PDA

Visualizza versione completa : Virus e Spyware Voci vuote RunOnce e dubbi da Hijack



Kirk78
02-03-11, 09: 02
Ciao :bai

sono iniziate le pulizie di backup inutili. Ho montato una immagine disco che avevo fatto per vedere se la posso cancellare e ho, in modalità provvisoria, fatto partire Hijack e ci sono alcune voci che mi fanno sorgere dei dubbi.

Prima comunque gli ho fatto una scansione dal CD di emergenza di Avira aggiornato e ha trovato solo alcuni Warning [Unexpected end of file] (per esempio su 3 file di uninstall.exe) e un [Max file size reached] di un file di update per iPod (che non mi interessa proprio).

Le voci dubbie:

Only registered members can view code.

Ho anche un file missing

Only registered members can view code.

Che dite? Ciao e Grazie
:bai

FDAC
02-03-11, 09: 22
Ciao. Potresti postare il log di HijackThis?

Kirk78
02-03-11, 09: 41
Ciao FDAC :bai
Le voci del log dubbie le ho postate, le altre erano tranquille. Per quelle che pensi?

Armandillo
02-03-11, 10: 22
:bai

Non sono un esperto ma so che le voci "runonce" fanno riferimento ai programmi che s'avviano in automatico.
Probabilmente tu hai disabilitato qualche avvio ed ora hai quelle 3 voci vuote.
Stessa cosa per la voce "missing" che probabilmente e' stata cancellata...non mi preoccuperei :hap

Se non lo hai gia' fatto, crea un collegamento a: windows\pchealth\helpctr\binaries\msconfig e nel menu' "avvio" dovresti trovare delle voci senza spunta, guarda se corrispondono

Kirk78
02-03-11, 10: 32
Ciao Armandillo e grazie della rassicurazione (se ce ne sono più di una sarebbe meglio :oo2) :bai
Ha quanto dice il termine, RunOnce dovrebbe essere un serivizo o un programma che si avvia una sola volta, e poi basta.... ora controllo con MSCONFIG ma essendo dei RunOnce non capisco :boh. :bai

FDAC
02-03-11, 10: 48
Fixa la 02, le 04.
La 024 e la 023 non si possono fixare da Hijackthis.
Clicca su Start
scegli la voce esegui
digita:
sc delete Utilità di pianificazione di LiveUpdate automatico service

Il PC riscontra problemi?

Kirk78
02-03-11, 11: 03
Fixa la 02, le 04.
Grazie FDAC: ma sono pericolose o solo inutili? La 024 da dove potrebbe venire?

Il PC riscontra problemi?
Non ho ancora attaccato Internet, ma mi sembra lentuccio a caricare, però ha solo 1/2GB di ram, e vedo che la mia compagna ha installato un sacco di programmi.
Proverò anche con l'sc, ma mi chiedo anche quì perchè il Norton abbia creato questo servizio "missing".
:bai

DeST
02-03-11, 11: 33
RunOnce dovrebbe essere un serivizo o un programma che si avvia una sola volta, e poi basta
Confermo che i comandi con runonce vengono eseguiti solo una sola volta, bisognerebbe capire da dove saltano fuori hai aggiornato, installato, qualcosa prima di fare il log?
Dopo il riavvio le voci runonce non dovrebbero più presentarsi...

Kirk78
02-03-11, 11: 41
Ciao DeST :bai

Dopo il riavvio le voci runonce non dovrebbero più presentarsi...
Difatti è quello che mi preoccupa. Installato o aggiornato no ..., comunque provo ad avviarlo non in provvisoria e rifaccio il log visto che a quanto ne so i RunOnce di non vengono eseguiti in provvisoria.

DeST
02-03-11, 13: 16
Al limite con Spybot - Search & Destroy nelle utilità avanzate -> Esecuzione automatica dovresti poter raccogliere più informazioni riguardo a quelle voci...

FDAC
02-03-11, 14: 15
Allo stesso modo con Ccleaner, Msconfig...
Se le voci ci sono ancora, fixale.
La 024, prendo spunto dalla rete:
Voce 024

Questa voce verrà visualizzata solo se state usando la versione Trend Micro di HJT.
Essa corrisponde ai componenti di Windows Active Desktop che non sono altro che dei file integrati direttamente nel vostro Desktop.

Clairvoyant
02-03-11, 20: 57
Ciao a tutti.


La 024 e la 023 non si possono fixare da Hijackthis.Le O23 e O24 si possono fixare con HJT.
Nel primo caso però il risultato è che il servizio viene fermato e disabilitato ( se ci riesce ) però non eliminato.
Nel secondo viene rimosso il collegamento ma non il file, che generalmente è un .html.
Se da HIJ spunti le voci e le fixi le occorrenze spariscono ma non i files relativi, anche se quasi sempre vengono resi inoffensivi.

Per eliminare i servizi si può passare dal prompt con sc delete come giustamente detto da FDAC, usare pserv (http://p-nand-q.com/download/pserv_cpl.html) oppure l' opzione di HJT Delete NT Service, ma ci sono anche altri sistemi un pò più complicati che si usano nei casi più ostici.

Il perchè le applicazioni Symantec ( ma anche di altri ) lascino residui dopo l' installazione è presto detto: Unistaller ciofeca.:ghgh
Ora è una cosa un pò meno frequente, ma nel passato la parte Uninstaller non veniva molto curata, in quanto il pensiero era:

l' installazione ed il software devono dare meno problemi possibili, la disinstallazione anche se lascia immondizia ma non danneggia il pc va bene lo stesso, e poi visto che hanno disinstallato il mio programma chi se ne frega.:tong2
Purtroppo gli AV ed i programmi security in genere sono particolarmente soggetti a questo fenomeno a causa delle operazioni che devono compiere e che richiedono una pesante invasività per poter essere effettuate.
Non a caso quasi tutti produttori di AV da tempo mettono a disposizione appositi tool per la disinstallazione dei loro prodotti, anche se qualche volta non ripuliscono proprio tutto.
Per Norton c'è Norton Removal Tool (https://solutions.symantec.com/sdccommon/asp/symcu_defcontent_view.asp?ssfromlink=true&sprt_cid=2cbb4925-71af-44f4-83af-5dcfd2f60409&docid=20070816074144EN).

Per le O2, dovrebbero essere residui di installazione che son rimasti lì per oscuri motivi.
Come diceva DeST dovrebbero sparire da sole, ma capita che restino nel pc.
Purtroppo da quanto hai postato non si vede se possano essere relative a malware, che pur le usano come artifizio per installarsi ad ogni riavvio.

Conclusione per Kirk:
Fixa tutte le voci che ci hai segnalato ed elimina il servizio con uno dei sistemi citati.
Se le O2 si ripresentano potrebbero essere relative a malware ( di bassa lega se usa ancora quei sistemi :ghgh), ed allora procedi di conseguenza con scasioni etc.
In ogni caso anche se facessi danno con le rimozioni HJT consente di ripristinare le modifiche, se usato correttamente.

:bai