|
|||||||
|
|
|
 |
|
|
Strumenti |
08-05-2007, 10:29
|
#1 |
|
Junior Member
Iscritto dal: May 2006
Messaggi: 18
|
OPEN (0)
Salve a tutti
ho un bel problemino ogni volta che provo ad aprire (cliccando 2 volte sull'icona) una qualsiasi periferica di archiviazione (eccetto c  , mi appare una finestrella con scritto ACCESSO NEGATOse provo con il tasto destro -> apri, riesco ad accedere nel menu a tendina che compare cliccando con il tasto dx, è apparsa una nuova voce (in cima alla lista) con scritto " OPEN (0) " [quello nelle parentesi è uno zero] poco prima che succedesse ciò, AntiVir PE aveva rilevato che il file ctfmon.exe era infetto da TR/VB.aqt qual'è la voce di registro per eliminare quell'opzione dal menu? LOG DI ANTIVIR AntiVir PersonalEdition Classic Report file date: lunedì 7 maggio 2007 13:28 Scanning for 740715 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: PcPlanet Computer name: PC Version information: BUILD.DAT : 244 14437 Bytes 16/04/2007 16:06:00 AVSCAN.EXE : 7.0.4.13 282664 Bytes 02/04/2007 08:36:45 AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54 LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04 LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23/02/2007 13:09:01 ANTIVIR2.VDF : 6.38.0.214 729600 Bytes 12/04/2007 13:09:02 ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 16/04/2007 13:09:02 AVEWIN32.DLL : 7.4.0.12 2404864 Bytes 13/04/2007 13:04:24 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.8 360488 Bytes 27/03/2007 07:48:28 AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05 AVARKT.DLL : 1.0.0.12 274472 Bytes 27/03/2007 11:31:12 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18 RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42 Configuration settings for the scan: Jobname..........................: Windows System Directory Configuration file...............: C:\Programmi\AntiVir PersonalEdition Classic\setupprf.dat Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: C:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: lunedì 7 maggio 2007 13:28 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'KeePass.exe' - '1' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'CCC.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'SMAgent.exe' - '1' Module(s) have been scanned Scan process 'MDM.EXE' - '1' Module(s) have been scanned Scan process 'AluSchedulerSvc.exe' - '1' Module(s) have been scanned Scan process 'MOM.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'OrderReminder.exe' - '1' Module(s) have been scanned Scan process 'SMTray.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 33 processes with 33 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Starting to scan the registry. C:\Documents and Settings\PcPlanet\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe [DETECTION] Is the Trojan horse TR/VB.aqt [INFO] The file was deleted! C:\Documents and Settings\PcPlanet\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe [DETECTION] Is the Trojan horse TR/VB.aqt The registry was scanned ( '12' files ). Starting the file scan: Begin scan in 'C:\WINDOWS\system32' C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! End of the scan: lunedì 7 maggio 2007 13:31 Used time: 02:17 min The scan has been done completely. 174 Scanning directories 6658 Files were scanned 1 viruses and/or unwanted programs were found 0 classified as suspicious: 1 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 6657 Files not concerned 3 Archives were scanned 1 Warnings 0 Notes 0 Hidden objects were found LOG DI HIJACKTHIS Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 11.15.42, on 08/05/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\Programmi\Analog Devices\SoundMAX\SMTray.exe C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\PcPlanet\Desktop\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1172056968906 O17 - HKLM\System\CCS\Services\Tcpip\..\{748F566B-4D01-40E7-A09B-93BDE9B7683F}: NameServer = 194.247.160.1,151.99.125.1 O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 5564 bytes |
|
|
|
08-05-2007, 13:50
|
#2 | |
|
Senior Member
Iscritto dal: Dec 2006
Città: Barletta (BA)
Messaggi: 579
|
Quote:
__________________
Non permettere MAI a nessuno di dirti che non sai fare nulla....se hai un sogno, uno scopo, un obiettivo, devi inseguirlo; solo così potrai ottenere la felicità (dal film "alla ricerca della felicità) |
|
|
|
|
|
08-05-2007, 14:21
|
#3 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
08-05-2007, 14:24
|
#4 | |
|
Senior Member
Iscritto dal: Dec 2006
Città: Barletta (BA)
Messaggi: 579
|
Quote:
__________________
Non permettere MAI a nessuno di dirti che non sai fare nulla....se hai un sogno, uno scopo, un obiettivo, devi inseguirlo; solo così potrai ottenere la felicità (dal film "alla ricerca della felicità) |
|
|
|
|
|
08-05-2007, 14:25
|
#5 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
08-05-2007, 14:26
|
#6 | |
|
Senior Member
Iscritto dal: Dec 2006
Città: Barletta (BA)
Messaggi: 579
|
Quote:
__________________
Non permettere MAI a nessuno di dirti che non sai fare nulla....se hai un sogno, uno scopo, un obiettivo, devi inseguirlo; solo così potrai ottenere la felicità (dal film "alla ricerca della felicità) |
|
|
|
|
|
08-05-2007, 14:29
|
#7 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
08-05-2007, 14:51
|
#8 | |
|
Senior Member
Iscritto dal: Dec 2006
Città: Barletta (BA)
Messaggi: 579
|
Quote:
__________________
Non permettere MAI a nessuno di dirti che non sai fare nulla....se hai un sogno, uno scopo, un obiettivo, devi inseguirlo; solo così potrai ottenere la felicità (dal film "alla ricerca della felicità) |
|
|
|
|
|
08-05-2007, 15:27
|
#9 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
e visto ceh trend micro fa piangere ci rimane solo panda e bitdefender, in questo caso il primo che mi è venuto e il panda
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
09-05-2007, 09:35
|
#10 |
|
Junior Member
Iscritto dal: May 2006
Messaggi: 18
|
panda mi ha rilevato 7 spyware... ma nulla di pericoloso, normale amministrazione
una volta avevo letto che nel registro ci sono delle chiavi modificabili per cambiare le voci nei menù a tendina che appaiono cliccando con il destro sull'icona... qualcuno mi sa dire qual'è questa voce? almeno cerco di eliminare OPEN 0 manualmente dal registro... anche perchè ora ho notato che la voce è inserita nell'autostart.. appare "Esegui il programma...", molto strano....  
|
|
|
|
|
11-05-2007, 13:19
|
#11 |
|
Junior Member
Iscritto dal: May 2006
Messaggi: 18
|
nessuno mi sa aiutare con questa chiave di registro?
|
|
|
|
|
04-06-2007, 18:30
|
#12 |
|
Junior Member
Iscritto dal: Jun 2007
Messaggi: 6
|
Hai risolto ? Io ho il tuo stesso problema....
|
|
|
|
|
06-06-2007, 14:45
|
#13 |
|
Member
Iscritto dal: Oct 2003
Città: pisa
Messaggi: 41
|
Ciao, io questa specie di virus l'ho già preso diverse
volte. Nelle aule informatiche dell'università ogni volta che usavo una flash pen, mi si infettava, e mi portavo il virus a casa. Dopo un bel po ho capito che era all'università che mi infettavo! Allora, secondo la mia esperienza e quello che ho capito: - è uno stupido virus che sembra non faccia cose particolari,la rottura è che infetta come un dannato tutti gli hard disk, pennine, memory card che si collegano al pc. Per levarlo: - attivate la visualizzazione file nascosti e file protetti di sistema. - dal task manager fermate i processi ctfmon.exe che vedete (se sono 2, in genere uno è quello vero di windows, il secondo è il virus che sta girando in memoria pronto a infettare tutto, per esser certi fermateli tutti tanto non succede nulla) - entrate nell'archivio infetto con clic destro e poi su apri - eliminate autorun.inf e la cartella del cestino (nel caso del cestino di c: dovreste cercare di eliminare solo il ctfmon.exe che sta li dentro, sennò vi sparisce tutto il cestino. a quanto mi ricordo mi sembra riuscii a farlo tramite prompt di msdos) notare che: - autorun.inf è quello che fa comparire la voce open(o) nel menu - nel cestino è contenuto il virus sotto forma di ctfmon.exe |
|
|
|
|
03-07-2007, 22:28
|
#14 |
|
Junior Member
Iscritto dal: Jul 2007
Messaggi: 2
|
help
Salve ragazzi!!!anch'io ho il vostro stesso problema cn la mia unita D.
Ho provato ad eseguire la procedura sopra descritta ma nn trovo nell'unita infetta il file autorun.inf.....pur avendo visualizzato file nascosti e cartelle protette! Qual'è il problema??? 
|
|
|
|
|
04-07-2007, 08:32
|
#15 | |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
 in avenger immetti questo script: Quote:
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
|
04-07-2007, 14:23
|
#16 |
|
Junior Member
Iscritto dal: Jul 2007
Messaggi: 2
|
Problema risolto ma...
Grazie 1000!
Problema risolto!  Ma credo di aver capito da dove sia venuto quel trojan(dal mio lettore mp3)come faccio ora?? Se lo riconetto al mio pc potrei esser di nuovo potenzialmente attaccabile?? 
|
|
|
|
|
26-09-2007, 22:46
|
#17 |
|
Junior Member
Iscritto dal: Sep 2007
Messaggi: 2
|
ciap
io ho lo stesso problema di "dececk" sul mio hard disk da 350gb ...come posso risolvere questo problema ???
ne ho provate di cotte e di crude 
|
|
|
|
|
27-09-2007, 22:39
|
#18 |
|
Junior Member
Iscritto dal: Aug 2007
Messaggi: 4
|
Discussione utilissima, ho avuto anche io lo stesso problema e grazie a voi ho risolto brillantemente!!
|
|
|
|
|
29-09-2007, 19:59
|
#19 | |
|
Junior Member
Iscritto dal: Sep 2007
Messaggi: 2
|
Quote:
|
|
|
|
|
|
13-10-2007, 16:48
|
#20 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 1
|
Grazie per l'aiuto
Risolto senza nemmeno usare MSDOS (che stranamente dava file non trovati pur completando con il TAB-completion o.0). Ho semplicemente visualizzato file/cartelle nascosti e cancellato autorun.inf e svuotato il cestino. Per essere sicuro che non tornasse ho anche usato un programma che si chiama CtfmonRemover.exe (l'ho trovato non ricordo dove cercando con google ) che dovrebbe disabilitare l'esecuzione sia del virus che di Ctfmon.exe di Office (uno strumento per le lingue a quanto pare inutile ). Ma forse ho esagerato.Per non riprendere il virus, per ora uso il sistema di evitare il doppioclick su qualunque drive uso: preferisco usare right.click->esplora e finora non l'ho ripreso. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:13.
