Condividi:        

File Log indistruttibile

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

File Log indistruttibile

Postdi alfplata » 24/02/06 16:19

Buongiorno,
da qualche giorno combatto con un file che spybot non vede come minaccia, ma non riesce a cancellarlo.
Era assieme a un Vcodec che sono riuscito, almeno all'apparenza ad eliminare.

ecco il log di Spybot:

Complimenti!: Non sono state riscontrate minacce immediate. ()


Log: Shutdown: System32\wbem\logs\wmiprov.log (File di backup, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Log: Activity: SchedLgU.Txt (File di backup, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Install: setupact.log (File di backup, nothing done)
C:\WINDOWS\setupact.log

Log: Install: setupapi.log (File di backup, nothing done)
C:\WINDOWS\setupapi.log

Log: Shutdown: System32\wbem\logs\wbemess.log (File di backup, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

MS DirectDraw: Most recent application (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS Media Player: Anonymous ID (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-21-1292428093-746137067-854245398-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS Media Player: Last opened playlist (Valore di registro, nothing done)
HKEY_USERS\S-1-5-21-1292428093-746137067-854245398-1003\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Last selected track index (Valore di registro, nothing done)
HKEY_USERS\S-1-5-21-1292428093-746137067-854245398-1003\Software\Microsoft\MediaPlayer\Preferences\LastPlaylistIndex

MS Office 10.0 (Word): Recently used documents list (Valore di registro, nothing done)
HKEY_USERS\S-1-5-21-1292428093-746137067-854245398-1003\Software\Microsoft\Office\10.0\Word\Data\Settings

Windows Explorer: Recent file global history (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-1292428093-746137067-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Explorer: User Assistant history files (36 files) (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-1292428093-746137067-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: User Assistant history IE (9 files) (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-1292428093-746137067-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Media SDK: Computer name (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-21-1292428093-746137067-854245398-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modifica al registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName


--- Spybot - Search && Destroy version: 1.3 ---
2006-02-17 Includes\Cookies.sbi
2006-02-17 Includes\Dialer.sbi
2006-02-17 Includes\Hijackers.sbi
2006-02-17 Includes\Keyloggers.sbi
2004-11-29 Includes\LSP.sbi
2006-02-17 Includes\Malware.sbi
2006-02-17 Includes\PUPS.sbi
2006-02-17 Includes\Revision.sbi
2006-02-17 Includes\Security.sbi
2006-02-17 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2006-02-17 Includes\Trojans.sbi

Ho fatto una scansione con hijackthis ed ecco il risultato:

Logfile of HijackThis v1.99.1
Scan saved at 16.16.51, on 24/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Alfio\IMPOST~1\Temp\Directory temporanea 2 per hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{72546B40-EF8A-4441-AFB1-05DCFD6563B1}: NameServer = 213.230.130.222 213.230.155.94
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

ho il sistema rallentato al massimo, insomma non so che pesci pigliare.
potete aiutarmi??

Grazie anticipatamente
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania

Sponsor
 

Postdi fabrizius » 24/02/06 17:30

ciao,
aggiorna spybot che usi ancora la vecchia 1.3,c'è la 1.4 adesso...
poi nel log hijackthis fixa questa voce:
R3 - Default URLSearchHook is missing

PS:se non ci riesci dalla modalità normale fallo in mod. provvisoria

Fatto questo dai una ripulita conCcleaner--->prima vai in opzioni--->avanzate--->togli la spunta elimina files temp solo se piu vecchi di 48 ore

Puoi provare anche a fare uno scan on line qui

Kaspersky--->http://www.kaspersky.com/remoteviruschk.html

Trend Micro (antispyware)--->http://www.trendmicro.com/spyware-scan/
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Forse risolto

Postdi alfplata » 24/02/06 23:50

Grazie per i suggerimenti preziosi, oltre a quello da te consigliato ho cancellato dalla modalità provvisoria un file nella cartella di Windows, riscontrato all'interno di quel " LOG" che Spybot non riusciva a cancellare.
Grazie di tutto.
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania

Postdi fabrizius » 25/02/06 00:03

di niente figurati ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 25/02/06 00:17

Posso? Ma se Spybot non lo considerava una minaccia, perché levarlo?
O almeno, perché levarlo senza informarsi su cosa fosse?

Ricerca:
http://www.google.it/search?q=wmiprov%2Elog

PRIMO risultato:
http://msdn.microsoft.com/library/defau ... ov_log.asp
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi fabrizius » 25/02/06 00:39

io del file in questione non ne ho proprio parlato...gli ho fatto fare solo quello che ritenevo giusto ....eliminare la voce infetta,dare una ripulita ai files inutili e se convinta di aver infezioni gli ho consigliato due scan on line.....
poi, se lei decide di testa sua di cancellare qualcosa,sono problemi suoi,il computer é suo....

@ Dylan:scrivi specificando a chi é indirizzato il post ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 25/02/06 01:03

fabrizius ha scritto:@ Dylan:scrivi specificando a chi é indirizzato il post ;)


L'ho fatto apposta a non scrivere a nessuno in particolare... la considerazione è di massima, poi chi si stente chiamato in causa peggio er lui :D :P :lol:
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Ritorno di LOG

Postdi alfplata » 25/02/06 01:10

Scusate se ho innescato una diatriba, non era mia intenzione.
E' tornato tutto come prima:
il file LOG è riapparso su Spybot, e il file C\Windows\SchedLgU.Txt è ritornato al suo posto pur avendolo cancellato.
Il sistema è nuovamente rallentato.
Adesso cercherò di fare una scanzione con uno degli antivirus che mi avete consigliato.
Grazie :-?
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania

Re: Ritorno di LOG

Postdi Dylan666 » 25/02/06 01:15

alfplata ha scritto:Scusate se ho innescato una diatriba, non era mia intenzione.


nessuna diatriba, ci si cambiano solo le idee ;)

Per SchedLgU.Txt vale quanto detto prima:

Ricerca:
http://www.google.it/search?q=SchedLgU%2ETxt

PRIMO risultato:
http://www.safer-networking.org/it/faq/6.html
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 25/02/06 01:22

Siccome vedo che ci parli di file LOG e TXT che ri-appaiono scrivo questo per sicurezza:

1) con le due ricerche su Google volevo dimostrarti che il file che tenti di cancellare sono registri (o resoconti, o diari, o log, ... insomma dove i programmi si segnano alcune loro operazioni :P) di sistema e assolutamente NON dannosi

2) sono file di testo, quindi è impossibile che facciano qualcosa sul PC: sono file di parole, non attivi (come i programmi) quindi non possono nuocere nemmeno volendo

3) le cause del tuo rallentamento sono sicuramente altre che ancora non sappiamo. Posta un log di HijackThis:
http://www.pc-facile.com/guida_hijackthis_t148946/
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi fabrizius » 25/02/06 01:24

Ma dai quale apposta!!!! :D e che qui ognuno vuole sentirsi superiore ad un altro.. ma non dimostrandolo con i fatti..... in questo caso sai come si dice dalle parti mie?tu vuo fà lu prufssore e prufssore nun si...

Io non ho niente da dimostrare e non mi sento nemmeno il migliore,anzi ho tanto da imparare e l'umiltà é sempre il mio forte....voi cercate sempre di far vedere che sapete tutto piu di tutti e che siete i migliori...ma torno a ripeterlo non con i fatti

ciao ;)

PS:scusate gli off topic di stasera...
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 25/02/06 01:32

@ alfplata,
no niente figurati piccoli dibattiti,scusaci se siamo usciti un po fuori dqal problema,comunque ritornando al rallentamento,prova a fare anche una deframmentazione,a volte e specialmente se é da molto che non lo fai puo essere utile ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 25/02/06 01:33

Non mi ritengo superiore a nessuno ;)
E sopratutto NON volevo offenderti, era solo una battuta!

Solo dico: prima di eliminare qualcosa, consigliare di eliminare qualcosa o seguire il consiglio di qualcuno che dice di eliminare qualcosa sarebbe bene capire cos'è quel qualcosa!

E proprio perché io NON sono superiore a nessuno ho fatto come farebbe chiunque... ho cercato su Google!

Ho capito che ti sei fidato della considerazione di alfplata che si riteneva infetto, ma mai dare nulla per scontato :D

PS per alfplata: sorry, il log già c'è ed è pure in bella vista nel primo messaggio! È pulito, quindi il problema NON è lì, o almeno non sembra.
Continuando a percorrere la strada dell'ipotesi "è un problema software" guarda se ci sono errori ripetuti spessi nell'Event Viewer (vai su Start > Esegui e scrivi eventvwr.msc)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi alfplata » 25/02/06 01:37

Nervosi o sbaglio?????
Ho cercato su Google ed ho trovato questo:

http://www.safer-networking.org/it/faq/6.html

Ecco il log di Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 1.34.15, on 25/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Alfio\IMPOST~1\Temp\Directory temporanea 1 per hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{72546B40-EF8A-4441-AFB1-05DCFD6563B1}: NameServer = 213.230.130.222 213.230.155.94
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

Ciao :oops:
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania

Postdi Dylan666 » 25/02/06 01:37

Prima della deframmentazione è consigliabile uno scandisk
http://8help.osu.edu/1721.html
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 25/02/06 01:40

alfplata leggi bene quello che ti scriviamo così ti risparmi qualche fatica ;)

Ad esempio il link che hai messo è lo stesso che ti avevo scritto io all'01:15 e il log avevo detto che era pulito all'01:33 :D
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi fabrizius » 25/02/06 01:44

Dylan666 ha scritto:Non mi ritengo superiore a nessuno ;)
E sopratutto NON volevo offenderti, era solo una battuta!


Neanche io ho voluto offendere nessuno

Ho capito che ti sei fidato della considerazione di alfplata che si riteneva infetto, ma mai dare nulla per scontato :D


Se guardi bene il mio post noterai che io il file di log che lei voleva cancellare non l'ho proprio preso in considerazione


;) ciao
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 25/02/06 01:47

Vebbè dai, non lo hai aiutato a cancellarli ma nemmeno lo hai dissuaso dal farlo! :D
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi fabrizius » 25/02/06 01:55

be no,non ne vedevo il motivo...
cancellare un file di log (che io sappia) non comporta nessun problema ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Per Dylan666

Postdi alfplata » 25/02/06 02:01

Siete troppo veloci per me scusate.
Ho controllato nel registro errori ed effettivamente nei gg. 23/24 trovo ripetuti questi errori:

Errore 24/02/2006 11.33.47 Service Control Manager Nessuno 7000 N/D

Errore 24/02/2006 11.33.25 Netlogon Nessuno 3095 N/D

Errore 24/02/2006 23.05.30 DCOM Nessuno

Non sò se sono attinenti, ed in attesa di una eventuale vostra conferma, vi ringrazio tutti e vi auguro una buona notte.

:D
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "File Log indistruttibile":


Chi c’è in linea

Visitano il forum: Nessuno e 28 ospiti