Hijackthis Con Windows 7

[gen]

Buonasera,

qualche mese fa ho cambiato PC e sono passato da Windows XP a Windows 7 e da quel momento non ho potuto più utlizzare il programma hijackthis in quanto si blocca e appare in alto la scritta:

015 -Trusted Zone enumeration

per poter chiudere il programma che è bloccato unica soluzione è utilizzare Gestione Attività di Windows (Ctrl - alt - canc)

Qualcuno sa aiutarmi a risolvere il problema?

grazie

[FDAC]

Uhm.. hai provveduto ad una scansione con malwarebytes?

Sei sicuro che la versione di Hijackthis sia l'ultima rilasciata? Prova ad eseguire il tool come Amministratore.

Francesco

[Mr 4011]

1. Ciao -giancarlo
   Scarica ed installa Ccleaner avvia la pulizia eliminando i file superflui così da rendere più veloci i passi successivi
2. --------- scheda pulizia > avvia pulizia
   --------- scheda registro > trova problemi > ripara selezionati (confermando per il backup)
3. Esegui una deframmentazione ed uno scandisk

[gen]

Ora funziona

ho scaricato nuovamente il programma e ha funzionato, anche se è rimasto bloccato qualche minuto al punto in cui si bloccava prima: 015 -Trusted Zone enumeration

Grazie dell'aiuto

[Mr 4011]

Di nulla

[gen]

Avrei un altro problema con hijackthis,

Come ho scritto in precedenza, il programma si blocca per qualche secondo e poi finisce il controllo, però non mi permette di eliminare le voci che FIXO, in pratica fixo le voci da eliminare, do l'OK, appare la scritta in cui si dice che le voci verranno eliminate, do nuovamente l'OK e la videata sparisce ma se lancio di nuovo il programma me le rileva nuovamente.

Tra l'altro durante l'elaborazione il programma si ferma un attimo e appare un avviso in cui c'è scritto:

For some reason your system denied write access to the host file. If any hijacked domains are in this file, Hijackthis may NOT be able to fix this.

If that appens, you need to edit the file yourself. To do this, click Start, Run and Type:

notepad C:\windows\System32\drivers\etc\hosts

and press Enter: Find the line (s), Hijackthis reports and delete them. Save the file as '"Hosts'.( with quotes) and reboot .

ad esempio dovrei eliminare queste voci:

O2 - BHO: PowerOffer - {3543619C-D563-43f7-95EA-4DA7E1CC396A} - (no file)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

ma non so come fare

Qualcuno sa suggerirmi come risolvere il problema?

[pike]

Hai eseguito HJT "Come amministratore"?

[FDAC]

Ciao Giancarlo, io ti suggerisco questa procedura (sei infetto).

Francesco

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

● posiziona il file scaricato sul Desktop

● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un doppio click

● segui le istruzioni che verranno rilasciate per eseguire la scansione

● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● potrebbero comparire alcuni file sul Desktop, e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te

● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:

● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore

● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.

Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto

● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

[gen]

Hai eseguito HJT "Come amministratore"?

non ci avevo pensato, ho fatto così ed è andato tutto bene, grazie mille

Ciao Giancarlo, io ti suggerisco questa procedura (sei infetto).

Francesco

Scarica ComboFix: http://download.blee...Bs/ComboFix.exe

● posiziona il file scaricato sul Desktop

● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un doppio click

● segui le istruzioni che verranno rilasciate per eseguire la scansione

● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● potrebbero comparire alcuni file sul Desktop, e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te

● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:

● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore

● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.

Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto

● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

grazie delle indicazioni, vorre però farti prima una domanda:

da cosa capisci che sono infetto?

comunque allego il log di Hijackthis, se qualcuno può controllarlo:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 17:01:12, on 13/12/2011

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v9.00 (9.00.8112.16421)

Boot mode: Normal

Running processes:

C:\windows\system32\taskhost.exe

C:\windows\system32\Dwm.exe

C:\windows\Explorer.EXE

C:\Program Files\EASEUS\Todo Backup\bin\EuWatch.exe

C:\Program Files\EASEUS\Todo Backup\bin\TrayNotify.exe

C:\Program Files\IObit\Advanced SystemCare 5\ASCTray.exe

C:\Windows\System32\StikyNot.exe

C:\Program Files\Alwil Software\Avast5\AvastUI.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\windows\SYSTEM32\WISPTIS.EXE

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\PROGRAM FILES\STARDOCK\OBJECTDOCK\OBJECTDOCK.EXE

C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe

C:\Windows\System32\taskmgr.exe

C:\Program Files\Windows Live\Mail\wlmail.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\windows\system32\ctfmon.exe

C:\windows\explorer.exe

C:\Users\utente\Desktop\SICUREZZA e PULIZIA\AUP_Hijack\HiJackThis.exe

C:\windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [EaseUs Watch] "C:\Program Files\EaseUS\Todo Backup\bin\EuWatch.exe"

O4 - HKLM\..\Run: [EaseUs Tray] "C:\Program Files\EaseUS\Todo Backup\bin\TrayNotify.exe"

O4 - HKCU\..\Run: [Advanced SystemCare 5] "C:\Program Files\IObit\Advanced SystemCare 5\ASCTray.exe" /AutoStart

O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe

O4 - HKCU\..\Run: [avast! Antivirus] "C:\Program Files\Alwil Software\Avast5\AvastUI.exe"

O4 - Startup: Mozilla Firefox.lnk = C:\Program Files\Mozilla Firefox\firefox.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200

O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O15 - Trusted Zone: http://www.samsungsetup.com

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Advanced SystemCare Service 5 (AdvancedSystemCareService5) - IObit - C:\Program Files\IObit\Advanced SystemCare 5\ASCService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Firewall - AVAST Software - C:\Program Files\Alwil Software\Avast5\afwServ.exe

O23 - Service: EaseUS Agent - CHENGDU YIWO Tech Development Co., Ltd - C:\Program Files\EaseUS\Todo Backup\bin\Agent.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Guard Agent - CHENGDU YIWO Tech Development Co., Ltd - C:\Program Files\EaseUS\Todo Backup\bin\GuardAgent.exe

O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IMF Service (IMFservice) - IObit - C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe

O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe

O23 - Service: NitroPDFReaderDriverCreatorReadSpool (NitroReaderDriverReadSpool) - Nitro PDF Software - C:\Program Files\Nitro PDF\Reader\NitroPDFReaderDriverService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\windows\system32\nvvsvc.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: WMI_Hook_Service - MICRO-STAR INT'L,.LTD. - C:\Program Files\msi\WMIHookBtnFn\WMI_Hook_Service.exe

--

End of file - 7116 bytes

[FDAC]

Dalle tre voci che hai postato prima:

O2 - BHO: PowerOffer - {3543619C-D563-43f7-95EA-4DA7E1CC396A} - (no file)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

La prima è riferita ad un adware, la seconda e la terza a delle restrizioni probabilmente imposte da malware.

Comunque se hai fixato le voci e non riscontri problemi..

Mi raccomando, aggiorna Avast all'ultima versione rilasciata.

Modificato December 13, 2011 da FDAC

[gen]

Dalle tre voci che hai postato prima:

O2 - BHO: PowerOffer - {3543619C-D563-43f7-95EA-4DA7E1CC396A} - (no file)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

La prima è riferita ad un adware, la seconda e la terza a delle restrizioni probabilmente imposte da malware.

Comunque se hai fixato le voci e non riscontri problemi..

Mi raccomando, aggiorna Avast all'ultima versione rilasciata.

Si, le ho fixate e sono sparite.

Grazie dell'aiuto

[FDAC]

Alla prossima. Francesco