei visitatori. Può anche succedere che quando clicchi sulle stelline, ti ritrovi con suggerimenti antitetici e allora solo un una persona esperta può dare la giusta interpretazione. HijackThis è un mezzo potente, ma diventa pericoloso in mani inesperte. Ciao.

http://www.hijackthis.de



Ikks
Inviato: Sunday, October 22, 2006 3:13:28 PM

Rank: Member

Iscritto dal : 11/16/2004
Posts: 4
Per PIDUE
E'chiaro che il discorso di analizzare il log e'da fare a chi ha le competenze adeguate (di questo qualcosa mastico)non capisco come si possa risalire a file .exe o a dll sospette visto che nei log di HiJack non compaiono.
Grazie.
alfonso
Inviato: Sunday, October 22, 2006 3:51:59 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Il controllo del log di hijack non è complicato, utilizzando il controllo on line, basta verificare le voci in rosso e gialle, per verificare bisogna copiare il file eseguibile e cercarlo nei motori di ricerca come google per vedere se ci sono corrispondenze, nella lista dei motori di ricerca ci sono alcuni siti che hanno un database di file pericolosi, come

http://www.liutilities.com/products/wintaskspro/processlibrary/

http://www.bleepingcomputer.com/startups/

http://www.castlecops.com/

però bisogna fare attenzione, alcune voci segnate in rosso potrebbero essere non pericolose ma utile al sistema, quindi bisogna fare controlli incrociati su diversi rapporti trovati nei motori di ricerca per stabilire la vera pericolosità, insomma mettendoci un po' di impegno chiunque potrebbe ripulirsi il proprio sistema, chi lo fa da tempo fa solo prima, le prime volte per ogni log impiegavo quasi un ora per ogni controllo perché volevo essere sicuro di non sbagliare e peggiorare la situazione dell'amico invece che risolverlo, oggi faccio il controllo di un log in pochi minuti.

Se volete imparare, il mio suggerimento è di fare il controllo dei log senza dare risposta, poi confrontatelo con la risposta data nel forum, se vedete che ci indovinate più volte, be una mano in più sul forum fa sempre comodo.

Collaboratore Aiutamici
pidue
Inviato: Sunday, October 22, 2006 5:59:45 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Per PIDUE
...non capisco come si possa risalire a file .exe o a dll sospette visto che nei log di HiJack non compaiono.
Grazie.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Le voci che Steven ti ha fatto cancellare sono tutti degli exe. In particolare, quelli preceduti dal numero 04 sono valori di registro che avviano automaticamente i programmi, l'altro è pure un eseguibile. Queste voci compaiono nel log, se guardi bene. Come fai a dire il contrario?
Ciao.



Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.