PDA

View Full Version : O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll


Cinamone
03-01-2009, 10:01
Salve a tutti sono nuovo del forum e sono un nubbio, come dite voi. Da ex utilizzatore di NIS 2005 ho voluto provare l'emozione del free e dopo 6 mesi questo è il risultato. Io lavoro su un notebook hp pavillion zv6000 AMD based con Windows XP Home SP3 e sono connesso ad Alice ADSL con il vecchio modem della pirelli. Dopo varie letture ho installato Avira Free, Commodo FW (l'ultima versione con l'antivirus non attivato), Spybot S&D, Open DNS e Spamhilator perchè uso outlook express (con Freepops). Per prova ho installato thuderbird di mozilla ma lì sono iniziati (o meglio mi sono accorto di avere) i problemi perchè non riuscendo a vedere i miei account ho disinstallato e reinstallato sia spamhilator che CF. La nuova installazione di CF mi ha portato (per bloccare le varie porte) a scaricare WWDC e NVT_Windows_Securer e proprio "giocando" con WWDC mi è apparso il primo avviso (l'inizio della fine) che mi diceva di avere SVCHOST.exe (mannaggia a svchost) che occupava troppa memoria per cui avevo un virus e dovevo fare uno scanner...me ne sono fregato ma il giorno dopo:
1) mi appare una finestra di Windows che mi chiede di connettermi con il mio account di Hotmail (da anni chiuso)
2) Open DNS si sconnette
3) sparisce la finestra di Freepops
a sto punto faccio uno scanner con avira, che non mi rileva nulla, e poi uso hijackthis che invece mi evidenzia: O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll- soluzione o usi spybot S&D (fatto) o LSPfix (fatto) ma la situazione non cambia
disperato cerco su google ma trovo solo un rimando a voi: è una settimana che faccio quanto richiesto dalla guida e sinceramente non ne posso più. Ho tolto il punto di ripristino, ho usato ATF Cleaner, ho usato Malware AM (log mbam-log-2008-12-31 (07-58-52).txt (http://wikisend.com/download/205500/mbam-log-2008-12-31 (07-58-52).txt)
A2free a2scan_081231-081413.txt (http://wikisend.com/download/572952/a2scan_081231-081413.txt)
F-secure logfsecure.txt (http://wikisend.com/download/545862/logfsecure.txt)
Dr WebCureIT cureit filtrato.txt (http://wikisend.com/download/932428/cureit filtrato.txt)
ESET sysInspector SysInspector-YOUR-A47779BE2C-090102-1903.xml (http://wikisend.com/download/893784/SysInspector-YOUR-A47779BE2C-090102-1903.xml)
Hijackthis hijackthis.log (http://wikisend.com/download/100934/hijackthis.log)
Gmer gmer.log (http://wikisend.com/download/949222/gmer.log)
PrewxCSI prewcsi.log (http://wikisend.com/download/607290/prewcsi.log) http://img71.imageshack.us/img71/6595/immaginerd3.th.jpg (http://img71.imageshack.us/my.php?image=immaginerd3.jpg)
e usato ADS scanner di cui non ho log
che devo fare? Vi avviso che nell'attesa (dopo aver cancellato i programmi sospetti) torno a Norton
Ciao Daniele

Cinamone
04-01-2009, 07:59
ho notato riutilizzando lspfix che nella finestra mi appare usage.lsp.dll (protocol handler) http://img141.imageshack.us/img141/5388/immaginebf0.jpg (http://img141.imageshack.us/my.php?image=immaginebf0.jpg)
http://img141.imageshack.us/img141/immaginebf0.jpg/1/w1024.png (http://g.imageshack.us/img141/immaginebf0.jpg/1/)
che faccio lo rimuovo? però ho tolto punto di ripristino per cui se qualcosa va male... che mi consigliate?

Cinamone
10-01-2009, 07:35
nel ringraziarvi per i consigli che mi avete dato credo che per gente come me NIS 2009 sia la suite perfetta: leggera, di facile gestione, e abbastanza sicura. Certo costa un po' (ma la versione trial dura 140 giorni!!) ma credo che fare andare il pc per una settimana per eseguire 9-10 scansioni, senza poterlo usare per la normale attività e alla fine scoprire che nessuno sa cosa c'è che non va... bè lascio a voi le conclusioni
cordialità
Daniele

wjmat
10-01-2009, 07:59
ciao

Fai controllare su www.virustotal.com e su http://virscan.org/
C:\Programmi\Alien Terminator\Uninstall.exe
C:\Programmi\JetAudio\JetFlExt.dll
C:\Programmi\FreePOPs\libfp.dll



Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)
Alla fine della verifica rimetti le impostazioni originali




Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [OpenDNS Update] "C:\Programmi\OpenDNS Updater\OpenDNS Updater.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://posta.asl19.asti.it/iNotes6.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1160251940734
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://support.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab


per quanto riguarda la voce 010 mi sembra siano quasi 2 anni che tu l'abbia, sempre che sia lo stesso pc...
http://www.pc-facile.com/forum/viewtopic.php?f=7&t=77487&sid=92b9fbbcbc44c2193e573dc3874bfa3a

Cinamone
11-01-2009, 21:23
jet audio e alien terminator li ho cancellati mentre continuo ad usare freepops. Domani farò lo scan su quel file dll di frepops come il controllo con hijackthis. Il rimando che mi fai al forum di pc-facile è dello stesso periodo della richiesta di aiuto in questo forum (stesso nickname) solo che tra quella richiesta e questa sono passati i giorni degli interminabili scan! Grazie comunque della risposta ti farò sapere
Daniele

xcdegasp
12-01-2009, 08:24
per quanto riguarda la voce 010 mi sembra siano quasi 2 anni che tu l'abbia, sempre che sia lo stesso pc...
http://www.pc-facile.com/forum/viewtopic.php?f=7&t=77487&sid=92b9fbbcbc44c2193e573dc3874bfa3a

si è registrato 2 anni fa ma il thread lo aveva aperto il 30/12/08 17:50 :D

wjmat
12-01-2009, 08:34
si è registrato 2 anni fa ma il thread lo aveva aperto il 30/12/08 17:50 :D

si mi ero poi accorto ieri :D

Cinamone
12-01-2009, 18:47
allora questi sono i link per l'unico file che ho ancora nel pc (freepops in uso quotidiano)
http://www.virustotal.com/it/analisis/82c84fe5cde7cb2ad69a221621b1d22c
http://virscan.org/report/ebd7ff3727406fec96ddd4fba7908710.html

per quanto riguarda i fix per hijack ho la massima fiducia in quello che mi dici ma non ho ancora riattivato il punto di ripristino per cui mi riservo di capirci di più anchè perchè preferisco avere eraser, unlocker, freepops e opendns già attivi (mentre posso anche disinstallare daemon tools lite) e non vorrei ritrovarmi con problemi con microsoft se tolgo VGA etc (e poi il mio problema era l'unknow file non il resto e unknow file rimane tale)
aspetto tuoi commenti
Daniele

wjmat
12-01-2009, 19:06
hai fixato le voci indicate con hjt?
riscontri altri problemi?

Cinamone
12-01-2009, 22:12
no, non ho fixato le voci che mi hai indicato ma ho fatto uno scan del file usage.lsp.dll
http://www.virustotal.com/it/analisis/de97285e200cc6901a4463c988f91ab6
http://virscan.org/report/981a5f1cc6373e77600ec422f19ac650.html
e non mi pare ci siano problemi
mi sa che alla fine non avevo niente e probabilmente alla fine del trial norton tornerò alla mia suite free
grazie lo stesso
Daniele

xcdegasp
12-01-2009, 23:10
le voci O4 si riferiscono alle esecuzioni automatiche all'avvio del pc, fixare tali voci non compromette nessun programma bensì stoppa solamente tale esecuzione, per quanto riguarda le O16 vengono eliminati gli activeX installati tali oggetti (come i certificati delle sessioni di lavoro https) vengono ad ogni visita riscaricati e reinstallati pertanto fixare tali voci è solo benevolo per la privacy e una forma di pulizia.

Cinamone
13-01-2009, 07:20
la spiegazione che mi mancava... stasera provo poi vi dico

Cinamone
14-01-2009, 07:01
fissate le voci indicate, riavviato il sistema e questo è il log di hijack
hijackthis.log (http://www.fileqube.com/file/mEJzTqqzg165724)
come va?
Attendo notizie
ps: dopo tutti gli scan, l'eliminazione dei file sospetti, l'azzeramento della suite free e il passaggio a norton per ora non ho più problemi

xcdegasp
14-01-2009, 09:53
fai la scansione con a-squared free, malwarebytes e prevxCSI tanto da essere sicuri: segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Cinamone
14-01-2009, 13:02
vabbè che sono un utonto ma la procedura l'avevo seguita prima di aprire questo topic. Adesso le possibilità sono 2: o ripubblico i log iniziali (anche se nel frattempo ho disinstallato parecchi programmi) oppure lascio perdere perchè non ho un'altra settimana da dedicare ai vari scan... è uno scherzo il tuo messaggio vero?
Daniele

wjmat
14-01-2009, 13:11
fixa
O20 - AppInit_DLLs:

questi dns erano gli stessi di prima? (il log di prima non è più reperibile)
NameServer = 208.67.222.222,208.67.220.220

Cinamone
14-01-2009, 15:06
sì è l'accesso a Open DNS (se guardi sul topic di pc-facile a cui tu facevi riferimento qualche risposta fa c'è il log di hijackthis del 30-12-08 e i dns sono quelli)
Ciao

Cinamone
15-01-2009, 18:59
fai la scansione con a-squared free, malwarebytes e prevxCSI tanto da essere sicuri: segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

allora ho mantenuto disattivato il punto di ripristino
ho fatto un primo scan con ADSscanner non ho il log ma non c'era nulla
ho fatto una pulizia delle cartelle con ATF
ho fatto lo scan con malaware > mbam-log-2009-01-15 (07-51-33).txt (http://www.fileqube.com/file/mwJeRtGG166224)
ho fatto loscan con a2free > a2scan_090115-082120.txt (http://www.fileqube.com/file/dyoGoL166225)
ho fatto un nuovo scan co hj > hijackthis.log (http://www.fileqube.com/file/NCNbRujJ166226)
ed infine con prewcsi > prewcsi.log (http://www.fileqube.com/file/PFoUrM166227)
però adesso basta
Norton funziona e io sono contento
e il problema usage.lsp.dll nessuno sa risolverlo
ciao alla prossima

xcdegasp
15-01-2009, 22:25
allora ho mantenuto disattivato il punto di ripristino
ho fatto un primo scan con ADSscanner non ho il log ma non c'era nulla
ho fatto una pulizia delle cartelle con ATF
ho fatto lo scan con malaware > mbam-log-2009-01-15 (07-51-33).txt (http://www.fileqube.com/file/mwJeRtGG166224)
ho fatto loscan con a2free > a2scan_090115-082120.txt (http://www.fileqube.com/file/dyoGoL166225)
ho fatto un nuovo scan co hj > hijackthis.log (http://www.fileqube.com/file/NCNbRujJ166226)
ed infine con prewcsi > prewcsi.log (http://www.fileqube.com/file/PFoUrM166227)
però adesso basta
Norton funziona e io sono contento
e il problema usage.lsp.dll nessuno sa risolverlo
ciao alla prossima

sì infatti se non fosse per hijackthis non c'è nulla di anomalo :)

Cinamone
16-01-2009, 15:54
bè speriamo in bene, stavo cercando di capire se quella .dll può essere legata ad alice adsl o ad IQlite (sinceramente scan con hijack è un po' che ne faccio soprattutto da quando avevo disdetto NIS 2005 e non ricordo di aver mai notato questo problema se non appunto dopo aver scaricato IQ, ma anche l'aggiornamento di Comodo FW, Alien Terminator... tra l'altro lo stesso problema l'ho riscontrato nel notebook della mia fidanzata -un sony pavillion 512MB Intel based- dove più o meno ho scaricato le stesse cose, ma lei non ha problemi e NIS 2009 non ha trovato un gran che)
mah... ma se seguissi il consiglio di Hj cioè usassi lspfix PER CANCELLARE usage.lsp.dll a quale problema potrei andare incontro se fosse una dll legittima? Reistallazione di winzoz?
Help please