Come esaminare i log di HiJackThis

silver · 2 Marzo 2008

Come esaminare i log di HiJackThis

Ho scaricato ed installato questo programma.

a giudicare da quello che ho letto... è uno dei migliori programmi da usare come ultima risorsa! quando si ha il pc con qualche "malware strano" che non si riesce a togliere con i comuni programmi; ha lo svantaggio però che bisogna saperlo usare... altrimenti rovina tutto.

L'ho fatto girare ed ho l'elenco dei Log files. Qualcuno se ne intende di file Log? riconoscere quello maligno che è stato attaccato... perchè dovrei toglierlo. Grazie

R16 · 5 Marzo 2008

Posta il log.

silver · 6 Marzo 2008

Aiuto su "HiJackThis"

Ok. non so però se gli amministratori di techforum vogliono...

Comunque è questo, per chi ci capisce...:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 9.51.20, on 06/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

CrogrammiAheadInCDInCDsrv.exe

CrogrammiLavasoftAd-Aware 2007aawservice.exe

CrogrammiAlwil SoftwareAvast4aswUpdSv.exe

CrogrammiAlwil SoftwareAvast4ashServ.exe

C:WINDOWSExplorer.EXE

C:WINDOWSsystem32LEXBCES.EXE

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSsystem32LEXPPS.EXE

CrogrammiNVIDIA CorporationNetworkAccessManagerApache GroupApache2binapache.exe

CrogrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE

CrogrammiNVIDIA CorporationNetworkAccessManagerbinnSvcIp.exe

CrogrammiNVIDIA CorporationNetworkAccessManagerbinnSvcLog.exe

C:WINDOWSsystem32nvsvc32.exe

CrogrammiSpyware Terminatorsp_rsser.exe

C:WINDOWSSystem32PAStiSvc.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32RUNDLL32.EXE

CrogrammiAnalog DevicesCoresmax4pnp.exe

CrogrammiAnalog DevicesSoundMAXSmax4.exe

CrogrammiAheadInCDInCD.exe

CrogrammiMicrosoft IntelliType Protype32.exe

CrogrammiMicrosoft IntelliPointpoint32.exe

CrogrammiHPhpcoretechhpcmpmgr.exe

CrogrammiNVIDIA CorporationNetworkAccessManagerApache GroupApache2binapache.exe

CrogrammiHewlett-PackardHP Software UpdateHPWuSchd.exe

C:WINDOWSsystem32spooldriversw32x863hpztsb09.exe

CrogrammiHewlett-PackardHP Share-to-Webhpgs2wnd.exe

CrogrammiJavajre1.6.0_03binjusched.exe

CrogrammiiTunesiTunesHelper.exe

CrogrammiQuickTimeqttask.exe

CROGRA~1ALWILS~1Avast4ashDisp.exe

CrogrammiSpyware TerminatorSpywareTerminatorShield.exe

C:WINDOWSsystem32ctfmon.exe

CrogrammiGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe

CrogrammiSpybot - Search & DestroyTeaTimer.exe

CrogrammiHewlett-PackardHP Share-to-Webhpgs2wnf.exe

CrogrammiWLAN Technology CorporationWLAN_802.11g_UtilityZDWlan.exe

CrogrammiAlwil SoftwareAvast4ashMaiSv.exe

CrogrammiAlwil SoftwareAvast4ashWebSv.exe

CrogrammiiPodbiniPodService.exe

CrogrammiAdobeAcrobat 7.0ReaderAcroRd32Info.exe

Cocuments and SettingsadminDesktopHiJackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.libero.it/

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - CrogrammiAdobeAcrobat 7.0ActiveXAcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - CROGRA~1SPYBOT~1SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - CrogrammiJavajre1.6.0_03binssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - CrogrammiFile comuniMicrosoft SharedWindows LiveWindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - crogrammigooglegoogletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - CrogrammiGoogleGoogleToolbarNotifier2.1.1119.1736swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - crogrammigooglegoogletoolbar2.dll

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit

O4 - HKLM..Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM..Run: [SoundMAXPnP] CrogrammiAnalog DevicesCoresmax4pnp.exe

O4 - HKLM..Run: [SoundMAX] "CrogrammiAnalog DevicesSoundMAXSmax4.exe" /tray

O4 - HKLM..Run: [InCD] CrogrammiAheadInCDInCD.exe

O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe

O4 - HKLM..Run: [type32] "CrogrammiMicrosoft IntelliType Protype32.exe"

O4 - HKLM..Run: [IntelliPoint] "CrogrammiMicrosoft IntelliPointpoint32.exe"

O4 - HKLM..Run: [HP Component Manager] "CrogrammiHPhpcoretechhpcmpmgr.exe"

O4 - HKLM..Run: [HP Software Update] "CrogrammiHewlett-PackardHP Software UpdateHPWuSchd.exe"

O4 - HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSsystem32spooldriversw32x863hpztsb09.exe

O4 - HKLM..Run: [Share-to-Web Namespace Daemon] CrogrammiHewlett-PackardHP Share-to-Webhpgs2wnd.exe

O4 - HKLM..Run: [SunJavaUpdateSched] "CrogrammiJavajre1.6.0_03binjusched.exe"

O4 - HKLM..Run: [iTunesHelper] "CrogrammiiTunesiTunesHelper.exe"

O4 - HKLM..Run: [QuickTime Task] "CrogrammiQuickTimeqttask.exe" -atboottime

O4 - HKLM..Run: [avast!] CROGRA~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..Run: [SpywareTerminator] "CrogrammiSpyware TerminatorSpywareTerminatorShield.exe"

O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe

O4 - HKCU..Run: [updateMgr] CrogrammiAdobeAcrobat 7.0ReaderAdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU..Run: [swg] CrogrammiGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe

O4 - HKCU..Run: [SpybotSD TeaTimer] CrogrammiSpybot - Search & DestroyTeaTimer.exe

O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')

O4 - Startup: ZDWLan Utility.lnk = CrogrammiWLAN Technology CorporationWLAN_802.11g_UtilityZDWlan.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = CrogrammiAdobeAcrobat 7.0Readerreader_sl.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://CROGRA~1MICROS~4OFFICE11EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - CROGRA~1SPYBOT~1SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - CROGRA~1SPYBOT~1SDHelper.dll

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1186239870625

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - CrogrammiLavasoftAd-Aware 2007aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - CrogrammiAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - CrogrammiAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - CrogrammiAlwil SoftwareAvast4ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - CrogrammiAlwil SoftwareAvast4ashWebSv.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - CrogrammiNVIDIA CorporationNetworkAccessManagerApache GroupApache2binapache.exe

O23 - Service: Google Updater Service (gusvc) - Google - CrogrammiGoogleCommonGoogle UpdaterGoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - CrogrammiFile comuniInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - CrogrammiAheadInCDInCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - CrogrammiiPodbiniPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:WINDOWSsystem32LEXBCES.EXE

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - CrogrammiNVIDIA CorporationNetworkAccessManagerbinnSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - CrogrammiNVIDIA CorporationNetworkAccessManagerbinnSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - CrogrammiSpyware Terminatorsp_rsser.exe

O23 - Service: STI Simulator - Unknown owner - C:WINDOWSSystem32PAStiSvc.exe

--

End of file - 10658 bytes

R16 · 6 Marzo 2008

No,piano.

Io non ho pratica di questo forum,se gli amministratori,non desiderano che vengano postati log,allora io ho sbagliato a dirti di postarlo,e me ne scuso con loro.

Comunque il log è pulito,sarebbero da cancellare alcune voci,ma solo perchè non servono,non perchè fanno danni.

Ciao.

Davide · 6 Marzo 2008

Non abbiamo una politica in riguardo

Sarebbe però meglio per ottimizzare il database postare lunghi log o simili su file di testo da allegare al messaggio, sono di più facile comprensione e non allungano inutilmente in db. Questo però sarebbe un ragionamento applicabile un pò più in la.

Comunque intanto edito il messaggio e lo inserisco tra i "quote", così è più leggibile.

Lord_Of_Psycho · 6 Marzo 2008

Dico solo che un minimo di saggezza nel mettere il nome ai post, per tanto se non c'è un nome " intelligente " che riguarda l argomento io CHIUDO.

Lord_Of_Psycho

Falko · 6 Marzo 2008

Solo un consiglio

Se vuoi fare un analisi di quel log autonomamente puoi utilizzare il servizio offerto dallo stesso sito del programma ( http://www.hijackthis.de/ ), all'apertura della pagina troverai un campo apposito dove poter incollarci il log e trovare automaticamente la soluzione del problema.

Analizzandolo comunque pare non ci siano particolari problemi in quella macchina anche se in ogni caso ti consiglierei caldamente di eliminare qualche programma dall'esecuzione automatica (altrimenti rischi di trovarti col sistema rallentato!)

[quote name='silver']Qualcuno se ne intende di file Log?[/quote]

Capire quel log in ogni caso non è particolarmente difficile ed ora cercherò di spiegarti come interpretarlo

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 9.51.20, on 06/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

Running processes:

in questa parte ti viene detta la versione del sistema, di Internet Explorer, come è stato avviato e che processi hai in quel momento avviati

R0 - HKCU

R1 - HKLM

In questa sezione (che ho tagliato per evitare confusioni) sono elencate le chiavi di registro che impostano particolari aspetti del tuo sistema, HKCU ad esempio si riferisce ai settaggi *utente* (HK CURRENT USER) mentre HKLM si riferisce ad una impostazione globale del sistema (valida per tutti gli utenti quindi, HK LOCAL MACHINE). Questi valori li gestisci con l'utility apposita (start --> esegui --> regedit). Attenzione a non usarlo a caso perchè il buon funzionamento del sistema Windows dipende in gran parte da questo!

Dopo questa sezione c'è una parte relativa a dei collegamenti inerenti al sistema stesso ma qui evito di dilungarmi perchè non è proprio semplicissima (sappi che però è strettamente legata al funzionamento di Win!)

Service: [descrizione] [percorso]

Infine questa sezione si riferisce ai servizi di Windows, che puoi considerare un po' come il "cuore" del sistema operativo. In default Windows ne avvia svariati non sempre utili che possono essere aggiunti (ad esempio gli antivirus per il real-scan) e comunque gestiti. Li trovi cliccando col tasto destro su "risorse del computer" e facendo "gestione", quindi "servizi ed applicazioni" ed infine "servizi". Come nel caso di regedit attenzione a non usarli a casaccio perchè una errata impostazione degli stessi può darti risultati + o - efficaci, in rete trovi comunque moltissimi tutorial che insegnano a farci un buon tuning oppure puoi usare il sempre ottimo System Mechanic che permette la loro gestione in modo guidato (è una delle impostazioni avanzate )

Spero che ti possa essere di aiuto tutto ciò

Falko

silver · 6 Marzo 2008

Aiuto su "HiJackThis"

Ok. Anch'io avevo trovato un sito dove postare e l'ho già postato, con gli stessi risultati. Ho avuto un'ulteriore conferma.

p.s. risultato... "HijackThis", non è che sia... in pratica non fa i miracoli!!!

Incredibile come vengano pubblicizzati certi programmi su internet.

Falko · 6 Marzo 2008

Yep esattamente, HijackThis non è la manna dal cielo ma è certamente una buona base di aiuto in questi casi

Concordo in pieno sulla pubblicità, è incredibile a volte la notorietà che certi programmi si sono fatti sulla rete!

Falko

silver · 7 Marzo 2008

Come esaminare i log di HiJackThis

Ciao Falko, quali sono i programmi che mi consiglieresti di eliminare dall'esecuzione automatica, che mi rallenterebbero il pc?

Davide · 7 Marzo 2008

Devi deciderlo te.. in base ai programmi che hai installato. Casomai fai un backup e poi ripristini..

Comunque questi ad esempio non servono a molto

CrogrammiHewlett-PackardHP Share-to-Webhpgs2wnd.exe

CrogrammiiTunesiTunesHelper.exe

silver · 7 Marzo 2008

in pratica, mi salvo questi programmi ad es. su un floppy o se non vanno su una pen drive.

poi vado in CrogrammiHewlett-PackardHP Share-to-Webhpgs2wnd.exe

e poi col tasto dx del mouse o canc, elimino "hpgs2wnd.exe" o direttamente "HP Share-to-Web" oppure tutta la cartella "Hewlett-Packard"?

lo stesso dicasi con quello di "iTunes".

Falko · 7 Marzo 2008

naaa... non serve disinstallarli o eliminarli per alleggerire il sistema, devi piuttosto configurare la tua macchina in modo che questi non vengano eseguiti automaticamente per poi restare residenti sulla memoria. Alcune utility per la gestione dell'avvio le hai già sul sistema operativo, ad esempio per regolare l'avvio automatico puoi fare: "start" --> "esegui" --> "msconfig" , per gestire i servizi puoi usare la MMC (Microsoft Management Console), che è quella che vedi preconfigurata chiamandola con: "tasto destro su risorse del computer" --> "gestione" --> "servizi ed applicazione" --> "servizi".

I tools automatizzati possono aiutare ma non sempre fanno quello che interessa, in ogni caso uno di questi veramente efficace è sicuramente System Mechanic, che permette la gestione ed il tuning completo di un po' tutti gli aspetti relativi di Windows (vanno usate le opzioni avanzate). Altro tool che puoi usare (questa volta freeware) è Spybot Search And Destroy che permette un settaggio molto accurato del sistema; ottieni la gestione abilitando le funzionalità avanzate dal menu a tendina in alto. Ci sono tantissimi programmi di questo tipo comunque e google può essere molto di aiuto, io segnalo questi 2 perchè sono quelli che so funzionare ma non escluderei che ne esistano anche di migliori

Ps: Se vuoi avere un buon controllo del sistema Windows Impara ad usare la MMC perchè praticamente tutti gli aspetti del sistema vengono gestiti da questa particolare console 2

Falko

Accedi o Registrati

Come esaminare i log di HiJackThis

silver techUser

R16 techNewbie

silver techUser

R16 techNewbie

Davide Amministratore

Lord_Of_Psycho techAdvanced

Falko techBoss

silver techUser

Falko techBoss

silver techUser

Davide Amministratore

silver techUser

Falko techBoss