Ciao. Ho questo tipo di porblema.

Cerco di installare spyware doct, sygate pf, kaspersky risulato: error 1304 Verify you have access to that directory...etc..

Inutile dire che sono utente di tipo amministratore di windows.


Creo un nuovo utente sempre di tipo amministratore. Mi installa tutti e 3 i programmi. Riavvio entro con il nome utente precedente e magicamente gli exe dei 3 programmi non esistono più.

Inutile dire che riesco ad installare e usare tranquillamente qualsiasi altro programma...

Cosa potrebbe essere?

Grazie in anticipo

fai una scansione online con kas o bitdef

fai una scansione online con kas o bitdef

e qualunque altra scansione on line tu trovi sulla prima pagina di google; panda f-secure trend micro ewido live safety zone labsM non sono mai troppe

Ciao. Ho questo tipo di porblema.

Cerco di installare spyware doct, sygate pf, kaspersky risulato: error 1304 Verify you have access to that directory...etc..

Inutile dire che sono utente di tipo amministratore di windows.


Creo un nuovo utente sempre di tipo amministratore. Mi installa tutti e 3 i programmi. Riavvio entro con il nome utente precedente e magicamente gli exe dei 3 programmi non esistono più.

Inutile dire che riesco ad installare e usare tranquillamente qualsiasi altro programma...

Cosa potrebbe essere?

Grazie in anticipo

Se non risolvi dai un'occhiata qua e cerca di seguire tutti i passaggi esattamente:
http://www.megalab.it/articoli.php?id=948

Se non risolvi dai un'occhiata qua e cerca di seguire tutti i passaggi esattamente:
http://www.megalab.it/articoli.php?id=948


No...ho controllato tutto quello che dice quel sito non è lo stesso worm.

Ho fatto una scansione online con kaspersky non ha trovato nulla...provo con gli altri...

il fatto strano che il worm pare che sia attivo solo sotto un determinato utente..

No...ho controllato tutto quello che dice quel sito non è lo stesso worm.

Ho fatto una scansione online con kaspersky non ha trovato nulla...provo con gli altri...

il fatto strano che il worm pare che sia attivo solo sotto un determinato utente..

mi sembra tanto qualche rootkit

No...ho controllato tutto quello che dice quel sito non è lo stesso worm.

Ho fatto una scansione online con kaspersky non ha trovato nulla...provo con gli altri...

il fatto strano che il worm pare che sia attivo solo sotto un determinato utente..

Allora sarebbe necessaria un'analisi più approfondita: potresti scaricare gmer (www.gmer.net o http://www.majorgeeks.com/download.php?det=5198) e fare due scansioni: rootkit e autostart, copiare i risultati (gmer ha direttamente il pulsante copy) e incollarli in un messaggio qua sul forum (premendo ctrl+v nella finestra in cui scrivi il messaggio). Assicurati che in entrambe le scansioni NON sia selezionata l'opzione show all e lascia tutte le altre opzioni così come sono. Infine, durante la scansione rootkit non utilizzare il pc e cerca di chiudere tutte le applicazion aperte.

No...ho controllato tutto quello che dice quel sito non è lo stesso worm.

Ho fatto una scansione online con kaspersky non ha trovato nulla...provo con gli altri...

il fatto strano che il worm pare che sia attivo solo sotto un determinato utente..

1. log con hijack this nel 3 ufficiale
2. log con rootkit revealer nel 3d ufficiale

tread ufficiale gmer:
http://www.hwupgrade.it/forum/showthread.php?t=1372589

tread ufficiale hijack this:

http://www.hwupgrade.it/forum/showthread.php?t=937676

il log di hijack this


GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-31 14:30:46
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\Documents and Settings\Andrew\Dati applicazioni\hidires\m_hook.sys ZwEnumerateKey
SSDT \??\C:\Documents and Settings\Andrew\Dati applicazioni\hidires\m_hook.sys ZwEnumerateValueKey
SSDT \??\C:\Documents and Settings\Andrew\Dati applicazioni\hidires\m_hook.sys ZwQueryDirectoryFile
SSDT \??\C:\Documents and Settings\Andrew\Dati applicazioni\hidires\m_hook.sys ZwQuerySystemInformation

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8238E808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8238E808

---- Modules - GMER 1.0.12 ----

Module _________ F8369000

---- Threads - GMER 1.0.12 ----

Thread 4:192 8206A950
Thread 4:196 8204AC60
Thread 4:200 8204AC60
Thread 4:480 8206A950
Thread 4:816 8206A950

---- EOF - GMER 1.0.12 ----



Questo quello di


Logfile of HijackThis v1.99.1
Scan saved at 14.34.34, on 31/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Miramar\PC MACLAN\ATMsg.exe
C:\Programmi\Miramar\PC MACLAN\ATSERVER.EXE
C:\Programmi\Miramar\PC MACLAN\ATSPOOL.EXE
C:\mysql\bin\mysqld-nt.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\CAPM2RSK.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\DU Meter\DUMeter.exe
C:\Programmi\SPAMfighter\SFAgent.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOCUME~1\Andrew\IMPOST~1\Temp\Adobelm_Cleanup.0001
C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\Andrew\IMPOST~1\Temp\Adobelm_Cleanup.0001
C:\Programmi\Macromedia\Dreamweaver MX\Dreamweaver.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Adobe\Adobe Photoshop CS2\ImageReady.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Andrew\IMPOST~1\Temp\Rar$EX00.578\HijackThis.exe
C:\DOCUME~1\Andrew\IMPOST~1\Temp\Rar$EX01.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmi\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60DA3C50-E23A-470F-86BB-D2A1161B6C6C}: NameServer = 151.99.125.2,151.99.125.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AppleTalk Messenger (ATMsg) - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATMsg.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - GRISOFT, s.r.o. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Miramar AppleTalk File Server - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATSERVER.EXE
O23 - Service: Miramar AppleTalk Print Server - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATSPOOL.EXE
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - VoyagerSoft, LLC - (no file)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe




Cos'è un rootkit?

Grazie per l'aiuto

il log di hijack this


Cos'è un rootkit?



http://it.wikipedia.org/wiki/Rootkit

Si tratta del bagle. Ed è trattato nella guida che ti ho indicato all'inizio. Però aspetta, non hai sbagliato nell'interpretarla, è solo che sul tuo pc l'infezione non si è sviluppata completamente (probabilmente è stata arginata dall'antivirus) e quindi mancano i punti di riferimento segnalati nella guida per poterla individuare.
Però per rimuoverla puoi seguire ugualmente i passaggi di quella procedura. Cerca di eseguirli passo passo e vedrai che risolverai. Se hai dubbi chiedi pure qua.

tread ufficiale gmer:
http://www.hwupgrade.it/forum/showthread.php?t=1372589

tread ufficiale hijack this:

http://www.hwupgrade.it/forum/showthread.php?t=937676

miiii come ti ascolta :ciapet: :D

miiii come ti ascolta :ciapet: :D

Ho risollevato il problema proprio stamattina, qua: http://www.hwupgrade.it/forum/showthread.php?t=1393246

miiii come ti ascolta :ciapet: :D


Si si hai visto!? eheh


Ritornando alle cose importanti dopo aver letto il link wizard1993, che a questo computer se non sbaglio accede un mio collega dall'estonia per condivisione e gestione dei lavori nell'ufficio dove lavoro, può c'entrare qualcosa?

Se scarico prevx mi può servire a qualcosa?

Ho risollevato il problema proprio stamattina, qua: http://www.hwupgrade.it/forum/showthread.php?t=1393246
me ne sono accorto.

Che pensi se chiedo ai mod di unificare i due 3d di rootkit rev. e gmer e fare postare i log in un unico 3d ?

...me ne sono accorto.

Che pensi se chiedo ai mod di unificare i due 3d di rootkit rev. e gmer e fare postare i log in un unico 3d ?

I thread, per quanto mi riguarda, potrebbero anche imanere separati, o addirittura essere tutti accorpati in un thread sugli antirootkit, che forse già esiste.
Il nocciolo della questione è stabilire se sia più giusto scindere ogni richiesta di aiuto in più thread in funzione dei log che sono necessari, piuttosto che gestire ogni richiesta nel suo thread originale. A me la scelta sembrerebbe quasi obbligata (ogni richiesta nel proprio thread) e qualcuno ha espresso un parere favorevole, ma tutto questo ovviamente conta poco: andrebbe presa una decisione ufficiale.