Condividi:        

backup in hijackthis

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Dylan666 » 03/01/05 00:21

Ripeto: lo so benissimo cos'è quel file, come so benissimo che il toglierlo non avrebbe ne danneggiato il PC ne eliminato lo spyware.

Arrivati a tale conclusione rael64 avrebbe imparato che quello è un processo consentito e lo può aggiungere fra gli "ignore" o comunque ritenerlo "pulito". Avrebbe imparato come si distingue un processo "buono" da uno "cattivo" insomma.

Daltronde non sbaglio nelle tappe della guida che io stesso ho scritto, e quindi basta cercare il nome di quel processo nel sito che consiglio anche lì per capire che non è malevolo:

http://www.liutilities.com/products/win ... y/sistray/

;) 8)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi rael64 » 03/01/05 00:21

allora, la faccenda dei backups è risolta, quindi male che vada posso ripristinare. Non ho eliminato tutti i BHO ma solo quelli chi mi appaiono all'improvviso senza che io abbia scaricato o fatto nulla di particolare. Faccio male?
Perchè è un log non tanto normale? Forse mancano alcune cose che sono nella ignore list, ma quelle l'analisi automatica me le dava come sicure.
Piuttosto, ripetendo la scansione dopo aver eliminato quello che mi ha indicato Dylan mi è apparso questo processo sconosciuto in esecuzione che prima non c'era:
C:\WINDOWS\downlo 1\vilq\mndi9qhf.exe
Di che si tratta e da dove salta fuori?
rael64
Utente Junior
 
Post: 56
Iscritto il: 24/11/04 22:42

Postdi amvinfe » 03/01/05 00:23

aggiungo che sistray non è essenziale che parta all'avvio e resti in background, ma eliminarlo potrebbe dare problemi
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi Dylan666 » 03/01/05 00:24

Lo sapevo! Mi parva strano che non fosse ancora saltato fuori!

http://www.pc-facile.com/forum/viewtopi ... le+spyware
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 03/01/05 00:26

amvinfe ha scritto:aggiungo che sistray non è essenziale che parta all'avvio e resti in background, ma eliminarlo potrebbe dare problemi


mamma mia... si rimette dalla modalità provvisoria alla peggio, ma comunque non sarebbe successo nulla... comunque rirpistinatelo prima del riavvio se vi fa tanta paura... tanto non è quello lo spyware!
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi amvinfe » 03/01/05 00:32

non puoi postare un log in un forum privo di alcune delle sue parti. Con tutto il rispetto per la tua esperienza, ma quello che a te può sembrare leggittimo potrebbe di fatto essere un valore infetto.
Altra cosa che mi preme sottolineare, i controlli fatti servendosi del sito
http://hijackthis.de/index.php?langselect=italian
lasciano, sempre a mio modesto parere, il tempo che trovi. Non possono pretendere d'avere un db aggiornato in tempo reale, tant'è che se dovessi venir infettato da una delle ultime varianti Rbot o agobot, ad es., non credo sia in grado di segnalarlo.
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi amvinfe » 03/01/05 00:36

Dylan666 ha scritto:
amvinfe ha scritto:aggiungo che sistray non è essenziale che parta all'avvio e resti in background, ma eliminarlo potrebbe dare problemi


mamma mia... si rimette dalla modalità provvisoria alla peggio, ma comunque non sarebbe successo nulla... comunque rirpistinatelo prima del riavvio se vi fa tanta paura... tanto non è quello lo spyware!
la vediamo in maniera diametralmente opposta. Io elimino qualcosa se sono sicuro di cosa sto eliminando, non vado a tentativi quindi a casaccio.
Ogni processo in esecuzione ha un motivo per essere caricato all'avvio, anche i processi dei viruses.
Comunque è stato un piacere, buona continuazione ;)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi Dylan666 » 03/01/05 00:46

1) rispetto la tuo opinione ma ovviamente non la condivido

2) nomi apparentemente conosciuti possono essere omonimi malevoli? Non mi racconti nulla di nuovo

3) mai detto che il database di HijackThis sia la soluzione ultima ai problemi di spyware. Daltronde nemmeno Spybot o Ad-aware è detto che abbiano l'aggiornamento tempestivo necessario, è un rischio che si corre sempre. Ma gia una voce "sconosciuta" è un indizio

4) I punti 2 e 3 inmplicitamente ammetto che il metodo "empirico" certe volte è indispensabile.

5) il 99% delle voci eliminate dal registro non creano problemi che non siano risolvibili col ripristino del backup. In particolar modo quella del file sistray.EXE che voleva essere solo "educativa" (lo ri-ripeto) per insegnare a distinguere un "falso sospetto". la sua eliminazione era ssolutamente innoqua.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi rael64 » 03/01/05 00:47

Lo sapevo! Mi parva strano che non fosse ancora saltato fuori!

http://www.pc-facile.com/forum/viewtopi ... le+spyware


A leggere quella discussione mi sono perso, un po' l'ora, un po' la mia scarsa conoscenza del PC. Per oggi chiudo qua, magari si riprende un'altra volta con il vostro aiuto. Buonanotte e grazie. Sistray l'ho ripristinato, per lo meno credo.
rael64
Utente Junior
 
Post: 56
Iscritto il: 24/11/04 22:42

Postdi Dylan666 » 03/01/05 00:52

Te la faccio breve:

1) per controllare che la voce sia stata ripristinata basta che rifai una scansione di HijackThis: se ricompare nel LOG l'hai rimessa dove stava.

2)Elimina il file mndi9qhf.exe con queste istruzioni:
http://www.pc-facile.com/forum/viewtopi ... 985#120985

3) facci saper che altro avevi tolto prima di farci vedere il log. Ad esempio le famose DLL si cui parli all'inizio non ci sono.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi rael64 » 03/01/05 15:02

dunque,vado per ordine perchè sennò richio di perdermi:
1) sistray è ripristinato, rivedo anche l'icona vicino l'orologio.
2) il file mndi9qhf.exe è ora in documenti, posso eliminarlo senza alcun tipo di precauzione o può rimanere tranquillamente li? Process explorer lo ho scaricato adesso quindi ancora non lo so usare. C'è una guida in italiano? Quello che mi lascia perplesso è il fatto che, guardando tra le proprietà, il file incriminato risulta creato e modificato il giorno stesso dell'acquisto del computer e della sua prima accensione, in internet ci sono andato per la prima volta almeno 10 giorni dopo. Questo significa forse che il pc è uscito dalla fabbrica con quel file già dentro e nascosto da qualche cosa, forse quelle cose eliminate ieri (languard.exe, netcom.exe o wavdriver.exe)? Tu dirai: ma che ti importa? Lo so, ma mi piacerebbe capire quello che succede piuttosto che agire meccanicamente (almeno finchè le mie scarse conoscenze informatiche me lo consentono, poi mi arrendo). Cosa puoi dirmi a tal proposito?
3)Le dll che ho tolto prima del log di ieri non te le so dire perchè sono riuscito a creare i backups soltanto ieri sera. Ripeto comunque che erano segnalate come pericolose dall'analisi automatica. Ora comunque scrivo l'ultimo log di poco fa:

Logfile of HijackThis v1.99.0
Scan saved at 14.23.22, on 03/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\htpatch.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVSched32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\HJT\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\gkpiseQH.dll
O23 - Service: Help Menager - Unknown - C:\WINDOWS\downlo~1\vilq\mndi9qhf.exe (file missing)

Ho analizzato anche questo log automaticamente e, per esempio, la voce 02-BHO la da da eliminare:ecco, in precedenza, ho eliminato dll simili a queste che mi apparivano senza aver scaricato o fatto nulla di particolare; adesso l'ho lasciata li per fartela vedere. Poi c'è tutta la lista delle cose ignorate ma non so come fartela vedere perchè non riesco a copiarla nè a ripristinare gli elementi in quanto c'è solo il pulsante delete.
Ho anche pensato di disinstallare HJT e reinstallarlo di nuovo ma non trovo più il modo di disinstallarlo (nella cartella non c'è più il comando unistall) Tu cosa mi consigli di fare?
Scusa per la lunghezza del post ma ho cercato di essere il più chiaro possibile (anche a costo di qualche ripetizione) senza badare troppo alla sinteticità.Questo perchè mi sto accorgendo di capirci poco o niente e quindi temo anche di non farmi capire da chi legge.
Grazie per l'attenzione e i consigli
rael64
Utente Junior
 
Post: 56
Iscritto il: 24/11/04 22:42

Postdi Dylan666 » 03/01/05 15:38

Dunque:
mndi9qhf.exe tienilo in Documenti per un po'. Se va tutto bene (al 99,99% sì) eliminalo, così come la chiave che è ancora presente (l'ultima del tuo log).
Il Process Explorer sarebbe servito solo nel caso in cui non fossi riuscito a spostare o cancellare quell'exe dalla cartella Downloaded Program Files perché in esecuzione. Ma ormai lo hai tolto quindi OK.

Che il file mndi9qhf.exe fosse già nel PC quando te lo hanno dato certo è strano. La cosa più probabile e che sia stato installato insieme a qualche utilità che hai trovato installata insieme al sistema operativo quando ti hanno dato il computer (probabilmente c'è anche la buona fede da parte del negoziante che voleva solo fornirti un tool utile: daltronde il 99% degli spyware si prendono così, cioè installando freeware "carini").

Per la lista degli ignore, penso che la cosa migliore sia copiarla a mano.
Oppure usi "delete" per eliminare le voci dalla lista, ed esse ricompariranno nel file log. Magari le copi da lì, ma poi le devi rimettere una per una negli ignore.

Se il pulsante uninstall ora è grigio significa che attualmente l'HijackThis non sta usando voci scritte nel tuo registro. Se lo farà il tasto tornerà cliccabile.

Infine:

ecco, in precedenza, ho eliminato dll simili a queste che mi apparivano senza aver scaricato o fatto nulla di particolare;


Se non hai verificato cosa fossero non è detto che tu abbia fatto bene. Non è nulla di "gravissimo" ma potresti esserti tolto integrazioni del browser quali Flash Player, QuickTime, AdobeAcrobat, il java e qualche altra cosina utile. Di solito basta reinstallarli.

Certo che cancellare roba che non si conosce senza un backup non è una buona mossa...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi rael64 » 03/01/05 17:08

O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\gkpiseQH.dll

questa voce che era nell'ultimo log che ti ho fatto vedere è sparita da sola semplicemente riavviando il computer:nella successiva scansione non c'era più.
Comunque ho disinstallato HJT, reinstallato e questo dovrebbe essere il log completo:

Logfile of HijackThis v1.99.0
Scan saved at 16.57.00, on 03/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\htpatch.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVSched32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/261ea779957 ... 601_it.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Help Menager - Unknown - C:\WINDOWS\downlo~1\vilq\mndi9qhf.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Ti prego fammi sapere cosa ne pensi
rael64
Utente Junior
 
Post: 56
Iscritto il: 24/11/04 22:42

Postdi Dylan666 » 03/01/05 17:28

rael64 ha scritto:
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\gkpiseQH.dll

questa voce che era nell'ultimo log che ti ho fatto vedere è sparita da sola semplicemente riavviando il computer:nella successiva scansione non c'era più.


L'ultima voce del tuo precdente log, quella che dicevo di eliminare è questa:

O23 - Service: Help Menager - Unknown - C:\WINDOWS\downlo~1\vilq\mndi9qhf.exe (file missing)

Si riferisce al file che hai spostato.
Per il resto, nel log attuale è tutto ok (tranne la riga che ho riportato ora) ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi rael64 » 03/01/05 17:37

si, avevo capito che la voce da cancellare era quella del file che avevo spostato, volevo solo farti vedere un'altra cosa e cioè che c'erano delle cose (BHO) che sparivano da sole senza che io le eliminassi.
rael64
Utente Junior
 
Post: 56
Iscritto il: 24/11/04 22:42

Postdi rael64 » 03/01/05 17:54

...scusa se ti scoccio di nuovo ma c'è una cosa che non mi è ancora chiara: dopo aver eliminato il file in documenti, per cancellare la chiave è sufficiente eliminare la voce che compare nel log di HJT o bisogna anche andare a farlo direttamente nel registro? Sicuramente la domanda è scema ma questo è un dubbio che mi è venuto :oops:
rael64
Utente Junior
 
Post: 56
Iscritto il: 24/11/04 22:42

Postdi Dylan666 » 03/01/05 20:56

Non ti preoccupare delle domande che fai: elimina la chiave da HijackThis e lui agirà nel registro per te ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi rael64 » 03/01/05 21:36

ok,grazie. Se non ci saranno problemi non abuserò più della tua pazienza :)
rael64
Utente Junior
 
Post: 56
Iscritto il: 24/11/04 22:42

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "backup in hijackthis":

backup whatsapp
Autore: ascamarci
Forum: Discussioni
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 33 ospiti

cron