Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

analisi log file

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Rispondi al messaggio

analisi log file

Messaggioda MirrorHole » lun gen 30, 2006 4:34 pm

Ciao a tutti!
Temo di aver preso qualche schifezza sul mio computer [sedia] !
Vi posto qui il mio kog file:

Logfile of HijackThis v1.99.1
Scan saved at 16.20.40, on 30/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Microsoft Hardware\Keyboard\type32.exe
C:\Programmi\File comuni\Logitech\QCDriver3\LVCOMS.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Logitech\ImageStudio\LowLight.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Documents and Settings\Angelo\Documenti\Danilo\UtilitaSistema\LogFile\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [IntelliType] "C:\Programmi\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmi\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmi\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 -reboot 1
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C1D7FDB-E012-4AEC-8CB6-C4FE8D43C060}: NameServer = 85.37.17.17 85.38.28.72
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe


Ciao e grazie!
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am
Top

Messaggioda crazy.cat » lun gen 30, 2006 7:26 pm

Non si vede niente di pericoloso.
Che problemi hai?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre
Top

Messaggioda MirrorHole » lun gen 30, 2006 7:46 pm

...grazie per aver risposto! [:-D]

Quando ho acceso il computer oggi ho trovato delle icone a me sonosciute sul desktop del tipo "explorer" e "W1inMoviePlugIn".

Ho lanciato Ad-Aware e Spybot e ho eliminato tutto quello che mi hanno trovato ma le icone non sparivano! Allora ho lanciato Hijachthis e ho trvato queste voci che ho eliminato (...speramo sensa sbagliare!!! [sedia] ):

O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.redfunny.com

Ma le icone erano ancora lì!
Dimenticavo che le icone erano presenti anche su documenti e su START!
Ho cliccato con il tasto destro sull'icona "w1inMoviePlugIn" ->proprietà->destinazione: PASSWORD...NUMERO.EXE-0A165B9D.pf sul desktop.

Ho cercato il file su computer e l'ho trovato in c:\windows\Prefetch
Ancora non l'ho eliminato però!

In conclusione: AIUTO! [cry+]
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am
Top
Top

Messaggioda crazy.cat » lun gen 30, 2006 8:00 pm

Ci dovrebbe essere anche qualche altro exe, mi pare strano che punti ad un file .pf ????
Rifai uno scan con hijackthis e ti salvi il log, chiudi il collegamento ad internet e lo tieni chiuso, lanci una di quelle icone e rifai la scansione con hijakcthis.
Ti troverai un file exe attivo in più, così dovresti capire quale devi eliminare e dove si trova realmente.

Hai controllato la presenza di quei file exe che cito nell'articolo?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre
Top

Messaggioda MirrorHole » lun gen 30, 2006 8:07 pm

...quale articolo scusa?
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am
Top

Messaggioda crazy.cat » lun gen 30, 2006 8:08 pm

http://www.MegaLab.it/2454
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre
Top

Messaggioda MirrorHole » lun gen 30, 2006 8:51 pm

...niente da fare! Quando faccio il log non mi appare il exe!
Ho controllato i file con i nomi da te riportati con l'articolo, ma non li ho trovati!

Che fare?
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am
Top

Messaggioda crazy.cat » mar gen 31, 2006 10:31 am

Cerca se hai un file con un nome simile a questo PASSWORD...NUMERO.EXE
Controlla nella cartella c:\documents and settings nel tuo nome e in all user, se ci sono degli exe di piccole dimensioni e con nomi strani.
Puoi provare ad avviarli e vedere se vogliono collegarsi.
Controlla anche nella cartella c:\windows\Downloaded Program Files se anche li trovi exe strani.
Cancella anche tutti i file temporanei di internet.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre
Top

Messaggioda MirrorHole » mar gen 31, 2006 6:55 pm

Allora ho controllato...il file PASSWORD...NUMERO.EXE non è presente (l'unica voce che mi trova è il ps di cui ti parlavo).
In c:\documents and settings\all user c'è solo il file dat di nome "ntuser"; così come nella cartella con il mio nome ci sono due file con lo stesso nome di prima (un dat e un bak)...ma niente exe!
In c:\windows\Downloaded Program Files ci sono file di tipo controllo ActiveX: HouseCallControll, ShockwaweActivexControll e ShockwaweFlashObject!
Ho cancellato i file temporanei di internet!

Comunque avendo una connessione adsl dovrei essere al sicuro da bollette astronomiche giusto?!

Che faccio?
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am
Top

Messaggioda crazy.cat » mar gen 31, 2006 7:20 pm

MirrorHole ha scritto:(l'unica voce che mi trova è il ps di cui ti parlavo)

cancellalo

MirrorHole ha scritto:Comunque avendo una connessione adsl dovrei essere al sicuro da bollette astronomiche giusto?!

Si sei al sicuro.

MirrorHole ha scritto:Che faccio?

Non avendo il pc davanti, non so più cosa dirti.
Quando mi è capitato di incontrarlo, riuscivo sempre a trovare l'exe da qualche parte.
Questa sembra un altra variante.
Possibile che il firewall non ti dica che un file vuole collegarsi ad internet?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre
Top

Messaggioda MirrorHole » mar gen 31, 2006 7:40 pm

...ok ora cancello il file e poi ti dico!
No il firewall non mi dice proprio nulla...muto come una tomba!
... questa bestiaccia non mi richiede la connessione e il computer sembra non avere problemi...boh [sbigot] !!!
Grazie mille lo stesso!
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am
Top
Rispondi al messaggio

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 24 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising