[Topic Ufficiale Hijackthis] Postate i log qui

Per tutti quelli infetti da un virus e volessero un controllo con hijackthis postassero qui in modo che facciamo un unico argomento senza fare confusione nella sezione :ciao:

postate solo file txt oppure archivi rar/zip allegandoli, oppure attraverso servizio di upload

NON POSTATE ASSOLUTAMENTE I LOG CON COPIA E INCOLLA rischiate di diffondere i virus

[Only registered and activated users can see links. Click Here To Register...] è il link per la scansione online, si sconsiglia però l'utilizzo se non come sussidio per users esperti in quanto l'analizzatore commette in alcuni casi degli errori..il nostro staff esperto è a disposizione proprio per un esame accurato dei vostri log


si raccomanda di postare solo inerentemente al tema del topic, discussione ripulita e riservata esclusivamente ai mod di sezione o chi aiuta, e chi ha bisogno dell'aiuto per analizzare il log
grazie
RzR and T24

file di un mio amico

Il pc di tuo amico è infetto.Fagli seguire queste istruzioni:
Avvia hijackthis,spunta a sinistra su queste voci:

Codice:

---

O23 - Service: ThinkPad PM (TpChrSrv) - Unknown owner - C:\WINNT\System32\TpChrSrv.exe

O20 - Winlogon Notify: fsmgmt - C:\WINNT\SYSTEM32\fsmgmt.dll

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eni.pri

O17 - HKLM\Software\..\Telephony: DomainName = eni.pri

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eni.pri

O15 - Trusted Zone: *.eni.pri (HKLM)

O15 - Trusted Zone: *.eni.it (HKLM)

O15 - Trusted Zone: *.agip.it (HKLM)

O4 - HKLM\..\Run: [pnrog] C:\WINNT\system32\pnrog.exe

O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

---

Poi scaricati [Only registered and activated users can see links. Click Here To Register...]
- Avvia Avenger.exe,inserisci questo logfile:

Citazione:

---

Files to delete:
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\WINNT\system32\pnrog.exe
C:\WINNT\System32\TpChrSrv.exe

---

Cliccare su Execute e proseguire fino a che il pc si riavvia e al ritorno postare il log di hijackthis(C:\Avenger.txt) ed il gioco è fatto :wink:

grazie tecnico..ero sicuro che fosse infetto perchè mandava virus vis msn

avenger ce l'ho già quindi glielo passo direttamente..

grazie ancora :D

ecco il file log

Tutto bene adesso?

credo che l'hijackthis gliel'abbia sistemato e mi pare abbia fatto anche avenger..purtroppo avendo fritto il pc non lo sento più su msn ma credo tutto a posto

grazie tecnico..nel caso ti contatto ancora :D

sto fixando queste:
[spoiler=:4hnfvg41]O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\scrigz.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')[/spoiler:4hnfvg41]

ora ci passo nod32 e superantispyware
tecnico che mi dici di fare dopo?
:help: :D

apparnetemente ho risolto
-ho fixato quelle due voci con hijackthis
-ho scaricato super antispyware profesisonal aggiornato alle ultime definizioni e in modalità provvisoria ha rimosso il virus
-ho avviato regedit ed eliminato tutte le chiavi riferite a scrigz.exe

sono a posto tecnico? :pens: :help:
ps che bello risolversi i problemi da solo :asd:
pps perchè nod32 non termina la scansione? se ne esce con dei file bloccati e dopo 2 minuti la interrompe :pens: :shut:

Sono bloccati perchè sono protetti dal sistema.

si ma la scansione nn va avanti :pens:

sbloccali con unlocker ...

Unlocker sblocca i file,ma non può infierire su nod32.Purtroppo devi mettere l'opzione salta files,o cosa del genere.

datemi un occhiata a questo log per favore che non so perchè ma ultimamente praticamente ogni ora kasper mi segnala una ekrnel intrusion bloccata proveniente da chissà dove..non vorrei avere un backdoor o qualcosa del genere che mi traccia

a prima vista sembra tutto ok r4z :look: le dll sembrano legittime e anche le applicazioni di avvio ... vediamo cos'hanno da dire gli altri :ok:

razer sembra tutto ok....non ti preoccupare kaspersky rompe anche a me :D
comunque scaricati super antispyware free ([Only registered and activated users can see links. Click Here To Register...]) aggiornale alle ultime definizioni e prova uno scan con quello in modalità provvisoria :ok:

ciao ragazzi potete controllare il mio log??? grazie mille in anticipo!!!

ti consiglio di fixare queste voci ( ma prima aspetta anche il consenso dei mod di sezione :wink: ):

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) ( chiave obsoleta )
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" ( inutile occupa solo memoria all'avvio )
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime ( idem come sopra )
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll

:ok:

quoto nando :ok:
cmq sei pulito :wink:

grazie a tutti!!! ciaoooooo :lol:

Per favore mi aiutate? :help:
Controllate il testo dello scan fatto con HijackThis?

io fixerei
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [zrmaha.exe] C:\WINDOWS\TEMP\zrmaha.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programmi\MyWebSearch\bar\1.bin\MWSOEMON.EXE

prova a vedere se così risolvi i tuoi problemi
:D

Ciao a tutti, allego log del mio pc, che ultimamante ne sta facendo di tutti i colori....

Pulito a quanto sembra.

Speriamo bene....cmq, l'unico problema che mi sembra sia rimasto riguarda l'HD esterno, che, quando collegato, se clicco col destro, mi da due opziono di Autoplay, una in grassetto e una normale. non funziona nessuna delle due. E neanche Apri funziona. lo posso aprire solo con 'Esplora'. Se trasferisco tutti i dati su un nuovo hd e formatto questo, dovrei risolvere?

Ho capito forse il problema.Segui queste istruzioni:

Citazione:

---

Clic con il tasto destro del mouse sull'unità, nel menù contestuale scegliete Esplora. L’unità verrà aperta in modalità Esplora Risorse; nel menu Strumenti / Opzioni cartella / Visualizzazione (per XP) nel menù Organizza / Opzioni cartella e ricerca / Visualizzazione (per Vista) selezionare l’opzione Visualizza cartelle e file nascosti e deselezionare le opzioni Nascondi i file protetti di sistema e Nascondi le estensioni per i tipi di file conosciuti.
Se compare il file "AUTORUN.INF" eliminarlo dalla penna o HD portatile, poi andare nel cestino dell'unità (recycled) e vuotatelo perchè potrebbe contenere altri file "AUTORUN.INF".

Attendete alcuni secondi con la finestra di Esplora Risorse aperta sulla penna o HD portatile, se il file "AUTORUN.INF" ricompare, anche il pc è infetto.
In questo caso dovete usare un antivirus se invece non ricompare avete pulito definitivamente la vostra penna 0 HD portatile

---

Provo non appena arrivo a casa!
Vorrei ringraziarti molto per l'interessamento, io mi trovo all'estero ed è frustrante avere problemi col Pc e non sapere dove sbattere la testa! Soprattutto per un profano come me...
Buona serata!

Di niente vai tranquillo ciao e fammi sapere!


:ciao: :ciao:

Esattamente come dicevi, ho eliminato il file AUTORUN.INF, che non si è ripresentato nemmeno dopo il riavvio. Spero di aver risolto! grazie e buona giornata a tutti!

Un consiglio spassionato. Quando avete di questi problemi, create un autorun.inf a sola lettura: non è molto ma almeno non avrai problemi con questi piccoli virus :ok: .

Innanzi tutto un saluto a tutti gli utenti del forum, premetto che non sono molto ferrato in informatica, ho notato che il mio pc, S.O. Windows xp ultimamente va parecchio a rilento, posto di seguito il logfile di hilackthis, se cortesemente qualcuno può dargli un'occhiata ne sarei molto grato.
E se magari qualche buon anima potesse spiegarmi come riconoscere le voci da fizare ne sarei ancor più grato.
Grazie in anticipo.


Logfile of HijackThis v1.99.1
Scan saved at 18.34.22, on 19/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\D-Link\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Ahead\NEROPH~1\data\xtras\mssysmgr.exe
C:\Programmi\D-Link\Software Bluetooth\BTTray.exe
C:\PROGRA~1\D-Link\SOFTWA~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Documenti\Documenti\software\HijackThis.e xe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~1\data\xtras\mssysmgr.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\D-Link\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\D-Link\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\D-Link\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) -
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F53C163B-3136-4478-9E63-613AA753732B}: NameServer = 192.168.2.1,212.216.112.222
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\D-Link\Software Bluetooth\bin\btwdins.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.con f (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

non so se ho capito bene la procedura per l'esame del log di hijackthis. Posto qui il log dal pc di un amico. Tre pc in rete; protetti con antivirus Avast Internet Security licenza 3 pc. Sono sicuro che ci sia un virus, perché da dei comportamenti strani, che se occorre posso postare. In seguito ai problemi ho installato SuperAntiSpyware (rilevati e corretti vari problemi), CCleaner (fatta pulizia file e registro), Avast RootKit (trovato e rimosso

Codice HTML:

---

c:\windows\temp\asw-aisl.tm~\onefile.dlb

---

). Avast continua a segnalare "URL maligno c:\windows\system32\svchost.exe". Scansioni fatte anche in modalità provvisoria.
Accedendo in rete da uno dei pc Avast segnala

Codice HTML:

---

c:\wskbudget_220.exe

---

, mentre lo stesso pc, accedendo alla cartella condivisa si blocca. Adesso l'ho lasciato con una scansione online di Trend Micro.

Ciao potreste darmi un occhiata al file log allegato, e da un po' dsi giorni che quasi sicuramente ho un virus che sia AVIRA che MALWAREBYTES non trovano....anzi a dire il vero MALWAREBYTES mi si blocca durante la scansione completa e il monitor diventa nero e non mi permette piu' interagire con il computer.
PS.: avevo un processo nel task manager un processo nominato VC.EXE, che leggendo nel forum, non e' una bella cosa.....aiutoooooooo
Grazie anticipatamente

Niente??????????