Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Logfile da visionare

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Logfile da visionare

Postdi Alexspqr » 01/05/07 21:02

Ho inviato un logfile ma non l'ho visto riprodotto nel forum....
E' apparsa la scritta "your computer is infected", ve lo invio nuovamente:
Vi prego di scusarmi se ci saranno due miei topic identici, sono nuovo e non so muovermi bene in questi forum....

Logfile of HijackThis v1.99.1
Scan saved at 21.33.38, on 01/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
F:\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\kernels32.exe
C:\Windows\xpupdate.exe
F:\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
F:\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\vexg4am1et2.exe
F:\WINZIP\winzip32.exe
C:\Documents and Settings\ALEXSPQR\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PCSuiteTrayApplication] F:\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = F:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{48BCD526-1275-40D2-AEA6-BEA035673BC9}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - F:\ewido anti-spyware 4.0\guard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Sponsor
 

Postdi Luke57 » 01/05/07 21:26

Ciao, copia hijackthis.exe in una cartella permanente del disco fisso, non desktop nè temporanea, appositamente dedicata, Poi dalla nuova cartella, con le applicazioni chiuse e disconnesso da internet, lo apri, premi "open the misc tools section","open process manager" , selezioni la voce seguente:
C:\WINDOWS\system32\vexg4am1et2.exe
premi kill process.
Torni aklla pagina principale con back, premi scan, cerchi e spunti le voci seguenti:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
premi fix checked
Poi, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


files to delete:
C:\WINDOWS\system32\vexg4am1et2.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\system32\kernels32.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Alexspqr » 02/05/07 10:24

Grazie grazie grazie
Questo e' l' esito dello script:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nifeufor

*******************

Script file located at: \??\C:\WINDOWS\system32\lfkcnker.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\vexg4am1et2.exe deleted successfully.
File C:\Windows\xpupdate.exe deleted successfully.
File C:\WINDOWS\system32\kernels32.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ti ringrazio per il consiglio, sono rimestio due problemi che hanno iniziato a verificarsi con l'apparizione della scritta "your computer is infected", che ora e' scomparsa, e sono:
1) Non riesco a ripristinare lo sfondo del dekstop
2) Ogni tanto il pc si spegne per riavviarsi da solo automaticamente
Sapresti dirmi qualcosa su questi due problemi?
Sono inerenti all' infezione?
Attendo una tua risposta rinnovandoti i miei ringraziamenti per quanto postato sopra......
Un saluto, Alex
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi Luke57 » 02/05/07 10:39

Ciao, per il desktop segui questo link:
http://www.pc-facile.com/forum/viewtopic.php?t=42000
utilizza Smitrem come spiegato nel post di Lucas/s, dovrebbe ripristinare le impostazioni del desktop, almeno credo.
Per andare in mod.provvisoria, se non lo sai:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Alexspqr » 02/05/07 11:26

Risolto...che dire?
Grazie mille, sei stato di grandissimo aiuto.....
Un saluto, Alex....
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi Alexspqr » 02/05/07 20:46

Luke, un' ultima domanda, come mai quand'anche non navigo il modem segnala uno scambio dati?
I led dovrebbero normalmente stare fermi, invece....
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi Alexspqr » 02/05/07 20:57

Ora mi appare spesso una finestra che mi segnala la seguente indicazione:
"Si e' verificato un errore in explorer.exe L'applicazione verra' chiusa......"
Ti invio un nuovo logfile?
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi Luke57 » 03/05/07 08:12

Ciao, sì, scarica questa versione di hijackthis:
http://www.trendsecure.com/portal/en-US ... his_v2.exe
lo metti in una cartella permanente del disco fisso e lo usi come l'altra versione.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Alexspqr » 03/05/07 12:40

Ecco il nuovo logfile:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13.36.58, on 03/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
F:\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
F:\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
F:\WinZip\WZQKPICK.EXE
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PCSuiteTrayApplication] F:\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = F:\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = F:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - F:\ewido anti-spyware 4.0\guard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 3981 bytes

Ora compare un' altra finestra con la dicitura " Si e' verificato un errore in drwtsn72.exe"...ma che roba e'?
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi Alexspqr » 04/05/07 16:19

Ciao Luke, hai avuto la possibilita' di visionare il nuovo logfile?
Saluti, Alex
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi BilloKenobi » 04/05/07 16:36

se non ti dispiace l'ho guardato io... tanto luke di sicuro sarà impegnatissimo, segue sempre molti casi;)

il log mi sembra pulito. per quanto riguarda explorer.exe, non è detto sia dovuto per forza a un virus.

per finire, il file si chiama proprio drwtsn72.exe? o forse 32?
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi Alexspqr » 04/05/07 16:58

Caro Billo, hai ragione, il file in questione e' proprio quello da te indicatomi....
Cosa mi consigli di fare?
Quando mi collego su Msn ho qualcosa che mi occupa la Ram e la videochiamata e' disturbata.....
Dipende sempre da questo?
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi BilloKenobi » 04/05/07 18:19

ehm bho... può dipendere da questo e da molti altri fattori... :undecided:

anche se non ho ben capito :P ti riferisci a explorer o a drwtsn quando parli di disturbi su msn?
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi Alexspqr » 04/05/07 19:55

Allora, se clicco su explorer mi apre la pagina impostata che nel mio caso e' Google, ma immediatamente mi appare la finestra con la dicitura "Si e' verificato un errore in explorer.exe L'applicazione verra' chiusa......".
Dopodiche' si chiude automaticamente explorer, e questo accade per circa tre/quattro volte prima di poter navigare tranquillamente.
E questo e' un problema, il secondo riguarda il collegamento con Msn.
Mi spiego meglio, avendo una Ram bassa, se mi collego con Msn e faccio una videochiamata non posso nello stesso istante, ad esempio, navigare con internet o avere un programma P2p aperto, poiche' lo spazio occupato risulterebbe troppo ampio e il collegamento con Msn risulta assai disturbato.
In questi giorni, effettuando una videochiamata, quest'ultima risulta disturbata pur non essendoci alcun programma aperto o explorer in funzione, ovvero, e' come se ci fosse uno scambio dati in atto (oltre Msn) a me sconosciuto......
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI


Torna a Sicurezza e Privacy


Topic correlati a "Logfile da visionare":

Aiuto logfile
Autore: bio952
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti