Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

controllo hijack pc-xp Opzioni
milmil
Inviato: Sunday, March 06, 2011 6:19:42 PM

Rank: AiutAmico

Iscritto dal : 2/27/2006
Posts: 409
ciao

per favore potreste controllarmi anche questo log?

il pc conteneva diversi virus che si erano duplicati e annidati anche nelle memorie della recovery e nella mini memoria non partizionata che si crea automaticamente quando si crea la partizione.. spero non fossero riusciti ad arrivare anche nella memoria della scheda madre in cui è contenuto il bios, visto che all'inizio il pc si automodificava da solo le impostazioni di boot del bios..
io impostavo boot da cd .. la prima volta partiva la seconda no.. controllavo nelle impostazioni del bios ed era tornato con il boot da hhd senza che io lo avessi fatto..
dopo aver tolto i virus questo problema non s'è più posto, le impostazioni del boot rimanevano come le avevo impostate io.

il pc è stato scansionato con i seguenti rescue cd:
-KASPERSKY che ha eliminato i virus
-BITDEFENDER che in seguito ha rilevato il pc pulito
-AVG che in seguito ha rilevato il pc pulito
-AVIRA che si auto KILLED la scansione senza aver scansionato alcun file...

vorrei avere la serenità che il log sia pulito per poter proseguire nel settare il pc..

grazie



Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.43.24, on 06/03/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\admtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wscntfy.exe
F:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6003 bytes

Sponsor
Inviato: Sunday, March 06, 2011 6:19:42 PM

 
r16
Inviato: Sunday, March 06, 2011 9:25:11 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
vorrei avere la serenità che il log sia pulito per poter proseguire nel settare il pc..


Mi spiace, ma senza vedere uno straccio di log, diventa difficile "renderti sereno". (HJT, ormai, serve a ben poco)
In ogni caso, le prime operazioni obligatorie, sono quelle di aggiornare il S.O (SP3) e il browser.
milmil
Inviato: Monday, March 07, 2011 10:09:28 AM

Rank: AiutAmico

Iscritto dal : 2/27/2006
Posts: 409
il log è copiato nel post precedente.. o servono altri log? o è visibile solo a me? O.o

il log è stato fatto con hijack this.. non va bene?

prima di fare gli aggiornamenti vari ed eventuali e prima di collegarmi ad internet, vorrei fare i cd di recovery visto che non sono mai stati fatti perchè chi ha venduto il pc non ha avvertito chi l'ha comperato che lo doveva fare (e le persone che usano soltanto i pc non ci badano di certo)

grazie
a.roselli
Inviato: Monday, March 07, 2011 2:30:55 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,056
L'amico R16 voleva dire che se il sistema è infetto da virus, questi non si possono rilevare dal log in quanto i virus infettano file di sistema e quindi qualsiasi file infetto risulterebbe legittimo, Hijack serve solo in caso di spyware

Dal log elimina questa riga

O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll


Nel sistema non è installato ne Antivirus ne Firewall e il sistema non è aggiornato dal windows update, è naturale in questo caso avere il sistema infetto.

Antivirus Microsoft Essential
http://guide.aiutamici.com/software?ID=11289

Firewall Outpost
http://guide.aiutamici.com/software?ID=80361

Installa Service Pack 3 o aggiornalo dal Windows Update
http://guide.aiutamici.com/software?ID=80272



alfonso_aiutamici@hotmail.it

milmil
Inviato: Tuesday, March 08, 2011 9:24:16 AM

Rank: AiutAmico

Iscritto dal : 2/27/2006
Posts: 409
grazie alfonso, probabilmente la chiarezza non è il mio forte.. riprovo a spiegarmi..

le guide le ho lette e le conosco e le applico pure
tuttavia questa è una situazione un pò diversa dalla solita prassi secondo me:

- il suddetto portatile è stato formattato usando la recovery contenuta nella partizione dedicata una prima volta, ho installato l'essential, l'sp3 ma appena l'ho ricollegato ad internet: l'antivirus non s'è più attivato, non si poteva più aggiornare e tante altre cose.. tipo che mi modificava da solo le impostazioni di boot del bios ...

allora ho scansionato con i 4 rescue cd elencati sopra.. ed infatti kaspersky ha trovato virus in tutte le partizioni comprese quella con la recovery (quindi facendo la recovery ho portato con me i virus) e quella non partizionata da 8 mb.. mi hanno detto che è altamente improbabile ma questo dava il log della scansione..


- successivamente ho recuperato i cd di ripristino originali che non si trovavano e ho tentato un ripristino con i cd originali che spero abbiano riscritto anche la partizione di recovery...

dopo questa seconda recovery il sistema sembra pulito, i rescue cd sembrano non rilevare nulla..
prima di reinstallare l'sp3 e settare tutto per benino volevo accertarmi anche con hjiack che non ci fosse null'altro in giro..
l'avrei già fatto senza fare lo scan se anche avira rescue cd avesse funzionato correttamente.. era solo uno scrupolo ulteriore..

grazie ad alfonso per avermi controllato il log.

se per favore poteste controllarmi il log anche dell'altro post sarebbe ottimo, non è un doppio log ma sono due pc distinti e l'avevo anche specificato nel titolo del post
sono due pc non perchè io lavori nel campo informatico ma perchè sto cercando di far tornare alle condizioni originali per un paio di amici..

ancora grazie
milmil
davix
Inviato: Tuesday, March 08, 2011 10:43:07 AM

Rank: AiutAmico

Iscritto dal : 2/4/2011
Posts: 4,198
milmil ha scritto:
grazie alfonso, probabilmente la chiarezza non è il mio forte.. riprovo a spiegarmi..

se per favore poteste controllarmi il log anche dell'altro post sarebbe ottimo, non è un doppio log ma sono due pc distinti e l'avevo anche specificato nel titolo del post
sono due pc non perchè io lavori nel campo informatico ma perchè sto cercando di far tornare alle condizioni originali per un paio di amici..

ancora grazie
milmil



Forse è meglio che li rifai i log dopo le scansioni che hai fatto.

Poi, 1 computer: 1 discussione.



P.S. Ma glielo dici ha tuoi amici come mai sei diventato così bravo!!!!Drool

EDIT Non c'era proprio motivo di prendersela... oggi è Carnevale Applause
milmil
Inviato: Tuesday, March 08, 2011 1:29:17 PM

Rank: AiutAmico

Iscritto dal : 2/27/2006
Posts: 409
per davix:

- l'ironia la potresti anche evitare, grazie

- si i miei amici sanno benissimo cosa so fare e cosa no e comunque per aver chiesto il controllo di un log non mi sembra il caso di fare tanta polemica,
finora in questo forum avevo trovato persone cortesi...

- ho creato un post per un pc ma al secondo post non avevo ottenuto risposta finchè non l'ho richiesto qui

- se intendi che sono diventato bravo grazie ad aiutamici.. la risposta è anche e si consiglio anche a loro di usarlo anche se visto certe risposte potrei pensare di ricredermi...

non credo mi servirà ulteriore aiuto in futuro.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.