Ciao Ragazzi, ho bisogno di una mano...
Il PC di mio fratello non ne vuol saper di funzionare: s.o. win 2K sp4, con Zone Alarm Internet Security Suite 6.0.667.


ZA rileva sempre il virus di cui all'oggetto con la dicitura "curato".... il problema è che lo rileva e "cura" ogni 10secondi.....


Posto anche il log di hijackthis...
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\RnJhbmNlc2NhIENhcmljYXRv\command.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\msnsrv.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Alice\ALICEE~1\app\EnterNet.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINNT\spoollv.exe
C:\Documents and Settings\XXXXXXXXXXXXXXXX\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINNT\system32\pmkjj.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinDLL (vdm32.dll)] rundll32.exe C:\WINNT\system32\vdm32.dll,start
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: pmkjj - C:\WINNT\SYSTEM32\pmkjj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINNT\system32\ZoneLabs\isafe.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RnJhbmNlc2NhIENhcmljYXRv\command.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Msn Service (MSNSVC) - Unknown owner - C:\WINNT\msnsrv.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: spool - Unknown owner - C:\WINNT\spoollv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe



Premetto che il PC non si riavvia in modalità provvisoria ma solo in modalità normale... :muro:


BOH...!!!?

Grazie in aniticipo a chi saprà darmi qualce consiglio...

Ciao

Fixa:

O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINNT\system32\pmkjj.dll
O20 - Winlogon Notify: pmkjj - C:\WINNT\SYSTEM32\pmkjj.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RnJhbmNlc2NhIENhcmljYXRv\command.exe

e cancella questo file C:\WINNT\RnJhbmNlc2NhIENhcmljYXRv\command.exe

questo potrebbe essere un trojan
O23 - Service: Msn Service (MSNSVC) - Unknown owner - C:\WINNT\msnsrv.exe

Grazie mille per la risposta, però..

ho provato a FIXare le voci che hai elencato ma HJT mi dice di chiudere tutte le finestre IE aperte (nessuna) per il buon esito.... Provo a fix ma al successivo scan tutte le voci ricompaiono. Anche per l'eliminazione, nè da WIN che dal prompt dei comandi, riesco a cancellare perchè "il file è in uso"...

Ricordo che devo lavaorare in modalità normale perchè Win in modalità provvisoria non ne vuole sapere di partire....

Ri-Grazie

Allora nella fretta ho dimenticato questo
O23 - Service: spool - Unknown owner - C:\WINNT\spoollv.exe
O4 - HKLM\..\Run: [WinDLL (vdm32.dll)] rundll32.exe C:\WINNT\system32\vdm32.dll,start
cancella questo file e anche il msnsrv.exe che sono entrambi 2 trojan. poi fai una scansione online con kaspersky e installa ewido.

OK, provo come hai detto tu...
Una domanda: è la prima volta che WIN mi parte in modalità normale ma non in provvisoria...
Cosa pensi (o pensate se c'è qualcun altro che legge) possa essere?

Grazie di nuovo

per riavviare in modalità provvisoria prova ad aprire msconfig da start->esegui e metti la spunta su /safeboot

Francesca? :confused:

c'e' scritto :D

.... ho visto.
Però quello è il PC di mio fratello che è sposato con Francesca...
IO mi chiamo Cristiano :D

ah ecco allora dilla tutta :D casomai editalo vah, per la privaci

ah ecco allora dilla tutta :D casomai editalo vah, per la privaci
Se non lo sottolineavi tu il suo nome non se ne accorgeva nessuno. :D :p

Se non lo sottolineavi tu il suo nome non se ne accorgeva nessuno. :D :p
mmm... pero' lo leggevano tutti :D

Se non lo sottolineavi tu il suo nome non se ne accorgeva nessuno. :D :p

capisco, però è meglio editare ;)

Giustissimo, dovevo editare....
:D

Edit

IDEM

ma ora che c'è un po di gente nel mio topic... suggerimenti? :)

come dicevo prima della divagazione, per riavviare in modalità provvisoria prova ad aprire msconfig da start->esegui e metti la spunta su /safeboot

hai provato?

Edit

IDEM

Edit

...purtroppo il PC è a casa di mio fratello e non posso porvare ora.

Quindi devo raccogliere più consigli possibili in mattinata e poi tutte le prove le faccio stasera....

Grazie di nuovo a tutti...

...TIDE

Se non lo sottolineavi tu il suo nome non se ne accorgeva nessuno. :D :p

Ora divago anch'io:

secondo me si è espressa + che bene!
le virgole ci potevano anche stare, ma non credo ci siano difficoltà nel leggere il messagio tuttodifila...

...purtroppo il PC è a casa di mio fratello e non posso porvare ora.

Quindi devo raccogliere più consigli possibili in mattinata e poi tutte le prove le faccio stasera....

Grazie di nuovo a tutti...

ma riassumendo i problemi quali erano?

Ora divago anch'io:

secondo me si è espressa + che bene!
le virgole ci potevano anche stare, ma non credo ci siano difficoltà nel leggere il messagio tuttodifila...

[STO SCHERZ:....... :p :Prrr: :Prrr: ]

Ciao Ragazzi, ho bisogno di una mano...
Il PC di mio fratello non ne vuol saper di funzionare: s.o. win 2K sp4, con Zone Alarm Internet Security Suite 6.0.667.


ZA rileva sempre il virus di cui all'oggetto con la dicitura "curato".... il problema è che lo rileva e "cura" ogni 10secondi.....


Posto anche il log di hijackthis...
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\RnJhbmNlc2NhIENhcmljYXRv\command.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\msnsrv.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Alice\ALICEE~1\app\EnterNet.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINNT\spoollv.exe
C:\Documents and Settings\XXXXXXXXXXX\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINNT\system32\pmkjj.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinDLL (vdm32.dll)] rundll32.exe C:\WINNT\system32\vdm32.dll,start
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: pmkjj - C:\WINNT\SYSTEM32\pmkjj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINNT\system32\ZoneLabs\isafe.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RnJhbmNlc2NhIENhcmljYXRv\command.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Msn Service (MSNSVC) - Unknown owner - C:\WINNT\msnsrv.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: spool - Unknown owner - C:\WINNT\spoollv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe



Premetto che il PC non si riavvia in modalità provvisoria ma solo in modalità normale... :muro:


BOH...!!!?

Grazie in aniticipo a chi saprà darmi qualce consiglio...

Ciao

Tolto il nome... :D

.. e aggiunta la firma. :D

... buon appetito a tutti.... PAUSA PRANZO! :oink:

good lunch :)

CDG prova anche a fare una scansione con ewido:http://download.ewido.net/ewido-setup.exe
e dopo riprova a fixare quelle voci con hijackthis

...se non l'hai già fatto, chiaramente

OK sono tornato.... a pancia piena si ragiona meglio :rolleyes:

Ewido scaricato, stasera riprovo.
Grazie di nuovo a tutti, vi tengo aggiornati. :)

prego :)

come dicevo prima della divagazione, per riavviare in modalità provvisoria prova ad aprire msconfig da start->esegui e metti la spunta su /safeboot

hai provato?


Niente: msg errore Impossibile trovare il file....

come: quando tenti di avviare msconfig? o quando riavvii?

click su start>esegui quindi dgt msconfig...

ciao, mi potresti inviare al mio indirizzo [email protected] uno dei file che ZA ti dice essere infetti oppure 1 dei file seguenti???

command.exe

spoollv.exe

pmkjj.dll

----
Ciao e grazie.

fatto.

????

fatto.
Fatto cosa? Come va con il pc? L'hai ripulito? :)

ha mandato i file via email a MrOz credo

si, mandato i files ma ancora nessuna risposta...

ha mandato i file via email a MrOz credo
Ah MrOz non stara' piu' nella pelle. :p

Fatto cosa? Come va con il pc? L'hai ripulito? :)

NO, è sempre "sporco"..

Non è possibile far partire msconfig dall'esegui di START...
Il SO è win2k, non è che msconfig è solo di XP?

cdg ho trovato il post di wgator che ti dicevo in PM
http://www.hwupgrade.it/forum/showpost.php?p=11419281&postcount=7

considerala una penultima spiaggia :(

penultima spiaggia FALLITA... :muro:

Ciao,

scusate le banalità... fornisco solo le vecchie "ricette della nonna" ma spesso sono utili. E' evidente che quel pc ha qualche problemino, dato che non si avvia in provvisoria :D
Io procederei come segue:

- attiva visualizzazione di file e cartelle nascoste
- svuota tutte le mille-mila cartelle temporanee di windows (start -> cerca (o trova) -> temp, tmp
- svuota i file temporanei di Internet
- svuota la cache Java

ma perchè qualcuno non consiglia di impostare windows in modo da convogliare tutti i file temporanei in un'unica cartella? Io l'ho fatto molte volte ma ho sempre rischiato un TSO (http://www.asiamente.it/il_primo_tso.htm)
Si può fare facilmente tramite "sistema -> avanzate -> variabili d'ambiente" e per i temp di Internet si fa tramite "opzioni Internet -> generale -> Impostazioni" ...Stessa cosa con Java, altrimenti ci vuole mezz'ora per trovare tutti i temp, considerati i posti assurdi ove li infila Windows? :(

- Lancia sfc /scannow (funziona anche in win 2000) per vedere se ripristina il file mancante che non permette l'avvio in provvisoria (serve il cd di win 2000)
- prova anche il riavvio in provvisoria tramite
BOOTSAFE (http://www.snapfiles.com/get/bootsafe.html)

Prova a cancellare ( a mano, aiutandoti con killbox o simili) i file segnalati come infetti (start -> cerca (o trova) -> nome file infetto)

... in questo modo, a me funziona sempre :ciapet:

Dimenticavo:

... quando spiegavo ai miei ragazzi di attivare e usare l' "utente guest" oppure un utente con "diritti limitati" per andare a guardare le donnine nude o per trafficare nei bassifondi della rete, anche in quel caso ho rischiato un "Trattamento Sanitario Obbligatorio"...
Io sarò anche un po' pazzoide però non ho tutti i torti :p
Capisco che usare utenti limitati sia una seccatura ma a volte è terribilmente utile :Prrr:

wgator, sei scaltro come una faina.... :D

cmq penso che sia + opportuno formattare nel caso in questione :(