log HiJackThis sospetto

**FORMATTATO** · 14-01-11, 16: 29

ciao raga, ho appena effettuato dopo tanto tempo una scansione con hijackthis ed esaminando il log nel sito della stessa hijackthis ho notato che ci sono delle croci rosse e gialle, vi posto il log-->

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.24.31, on 14/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Programmi\Avira\AntiVir Desktop\sched.exe
H:\WINDOWS\ALCXMNTR.EXE
H:\Programmi\Avira\AntiVir Desktop\avgnt.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programmi\Avira\AntiVir Desktop\avguard.exe
H:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
H:\Programmi\Avira\AntiVir Desktop\avshadow.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\wscntfy.exe
H:\Programmi\Mozilla Firefox\firefox.exe
H:\Programmi\Mozilla Firefox\plugin-container.exe
H:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = localhost:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [NBKeyScan] "H:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "H:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] H:\Programmi\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "H:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA DE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] H:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [IPPDetect] IPP4Detect.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] H:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "H:\Documents and Settings\PC\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - H:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - H:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - H:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - H:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - H:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - H:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 5106 bytes

**Kirk** · 14-01-11, 17: 42

Il responsabile delle 2 rosse, ALCXMNTR.EXE, riguarda drivers Realtek (Realtek Audio Event Monitor), non dovrebbe essere uno spyware, anche se non dovrebbe servire (salvo casi particolari), aspetta comunque gli esperti, il pericolo immediato nel lasciarlo non direi che c'è

**ganzo123** · 14-01-11, 18: 03

Ciao FORMATTATO!
Ti confermo quanto dice Kirk.
Fa parte dei driver riguardanti l'audio del tuo pc: ai tempi era considerato uno spyware ma alla fine non è nocivo. Comunque se vuoi eliminarlo dall'avvio automatico non provoca nessuna disfunzione al sistema che io sappia.
L'altra croce gialla puoi fixarla senza problemi.

Il log l'hai fatto per un controllo periodico o perchè il tuo pc mostra comportamenti anomali?

**FORMATTATO** · 14-01-11, 19: 18

ganzo era solo un semplice controllo periodico, il pc funziona normalmente.. ok allora fixerò la croce gialla e se mi spieghi come fare eliminerò ALCXMNTR.EXE dall'avvio automatico

**ganzo123** · 14-01-11, 19: 24

Puoi fixare la rispettiva voce da Hijackthis altrimenti da start - esegui - scrivi msconfig e dai ok - scheda avvio e togli la spunta alla sua voce. In questo ultimo caso ti apparirà una finestrina al riavvio: metti la spunta in basso in modo che non appaia più e dai ok.

**DeST** · 15-01-11, 10: 47

Mi accodo per chiedervi se questi due elementi sono da fixare

Codice:

Only registered members can view code.

l'ultima volta che ho fixato qualcosa da hijackthis ho dovuto fare un ripristino del sistema... adesso vorrei evitare casini :S

**ganzo123** · 15-01-11, 13: 31

Ciao DeST!
Puoi fixarle tranquillamente.
Ricorda che se l'eliminazione di alcune voci crea dei problemi al tuo pc puoi sempre ripristinarle (vedi la guida). Questo non vuol dire che si è liberi di fixare a caso tanto poi c'è il backup che ci salva, ci vuole sempre del criterio nel usare certi tipi di strumenti, però commettere errori è facile

@FORMATTATO:
Mi sono dimenticato di dirti che sarebbe opportuno aggiornassi Internet Explorer anche se usi un browser differente.