Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Controllo Log HJT

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Controllo Log HJT

Messaggioda AsRock » mer set 22, 2010 4:44 pm

Ciao a tutti , ho capito come analizzare i log di hijackthis grazie all'aiuto di crazy.cat e delle guida però sono molto confuso è ho molti dubbi riguardo alcuni file.
Posto le stringhe ( per lo piu 02 e 04 ) cosi le analizzeremo insieme.
NB: 1) dllcache.exe mi sembra(ma non ne sono sicuro)sia infetto ; inoltre se apro la cartella WINDOWS > system non trovo alcuna traccia di questo file
2) Se avvio CCleaner e seleziono "Strumenti" > "Avvio" noto che tra uno dei programmi che si avviano all'accensione è proprio dllcache.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nwiz] C:\Programmi\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [netmon] C:\WINDOWS\system\dllcache.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Grazie dell' aiuto
Ciao!
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Controllo Log HJT

Messaggioda FDAC » mer set 22, 2010 4:52 pm

Ciao.
Sei infetto.
Il log non è completo, postane uno intero.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Controllo Log HJT

Messaggioda AsRock » mer set 22, 2010 4:57 pm

Il log non lo ho piu e ho disistallato anche hijackthis , però il resto era pulito . Potresti specificarmi i file infetti e cosa eventualmente fixare ?
Grazie ciao
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am


Re: Controllo Log HJT

Messaggioda Max01 » mer set 22, 2010 5:26 pm

AsRock ha scritto:dllcache.exe mi sembra(ma non ne sono sicuro)sia infetto

Questo sicuramente è un malware, per sicurezza fallo analizzare su Virustotal e vedi quanti antivirus te lo segnalano.
Fai anche una scansione con Malwarebytes ed Hitman Pro e vedi se ti trovano qualcos'altro.
Avira non ti segnala niente?
"Vederselo davanti è un’esperienza che non si dimentica. Il Maine Coon è davvero un gatto enorme, imponente e regale.
Avatar utente
Max01
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1975
Iscritto il: sab feb 23, 2008 3:00 pm
Località: Firenze

Re: Controllo Log HJT

Messaggioda FDAC » gio set 23, 2010 12:28 pm

Reinstalla HJT e posta il log aggiornato.
Non posso suggerirti cose che non so: devi postare un log di HJT completo e aggiornato.
Basta riscaricare e installare nuovamente HJT, cliccare su Do a system scan and save a logfile e copiare/incollare il file di testo per intero qui.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Controllo Log HJT

Messaggioda AsRock » gio set 23, 2010 1:52 pm

Salve ,
innanzitutto ringrazio max71 poi vi spiego cosa succede : come mi è stato suggerito da max ho fatto una scansione con Malwarebytes' antimalware e sono stati rilevati 4 elementi infetti tutti relativi a dllcache.exe ; erano precisamente backdoor.
Erano collocate tutte nelle cartelle dei fyle di system . Dopo la scansione ho chiuso il pc e ho deciso di continuare il giorno dopo.
Però oggi malwarebytes non rileva piu niente . Vi farò sapere poi vi posto l'eventuale log di malwarebytes.
Ciao!



p.s. quando scrivo un qualsiasi messaggio qui in forum non mi permette di allegare un log , non è piu presente l'opzione [LOG]
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Controllo Log HJT

Messaggioda AsRock » gio set 23, 2010 1:53 pm

Ah max dimenticavo : Avira non mi segnala nulla e il file è praticamente impossibile caricarlo su virustotal perché neanche nella cartella specificata da HJT lo trovo , poi essendo una backdoor sarà complicato!
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Controllo Log HJT

Messaggioda FDAC » gio set 23, 2010 1:59 pm

- Scarica ed installa Hijackthis dal link sottostante:
http://www.hijackthis.de/downloads/HJTInstall.exe
- lancia Hijackthis
- clicca su Do a system scan and save a logfile
- al termine della scansione verrà rilasciato un file di testo: salvalo sul Desktop perché lo dovrai inviare qui
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Controllo Log HJT

Messaggioda Max01 » gio set 23, 2010 2:46 pm

AsRock ha scritto:Ah max dimenticavo : Avira non mi segnala nulla e il file è praticamente impossibile caricarlo su virustotal perché neanche nella cartella specificata da HJT lo trovo , poi essendo una backdoor sarà complicato!

A questo punto lascia perdere con Virustotal tanto è sicuramente un malware...strano che Avira non ti segnali niente!
Fai una scansione anche con Hitman Pro (se ti trova qualcosa attiva la licenza trial): http://www.surfright.nl/en/hitmanpro.
Dopodichè fai una nuova scansione con Hjiackthis e posta il logo.
"Vederselo davanti è un’esperienza che non si dimentica. Il Maine Coon è davvero un gatto enorme, imponente e regale.
Avatar utente
Max01
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1975
Iscritto il: sab feb 23, 2008 3:00 pm
Località: Firenze

Re: Controllo Log HJT

Messaggioda AsRock » gio set 23, 2010 4:31 pm

Questo è cio che rileva malwarebytes (non posto il log tanto sono solo 4 gli elementi infetti )

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dllcache (Backdoor.Agent) -> No action taken
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dllcache (Backdoor.Agent) -> No action taken
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> No action taken

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netmon (Backdoor.Bot) -> No action taken

Max71 cosa devo fare ? Dammi delle indicazioni per la rimozione per favore ! (Sono chiavi di registro non so se eliminandole causo problemi al pc )
Dopo fatto questo faccio scansione con HitManPro poi HJT e vediamo se me lo rileva di nuovo ; se così fosse procederemo manualmente.
Grazie dell'aiuto
Ciao!
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Controllo Log HJT

Messaggioda FDAC » gio set 23, 2010 4:53 pm

Apri Malwarebytes, seleziona la voce Quarantena, elimina tutte le infezioni rilevate.
Poi
- Scarica ed installa Hijackthis dal link sottostante:
http://www.hijackthis.de/downloads/HJTInstall.exe
- lancia Hijackthis
- clicca su Do a system scan and save a logfile
- al termine della scansione verrà rilasciato un file di testo: salvalo sul Desktop perché lo dovrai inviare qui
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Controllo Log HJT

Messaggioda AsRock » gio set 23, 2010 7:09 pm

Sei sicuro che l'eliminazione di tali voci e di quel value non rechi danni al pc ? Hai una vaga idea riguardo questa backdoor ? Mi servirebbero dei chiarimenti su come agisce e dove !
Comunque grazie di tutto!
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Controllo Log HJT

Messaggioda FDAC » gio set 23, 2010 7:12 pm

Se vuoi tenere una porta aperta ai virus fai pure.
Ciao.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Controllo Log HJT

Messaggioda FDAC » gio set 23, 2010 7:29 pm

c
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Controllo Log HJT

Messaggioda Max01 » ven set 24, 2010 11:22 am

AsRock ha scritto:Max71 cosa devo fare ? Dammi delle indicazioni per la rimozione per favore ! (Sono chiavi di registro non so se eliminandole causo problemi al pc ) Dopo fatto questo faccio scansione con HitManPro poi HJT e vediamo se me lo rileva di nuovo ; se così fosse procederemo manualmente.

Quelle voci eliminale e mettile in quarantena come ti ha detto FDAC, poi scarica Hitman Pro e vedi cosa ti trova. Poi procedi con Hijackthis.
"Vederselo davanti è un’esperienza che non si dimentica. Il Maine Coon è davvero un gatto enorme, imponente e regale.
Avatar utente
Max01
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1975
Iscritto il: sab feb 23, 2008 3:00 pm
Località: Firenze

Re: Controllo Log HJT

Messaggioda AsRock » ven set 24, 2010 12:24 pm

Grazie infinite FDAC e Max01 ! [applauso+]
Ciao ciao
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Controllo Log HJT

Messaggioda FDAC » ven set 24, 2010 12:57 pm

Che dire, grazie a max01 che mi ha supportato :)
Ciao
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Controllo Log HJT

Messaggioda AsRock » dom set 26, 2010 9:53 am

Ragazzi , Hitman Pro non rileva niente e hijackthis sembra pulito però al più presto vi posto il log.
p.s. NON POSSO POSTARVI IL LOG PERCHE NON APPARE L'OPZIONE [LOG] SOTTO AL TITOLO DEL MASSAGGIO
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Controllo Log HJT

Messaggioda AsRock » dom set 26, 2010 9:54 am

Sapete dirmi perché non mi appare questa opzione ? Thanks
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Controllo Log HJT

Messaggioda FDAC » dom set 26, 2010 10:06 am

Non saprei.
Invece di allegarlo fai copia e incolla, o caricalo su Wikisend.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 26 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising