Ciao, ritorno per la seconda volta in questa sezione a chiedere aiuto,

da quando ho installato i driver per delle cuffie nuove della Creative, ogni tanto mi si apre una nuova pagina in Firefox da sola automaticamente, che ha il seguente indirizzo: _http://creative.adsrevenue.net/default/partnerBudsinc.php

In realta' dalla barra vedo che il primo collegamento ad essere aperto e' un altro, ma questa e' la pagina finale (e il reindirizzamento e' troppo veloce per catturarlo).

Ecco tutti i log dopo aver seguito la guida:

Malwarebytes Anti-Malware >> http://www.mediafire.com/?mixxj9zymsq
A-Squared Free >> http://www.mediafire.com/?i5djjmjjyzt
F-Secure OnLine >> http://www.mediafire.com/?mtmlgjqymzz
Dr.Web CureIT >> http://www.mediafire.com/?jmchmzr41zn
ESET SysInspector >> http://www.mediafire.com/?iymizmizdzd
HiJackThis >> http://www.mediafire.com/?54jkrmkvmv5
Gmer >> http://www.mediafire.com/?nvmmwzimzeu

Il programma PrevxCSI non ha trovato niente.

A-Squared mi ha trovato questi file:

http://img66.imageshack.us/img66/1435/anonimomi0.jpg

Posso togliere dalla quarantena il primo, il secondo ed il quarto?

Il primo e' un file di un programma audio, il secondo e' un file del gioco The Witcher, il quarto e' un file di un programma di diagnostica del procio.

Che faccio? >_<

ciao




Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab


Fai controllare i file dubbi su www.virustotal.com e su http://virscan.org/

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)
Alla fine della verifica rimetti le impostazioni originali

Ecco il log di HJ: http://www.mediafire.com/?my4vtkfdtoe

I fix di Acronis True Image non li ho fatti, tempo fa ho provato a mettere su "Manuale" i servizi corrispondenti per farli partire solo quando avessi avviato il programma, ma facendolo non si avviava proprio, dava errore, e andando a leggere sul forum ufficiale non si poteva fare e bisognava mantenerli attivi.

Quindi se li fixo con HJ non li fara' partire all'avvio e non potro' piu' eseguire il programma giusto? Perche' a quanto ho capito il fix fa la stessa cosa che disabilitare i servizi?

Per i file sospetti da controllare sui due siti online intendi quelli che mi ha dato A-squared?

Grazie mille.

EDIT: in A-squared sono stati messi in quarantena, per controllarli va bene se uso il pulsante "salva copia" nel programma, li salvo sul Desktop, levo l'estensione .DAT e li invio ai due siti online? E' la stessa cosa?

EDIT2: ho fatto come ho scritto, ed ecco i risultati:

File Run.exe:
http://www.virustotal.com/it/analisis/8c9b5e145b7a5716cbdf7cd1bfe7ec46
http://virscan.org/report/75d94560c52bee129b98c327e92cf985.html

File protect.exe:
http://www.virustotal.com/it/analisis/22f841e15fa9d9df99c4b63e4373d462
http://www.virscan.org/report/b3220a077f8dd955d0404cd359961b95.html

File: svchost.exe
http://www.virustotal.com/it/analisis/0e74e7255ff19f0822ecf34934dc9f24
http://www.virscan.org/report/f0eb29d67d7627a01b367ce68b54e9f0.html

File dmserver.dll:
http://www.virustotal.com/it/analisis/1f4b0ee96df12719dca00f9ccf5de521
http://www.virscan.org/report/3d4f9413db1c2e72faeea68571460aeb.html

svchost.exe sembra ok

degli altri non me ne piace nemmeno uno, però dipende da dove sono stati recuperati questi programmi/giochi...

aspettiamo comunque il parere di chill e deg

fixare le o4 non fa partire i processi ma i servizi partono comunque poichè sono nelle voci 023, vedi tu che lasciare

dmserver non ho idea di cosa sia/da dove provenga.

Atmosphere Deluxe l'ho appena cancellato tanto non lo usavo.

svchost sta in quarantena, possibile mi funzioni il pc senza problemi? Non dovrebbe essere un processo importante/vitale?

Aspetto allora il parere di chill e deg.

Per le o4: e' possibile fixarli, vedere se il programma funziona e se nn va ripristinare i fix? Se sì, come?

Grazie ancora.

dmserver non ho idea di cosa sia/da dove provenga.

Atmosphere Deluxe l'ho appena cancellato tanto non lo usavo.

svchost sta in quarantena, possibile mi funzioni il pc senza problemi? Non dovrebbe essere un processo importante/vitale?

Aspetto allora il parere di chill e deg.

Per le o4: e' possibile fixarli, vedere se il programma funziona e se nn va ripristinare i fix? Se sì, come?

Grazie ancora.

per il ripristino del fix vedi bigino in firma
attendiamo gli altri pareri

fixa:

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O8 - Extra context menu item: Scarica link utilizzando Mega Manager... - C:\Programmi\Mega Manager\mm_file.htm
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab


non vedo antivirus installato :)

Grazie per la risposta, allora, facendo con calma e vedendo se ci sono problemi, ho fixato questi:

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
Ma al riavvio ne ho trovati due tra i processi, non sono spariti.

Come mai?

Ecco il log dopo il riavvio: http://www.mediafire.com/?wzc2ymmdeko

Appena ricevo una risposta continuo a fixare il resto.

Grazie ancora.

EDIT: in realta' i due processi che si avviano non corrispondono a questi fixati ora che ho visto meglio, non si puo' fixare nient'altro che me li tolga dall'avvio automatico (come questi fix appena fatti)?

http://img132.imagevenue.com/aAfkjfp01fo1i-3646/loc981/84525_Anonimo_122_981lo.jpg

EDIT2: inoltre, di questi

http://img66.imageshack.us/img66/1435/anonimomi0.jpg

rimane svchost e dmserver, che per il momento sono in quarantena, che ci faccio?

EDIT3: ho fixato tutto quello he mi avete detto e non ho avuto problemi.

Pero' il link maledetto mi ciccia ancora fuori, insomma non si e' risolto, facendoci piu' attenzione mi si apre (in una nuova finestra) quando clicco sulle stringhe dove devo scrivere qualcosa da cercare (tipo motore di ricerca insomma).

:(

EDIT4: questo e' l'ultimo log (fatto ora dopo tutti i fix) di HJ: http://www.fileqube.com/file/DxhwKAP165595

Fai Start → esegui → digita services.msc (invio)
Cerca i servizi di acronis li selezioni → click dx proprietà → seleziona arresta → sotto Tipo di avvio seleziona manuale → OK

adaware rimuovilo

non vedo ancora sp3

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

cmq se non installa un antivirus e firewall è tutto tempo perso

Fai Start → esegui → digita services.msc (invio)
Cerca i servizi di acronis li selezioni → click dx proprietà → seleziona arresta → sotto Tipo di avvio seleziona manuale → OK

adaware rimuovilo

non vedo ancora sp3

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Sto usando combofix, mi ha cihesto di riavviare il pc, ha riavviato e si vede solo la finestra blu del programma (senza nessuna icona sul desktop), e c'e' scritto "Attendere prego", sta così da 20 min circa, quanto dovrebbe durare in genere?

dipende da quanto sei infetto e da altri fattori, dagli ancora tempo

Uff, ci dev'essere stato qualche papocchio tra Avir, Online Armor e ComboFix.

Andando con ordine:

ho messo il SP3, ho installato Antivir e Online Armor, appena scaricato ComboFix Antivir lo segnala come file infetto.

Domanda: l'unico modo di evitare che si apra la finestrella che indica il file come infetto e' aggiungere il file nelle eccezioni dello scanner e del guard?

Perche' io ho provato a mettere sempre su ignore, ma la finestra ciccia fuori ogni 20 secondi...

Poi le istruzioni di combofix dicevano di togliere firewall e antivirus, ed e' quello che ho fatto, il problema probabilmente e' venuto quando ha riavviato e automaticamente si saranno riaperti al riavvio antivir e OA da soli? Tutto questo lo suppongo perche' mentre si rimaneva aperta la finestrella blu di Combofix la Barra delle Applicazioni era assente.

Durante tutto il tempo che la finestra era rimasta aperta dal riavvio, non dava piu' le scritte come prima del riavvio (quelle in cui dava informazioni sui file cancellati e non so cosa).

Fatto sta che ho forzato il riavvio e non funzionava piu' niente, ho dovuto ripristinare il backup con Acronis.

Ora chiedo: per usare combofix allora e' meglio disabilitare antivirus e firewall da msconfig? Così non dovrebbero riavviarsi al riavvio del pc a meno che non li riabiliti io?

Aspetto conferme o smentite. Tnx.

Uff, ci dev'essere stato qualche papocchio tra Avir, Online Armor e ComboFix.

Andando con ordine:

ho messo il SP3, ho installato Antivir e Online Armor, appena scaricato ComboFix Antivir lo segnala come file infetto.

Domanda: l'unico modo di evitare che si apra la finestrella che indica il file come infetto e' aggiungere il file nelle eccezioni dello scanner e del guard?

Perche' io ho provato a mettere sempre su ignore, ma la finestra ciccia fuori ogni 20 secondi...

Poi le istruzioni di combofix dicevano di togliere firewall e antivirus, ed e' quello che ho fatto, il problema probabilmente e' venuto quando ha riavviato e automaticamente si saranno riaperti al riavvio antivir e OA da soli? Tutto questo lo suppongo perche' mentre si rimaneva aperta la finestrella blu di Combofix la Barra delle Applicazioni era assente.

Durante tutto il tempo che la finestra era rimasta aperta dal riavvio, non dava piu' le scritte come prima del riavvio (quelle in cui dava informazioni sui file cancellati e non so cosa).

Fatto sta che ho forzato il riavvio e non funzionava piu' niente, ho dovuto ripristinare il backup con Acronis.

Ora chiedo: per usare combofix allora e' meglio disabilitare antivirus e firewall da msconfig? Così non dovrebbero riavviarsi al riavvio del pc a meno che non li riabiliti io?

Aspetto conferme o smentite. Tnx.
teoricamente basta disattivarli dall'icona accanto all'orologio
di oa avevi attivo sia firewall che controllo programmi?
che errore dava all'avvio?

Al riavvio (dopo il riavvio forzato perche' ComboFix si era impantanato), non c'era piu' l'avvio veloce, i programmi che si avviavano all'avvio (anywallpaper, antivir, OA, i controlli volume, insomma ogni cosa) non si avviavano piu', se provavo ad avviare qlss programma, sia questi che firefox ad esempio, si apriva una finestra con il segnalino rosso di errore che mi diceva che non si potevano aprire (messaggio preciso non ricordo).

Ora, quando riavvio il pc mi da una BSOD, il codice della schermata e':

STOP: 0x000000F4 (0x00000003, 0x8A17E020, 0x8A17E194, 0x805D297C)

L'evento:

http://img374.imageshack.us/img374/5706/anonimopi8.jpg

teoricamente basta disattivarli dall'icona accanto all'orologio
Ma facendo così rimangono tutti e due disattivati anche al riavvio? O si riavviano e si attivano da soli? Perche' non potevo neanche controllare, la barra delle applicazioni non c'era proprio. Pero' i processi in bg si possono sempre avviare penso.

EDIT: ho arrestato il sistema e mi ha dato questo errore:

STOP: 0x000000F4 (0x00000003, 0x8A26E890, 0x8A26EA04, 0x805D297C)

Le parti in grassetto sono uguali alla stringa della precedente BSOD.

Leggermente diverso anche il mess dell'evento: http://img56.imageshack.us/img56/1908/anonimolb2.jpg

Il messaggio e questo, cambia solo la stringa dell'errore: http://img104.imageshack.us/img104/9793/dsc01333jl6.jpg, questa foto non l'ho fatta io.

a quando risale l'immagina ripristinata di acronis?
puo darsi che gli manchino driver di periferiche aggiunte successivamente?

carica un nuovo log di hjt

Non e' possibile, l'immagine l'ho creata stamattina, appena installati SP3, Antivir e OA.

Log di HJ: http://www.fileqube.com/file/cgjxzhhWC165794

Sto provando ad escludere da msconfig antivir e oa per vedere se sono loro a creare problemi. Mi sa che devo provare a disinstallarli, due processi di oa rimangono cmq in avvio nel task.

EDIT: ho disinstallato antivir e OA e il problema e' scomparso.

Penso sia stato per OA, dopo aver visto che l'apprendimento manuale o come si chiama dava fiducia a molti processi/programmi che non volevo far connettere a internet, ho messo a tutta la lista "non fidato" e "chiedi", probabilmente c'e' stato qualche papocchio perche' non funziona solo da firewall tradizionale (accesso a internet) ma permette/non permettere ai programmi o processi di modificare qualsiasi cosa.

L'unica soluzione allora e' spulciarsi la lista e non permette ai programmi che voglio io in particolare di non connettersi immagino...

Ripristino il backup ancora una volta, aggiusto OA, e uso ComboFix,

l'unica cosa che mi chiedo e' quella che ho gia' scritto sopra:
Disattivandoli dal loro menu cliccando col dx sulla loro tray icon, rimangono poi disattivati anche al riavvio? O si riavviano e si attivano da soli? Perche' non potevo neanche controllare, la barra delle applicazioni non c'era proprio. Pero' i processi in bg si possono sempre avviare penso.

Perche' senno' si impapocchia di nuovo lol.

sicuramente OA appena installato impone delle grosse restrizioni, facilmente sbloccabili con il learning mode

la barra non la vedevi più perchè avevi già lanciato combo immagino?

avevi provato a riavviare in modalità provvisoria?

ora non ho sottomano entrambi i programmi..., prova a disabilitarli solo dalla tray e riavviare senza usare combo così verifichi il successivo riavvio

altrimenti da msconfig togli la spunta agli eseguibili e ai servizi

se chiudi completamente OA e disabiliti l'antivirus al riavvio saranno attivi nuovamente :)

la barra non la vedevi più perchè avevi già lanciato combo immagino?

Io ho chiuso OA e disabilitato Antivir cliccando sulla tray di quest'ultimo e levando la spunta alla voce del Guard.

Ho avviato ComboFix e ha iniziato a darmi dei risultati su file cancellati e nn so cos'altro.

Poi ha chiesto di riavviare, ho premuto ok o un tasto, nn ricordo com'era precisamente, e il pc si e' riavviato, al riavvio si e' aperta solamente la finestra blu di ComboFix, la barra delle applicazioni non e' comparsa, e aveva scritto sopra "Attendere prego", e nn si e' mosso per mezz'ora, ho riavviato spegnendo a forza il pc (prima ero entrato nel task manager con ctrl-alt-canc e avevo provato ad avviare explorer come processo, per poter aprire firefox e postare qua, ma explorer ne' firefox si avviavano dandomi errore).

Una volta riavviato ci sono stati i problemi che vi ho detto.

Probabilmente mentre Antivir e' rimasto disabilitato al riavvio (ma non ne sono sicuro domani controllo se rimane disabilitato togliendo semplicemente la spunta), OA invece no.

E s'e' impallato tutto.

Quindi probabilmente si disabilita anch'esso dal suo menu a tendina, e probabilmente rimane disabilitato anche al riavvio.

Domani provo a fare come ho scritto, se rimangono cmq attivi uso l'msconfig, e poi vado di ComboFix e postero' il log.

avevi provato a riavviare in modalità provvisoria?

Ma quando ComboFix mi dice di riavviare, ammettendo di aver levato firewall e antivirus e connessione a internet, quando riavvia automaticamente devo far andare il pc in modalita' provvisoria, oppure lo faccio riavviare normalmente e pensa a tutto ComboFix?

Io ho chiuso OA e disabilitato Antivir cliccando sulla tray di quest'ultimo e levando la spunta alla voce del Guard.

Ho avviato ComboFix e ha iniziato a darmi dei risultati su file cancellati e nn so cos'altro.

Poi ha chiesto di riavviare, ho premuto ok o un tasto, nn ricordo com'era precisamente, e il pc si e' riavviato, al riavvio si e' aperta solamente la finestra blu di ComboFix, la barra delle applicazioni non e' comparsa, e aveva scritto sopra "Attendere prego", e nn si e' mosso per mezz'ora, ho riavviato spegnendo a forza il pc (prima ero entrato nel task manager con ctrl-alt-canc e avevo provato ad avviare explorer come processo, per poter aprire firefox e postare qua, ma explorer ne' firefox si avviavano dandomi errore).

Una volta riavviato ci sono stati i problemi che vi ho detto.

Probabilmente mentre Antivir e' rimasto disabilitato al riavvio (ma non ne sono sicuro domani controllo se rimane disabilitato togliendo semplicemente la spunta), OA invece no.

E s'e' impallato tutto.

Quindi probabilmente si disabilita anch'esso dal suo menu a tendina, e probabilmente rimane disabilitato anche al riavvio.

Domani provo a fare come ho scritto, se rimangono cmq attivi uso l'msconfig, e poi vado di ComboFix e postero' il log.



Ma quando ComboFix mi dice di riavviare, ammettendo di aver levato firewall e antivirus e connessione a internet, quando riavvia automaticamente devo far andare il pc in modalita' provvisoria, oppure lo faccio riavviare normalmente e pensa a tutto ComboFix?
in c non hai già il log di combo?
se avvii in modalità provvisoria antivirus e firewall non dovrebbero partire

i problemi che avevi si ripresentano ancora?

in c non hai già il log di combo?
se avvii in modalità provvisoria antivirus e firewall non dovrebbero partire

i problemi che avevi si ripresentano ancora?

In C non c'e' piu' niente, e prima non ho controllato, come ho detto ho ripristinato il backup fatto prima di usare CF.

Se avvio in modalita' provvisoria quando ComboFix mi riavvia il pc, cmq ComboFix prosegue nel suo lavoro e fa quello che deve fare?

I problemi non ci sono piu', ho disinstallato, OA, reinstallato e dato delle impostazioni piu' flessibili.

Rimane questo cmq:

http://img93.imageshack.us/img93/8395/anonimonp2.jpg

Che ci faccio con questi due processi?

I risultati che ho gia' postato sono questi:

File: svchost.exe
http://www.virustotal.com/it/analisis/0e74e7255ff19f0822ecf34934dc9f24
http://www.virscan.org/report/f0eb29d67d7627a01b367ce68b54e9f0.html

File dmserver.dll:
http://www.virustotal.com/it/analisis/1f4b0ee96df12719dca00f9ccf5de521
http://www.virscan.org/report/3d4f9413db1c2e72faeea68571460aeb.html

finchè stanno in quarantena non danno nessun problema e potrai ripristinare la situazione se tu avessi problemi...
ma svchost.exe chiè che lo vedeva infetto?

A-squared free mi ha trovato questi due file, ora sono in quarantena e il pc funziona a dovere a quanto pare.

Vuol dire che se non ho problemi li posso cancellare?

il file svchost.exe sembrerebbe non più identificato come maligno, il problema rimarrebbe sul secondo :)

svchost l'ho ripristinato, il secondo a quanto pare e' realmente un malware, anche Antivir me lo trova infetto.

Il problema e' che serve per riconoscere e gestire nuove unita' logiche, quindi mi servirebbe il file pulito.

Ho letto qua (http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.security.virus&tid=553031ec-c244-435e-a994-5655e2959308&cat=&lang=&cr=&sloc=&p=1).

Devo seguire questi (http://www.azpoint.net/news/Consigli_per_PC_5096.asp) comandi probabilmente.

Uff, devo recuperare il cd di win. :(

magari ne hai copie sane in altre cartelle

Fai start -> esegui -> digita cmd (invio)
Nella finestra di dos digita in successione e batti invio
cd %windir%
dir /s dmserver.dll >c:\file-trovati.txt

poi carica il file c:\file-trovati.txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccandio sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

svchost l'ho ripristinato, il secondo a quanto pare e' realmente un malware, anche Antivir me lo trova infetto.

Il problema e' che serve per riconoscere e gestire nuove unita' logiche, quindi mi servirebbe il file pulito.

Ho letto qua (http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.security.virus&tid=553031ec-c244-435e-a994-5655e2959308&cat=&lang=&cr=&sloc=&p=1).

Devo seguire questi (http://www.azpoint.net/news/Consigli_per_PC_5096.asp) comandi probabilmente.

Uff, devo recuperare il cd di win. :(

usa FindAWF che fai prima ;)
http://noahdfear.geekstogo.com/FindAWF.exe
eseguiilo con l'opzione 1

con awf li trovi solo se ci sono di mezzo le bak no?

da dos verifichiamo tutte le cartelle dei sp dllcache e simili vedi allegato

e chi esclude che sia in una bak?

68302


L'altro eseguibile mi da':

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

prova a far controllare le altre due copie, anche solo su virustotal

prova a far controllare le altre due copie, anche solo su virustotal

La prima:
http://www.virustotal.com/it/analisis/875a4c12a4c579eaa56fead2c41f4c26
http://www.virscan.org/report/4af0b8b3623fd0f2360ec4afcc71b1ed.html

La seconda:
http://www.virustotal.com/it/analisis/b925352a3d742a8c191fb1693497bdb1
http://www.virscan.org/report/dfcf4ad576a20cf17c78a66994b1fdb5.html

Cmq ora e' cicciato fuori questo errore: http://support.microsoft.com/kb/885859/it

quando ho tentato di condividere una cartella.

Sono andato sui servizi e ho avviato manualmente, eppure l'svchost l'ho ripristinato dalla quarantena... che centri anche il dmserver.dll?

http://img86.imageshack.us/img86/1117/anonimons6.jpg

Vedro' meglio al prossimo riavvio se mettendo qlcs in condivisione mi rida' il medesimo errore.

--

Che faccio copio a mano uno dei due file nella cartella da dove e' stato pescato quello in quarantena? Si puo' fare?

Alla fine l'ha ricreato da solo Win quando ho riattivato il servizio.

Giorni fa mi hai scritto:
adaware rimuovilo
Non e' buono per rimuovere gli spyware adaware? Perche' dici di rimuoverlo?

non più come una volta, tieni solamente quelli consigliati nel trattamento in firma