hijackthis istruzioni per l'uso

[donatella]

Ho usato quel programma e mi è venuta una lista, quella che allego. L'ho fatta analizzare e mi ha trovato una o due voci sospette. Come faccio a sapere se sono da togliere o no? Io non lo so fare. Come si fa esattamente? Secondo voi cosa devo togliere?

Logfile of HijackThis v1.99.1
Scan saved at 14.06.55, on 10/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\twain_32\c5twain\ScanTo.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Donatella Russo\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ScanTo] C:\WINDOWS\twain_32\c5twain\ScanTo.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programmi\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXEMONLITE.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {A16E9405-58BF-44A8-BE71-A2B830A0B57F} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD76F815-3660-4D1C-8A3F-4F05788AD586}: NameServer = 85.37.17.5 85.38.28.77
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[Heba]

questi sono da eliminare:

C:\WINDOWS\twain_32\c5twain\ScanTo.exe

O4 - HKLM\..\Run: [ScanTo] C:\WINDOWS\twain_32\c5twain\ScanTo.exe

O9 - Extra button: Alice - {A16E9405-58BF-44A8-BE71-A2B830A0B57F} - http://gw.aliceadsl.it/alice (file missing) (HKCU)

il primo è uno spyware, il secondo è inutile, sembra che tu abbia eliminato il progromma di connessione di alice.

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXEMONLITE.EXE

questo è l'antivirus, quindi non lo dovresti togliere se lo usi.

Per guardare i file di cui non si è sicuri, basta che prendi il loro nome e fai una ricerca su google o yahoo e dalle ricerche viene fuori se è un qualcosa di pericoloso o meno.

[fabrizius]

Ciao,quando lo analizzi sull'apposito sito,ti dà anche le descrizione degli oggetti.Il controllo automatico non é infallibile quindi aiutati con google a ricercare i processi che non conosci :

Per capire meglio come funziona hijackthis leggiti queste 2 guide
http://www.pc-facile.com/guide/guida_hijackthis/
http://www.notrace.it/hijackthis-guida.htm

Installa un firewall

PS:il tuo log é pulito,

[donatella]

Scusate ma è pulito oppure ho uno spyware?

[fabrizius]

é pulito
le voci segnalate da Heba (fino a prova contraria) non sono spyware,hai solo un file missing da eliminare
O9 - Extra button: Alice - {A16E9405-58BF-44A8-BE71-A2B830A0B57F} - http://gw.aliceadsl.it/alice (file missing) (HKCU)

[Heba]

perchè non è uno spyware a me pare proprio di sì, ho controllato ciò che già sapevo, e nei miei controlli è venuto fuori che è un file che permette intrusioni via porta...uno scannerizzatore di porte appunto...altrimenti a che programma si può riferire quel file?
grazie per le risposte

[donatella]

Io sono collegata con alice non ho disattivato niente.

[Heba]

chiedo scusa, mi pareva il file del programma di connessione ad alice, si vede che non uso alice da un paio di anni... ...comunque è da eliminare...

il resto te lo confermo a meno che non mi si spieghi a che processo è abbinato visto che è inserito sia nella parte dei processi attivi, sia nella parte degli O4 che dovrebbero essere dei file malevoli ed in entrambi i casi è segnalato come sospetto...così, capisco anche io il perchè ho sbagliato, gli esperti?...

[fabrizius]

perchè non è uno spyware a me pare proprio di sì, ho controllato ciò che già sapevo, e nei miei controlli è venuto fuori che è un file che permette intrusioni via porta...uno scannerizzatore di porte appunto...altrimenti a che programma si può riferire quel file?
grazie per le risposte

io informazioni in merito a cosa possa appartenere non ne ho trovate,ma non ho trovato nemmeno informazioni che affermano che sia infetto,ed in innumerevoli forum che ho visitato non hanno mai consigliato di eliminarlo,quindi a questo punto sono io che ti chiedo dove hai letto che si tratta di uno spyware?(grazie)

[Heba]

non capisco perchè te la prendi tanto, ho fatto una semplice domanda, reale e sincera, se ho sbagliato, va bene, ma vorrei sapere il perchè, perchè trecento persone dicono che non è un trojan, lo devo dire anche io senza sapere da dove arriva il file?...comunque io chiudo qui...non eliminarlo, tanto essendo uno spyware te lo ritrovi di nuovo dentro appena rientri nel sito che te lo ha mandato, comunque basta eliminare i file temporanei, i coockies ed aggiornare la cache...

[fabrizius]

Guarda che hai capito male,io non me la sono presa per niente....
ti ho solo spiegato come sono arrivato a quelle conclusioni e volevo sapere se tu ne avevi di diverse,tutto qui....
Poi per eliminare questo dubbio che hai, é semplice....basta che donatella lo analizza su virustotal

[Heba]

sì, certo, avrò capito sicuramente male...non ti preoccupare, lascio la piazza ho di meglio da fare che stare a litigare per uno spyware e per cosa significa. buona continuazione.

[donatella]

facciamo così quello spyware lo lascio, tanto se lo devo riprendere!! ma quel "coso" con scritto Alice se lo tolgo non avrò problemi di connessioni?

[fabrizius]

Non é uno spyware,e quel collegamento ad alice se lo togli non avrai nessun problema