@mabocrack

dovevi eventualmete far analizzare questa rvse32.dll su virustotal non winlogon.exe
ma questa voce l'avevi fixata quando ti è stato richiesto la prima volta :mbe:
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

File winlogon.exe received on 12.03.2007 14:51:39 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/32 (0%)

nn avevo letto il log di virus total,anche xchè l'hai postato dopo o almeno io nn l'avevo visto..
winlogon.exe :confused:
io e gli altri avevamo parlato di questa voce:
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

credo tu sia infetto da backdoor o simile....xò è meglio aspettare il responso dei "dottori" della sezione

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

te lo dico in tutta sincerità, sei ancora al SP1 dici che non puoi aggiornare l'SO quindi iniziare una procedura di disinfezione è tempo perso anche per te, mi dispiace.

devo postare di nuovo altrimenti nessuno legge! :D :D :D

ragazzi qualcuno da gentilmente un occhiata al mio log? il computer portatile comincia a bloccarsi sempre più spesso eppure le varie scansioni con l'antivirus e gli antispywere non danno risultati negativi

camilla79

il log è pulito, se vuoi puoi velocizzare l'avvio del tuo pc fixando queste voci,ma è del tutto facoltativo:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programmi\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

Aggiorna INTERNET EXPLORER alla versione 7: clicca qui per il download (http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it)


Ciao

irissamy

il tuo pc si blocca in fase di avvio/caricamento oppure in generale?

grazie mille!! intendi spuntare quelle voci e poi premere fix checked??? :D

grazie mille!! intendi spuntare quelle voci e poi premere fix checked??? :D

Si, intendo proprio quello:cool:

in genere si blocca appena acceso, per esempio oggi l'ho acceso, poi ho aperto la pagina di internt explorer e già non si caricava molto lentamente, poi faccio per aprire i documenti e lo schermo si scolorisce ed esce il messaggio explorer.exe ha smesso di funzionare con le opzioni aspetta risposta del programma o chiudi programma. se faccio aspetta risposta del programma la risposta non arriva mai e lo devo resettare. se faccio chiudi programma windows va fuori uso e lo devo resettare comunque... succede quasi sempre appena viene acceso

irissamy segui TUTTE queste istruzioni:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
(start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

ecco le voci:
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
Sicuro Applicazione sconosciuta. Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
Sicuro Applicazione sconosciuta.
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\programmi\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: w98Eject.lnk = ?


adesso CCLEANER: clicca qui per il download (http://www.filehippo.com/download/file/9e3c824ea5022083c1931b103e41f61bd682110283e57f45850f9671f9d09c88//)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Aggiorna JAVA: pannello di controllo – java – in alto clicca su “aggiornamento” – in basso a destra clicca su “aggiorna adesso” – adesso segui le istruzioni.

Aggiorna ACROBAT READER: clicca qui per il downoaod ( http://www.versione-2008.com/pdf/index.asp?PID=5da65553-07f0-4ec6-988f-a31b0d92f992) oppure, meglio passa a FOXIT READER (molto più leggero e veloce e sicuro)

ora:

● Risorse del Computer
● tasto destro del mouse su Disco Locale C:
● Proprietà
● apri la sche Strumenti
● vai alla sezione Esegui Scandisk
● ti verranno proposte due alternative:
1 - Correggi automaticamente gli errori del file system
2 - Cerca i settori danneggiati ed esegui il ripristino
● metti la spunta sulla prima voce
● ti verrà richiesto il Riavvio (riavvia)
● una volta riavviato lo scan partirà in automatico, lo fai completare
● al termine riavvia

poi prosegui:

● Risorse del Computer
● tasto destro del mouse su Disco Locale C:
● Proprietà
● apri la sche Strumenti
● vai alla sezione Esegui Defrag
● e avvia la deframmentazione del disco (o delle eventuali partizioni)
● al termine riavvia

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, [B]non eliminare la cartella)

Adesso riavvia e allega un NUOVO log di HJT e vediamo se la situazione è migliorata :D

Ti aspetto

se ho cpt bene, tu chiedi consigli x ottimizzare windows?quale programmi utilizzare?ho cpt male?
se è cosi, nn credo che questo sia il 3d giusto....

2 pagine fa ho allegato un log di HJT, solo dopo e non sapendo dove farlo ho chiesto consigli su altre cose. Spero sia chiaro adesso, ciao

lo riallego

http://www.zshare.net/info.html?5349196-226ab40e0ad887012b0be786f63532be

@paolo-fcb: come mai hai scelto Max Registry Machine? Tra i più affidabili c'è jv16. Inoltre ho letto buone impressioni di RegSeeker.

@paolo-fcb: come mai hai scelto Max Registry Machine? Tra i più affidabili c'è jv16. Inoltre ho letto buone impressioni di RegSeeker.

Infatti l'ho subito disinstallato, non sapevo ne fosse rimasta traccia nel log.....:)
jv16 non lo conosco, RegSeeker un pochino ma mi pare siano a pagamento, correggimi se sbaglio.....
Ciao

2 pagine fa ho allegato un log di HJT, solo dopo e non sapendo dove farlo ho chiesto consigli su altre cose. Spero sia chiaro adesso, ciao

lo riallego

http://www.zshare.net/info.html?5349196-226ab40e0ad887012b0be786f63532be

credo che il log sia nella sostanza pulito,sicuramente c'è questa voce da fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

l'hai installato tu il toolbar della crawler? io ho imparato ad essere molto diffidente di questi tool,che spesso contengono spyware al loro interno...

una domanda:come mai tutti questi programmi di pulizia del registro?anche in questo caso,io ho imparato che meno si tocca il registro,meglio è, se nn in casi eccezionali,con guide attente e programmi piu che sicuri
se ti interessa un programmino nn troppo invasivo e capace di fare pulizie di registro,ti consiglio ccleaner...il mio è solo un parere ;)

EDIT: cosa ne pensi, nuz?

credo che il log sia nella sostanza pulito,sicuramente c'è questa voce da fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

l'hai installato tu il toolbar della crawler? io ho imparato ad essere molto diffidente di questi tool,che spesso contengono spyware al loro interno...

una domanda:come mai tutti questi programmi di pulizia del registro?anche in questo caso,io ho imparato che meno si tocca il registro,meglio è, se nn in casi eccezionali,con guide attente e programmi piu che sicuri
se ti interessa un programmino nn troppo invasivo e capace di fare pulizie di registro,ti consiglio ccleaner...il mio è solo un parere ;)

EDIT: cosa ne pensi, nuz?

Quella voce mi disse Glenda se non erro che se uso il Windows messenger è legittima, non so; il toolbar della Crawler no, me lo hanno messo sabato quando ho formattato, in effetti mi rompe un pò le scatole e pure quello lo leverei volentieri; sui vari programmi per il registro ti spiego: ho sempre usato solo auslogics boost-speed, ora Threatfire me lo ha bloccato e ne sto provando altri, ma non mi soddisfa nessuno, proverò magari i 2 elencati sopra da Nuz, ciao:)

ok:il verbo di glenda x me è sacro :D

x il toolbar della crawler,vedi se riesci a disinstallarlo normalmente

io, scusami se insisto, installare ccleaner che ti toglie tutta la sporcizia che rimane nel pc quando navighi in internet,sporcizia che puo essere molto pericolosa,xò se i programmi di Nuz fanno anche quello, tanto meglio ;)


ciao ciao

ok:il verbo di glenda x me è sacro :D

x il toolbar della crawler,vedi se riesci a disinstallarlo normalmente

io, scusami se insisto, installare ccleaner che ti toglie tutta la sporcizia che rimane nel pc quando navighi in internet,sporcizia che puo essere molto pericolosa,xò se i programmi di Nuz fanno anche quello, tanto meglio ;)


ciao ciao

Bè Glenda è Glenda, se non ci fosse dovremmo inventarcela........:)
Ccleaner ce l'ho, strano non risulti dal log, l'ho impostato a modino, in effetti anche un'altra persona mi disse perchè usare tutti sti programmi se il registro puoi pulirlo anche da lì, boh, questione di abitudini forse......
Ora si magari tolgo la Crawler, mi blocca tutto, uffa....:rolleyes:

Infatti l'ho subito disinstallato, non sapevo ne fosse rimasta traccia nel log.....:)

Sicuro che lo hai disinstallato? No, perchè dal log risulta ancora installato e attivo:
C:\Programmi\Max Registry Cleaner\MaxRCSystemTray.exe

Forse hai rimosso RegistryCleanerFix2007, che ora scopro essere un falso software, bensì è uno spyware o qualcosa di simile:

http://www.411-spyware.com/remove-registrycleanfix
http://www.symantec.com/en/aa/norton/security_response/writeup.jsp?docid=2007-102611-5103-99&tabid=1

Fixa questa voce:

O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Programmi\RegistryCleaner\RegistryCleaner.exe

Nel primo link trovi anche una piccola guida su come rimuoverlo.
Certo che te le vai a cercare.:D

Sicuro che lo hai disinstallato? No, perchè dal log risulta ancora installato e attivo:
C:\Programmi\Max Registry Cleaner\MaxRCSystemTray.exe

Forse hai rimosso RegistryCleanerFix2007, che ora scopro essere un falso software, bensì è uno spyware o qualcosa di simile:

http://www.411-spyware.com/remove-registrycleanfix
http://www.symantec.com/en/aa/norton/security_response/writeup.jsp?docid=2007-102611-5103-99&tabid=1

Fixa questa voce:

O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Programmi\RegistryCleaner\RegistryCleaner.exe

Nel primo link trovi anche una piccola guida su come rimuoverlo.
Certo che te le vai a cercare.:D

Hai ragione Nuz me ne sono accorto che ancora c'era.......
Grazie:)

Edit:
io quella voce non la trovo su HJT (O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Programmi\RegistryCleaner\RegistryCleaner.exe)
Ho eseguito la prima scelta e sono esente da spyware grazie a Dio, cmq ho spyware terminator.

Forse è meglio che posto un nuovo log?

@ Paolo adesso basta: non puoi pretendere che questa discussione (si tratta di allegare un log di HThis per farlo analizzare) sia la panacea di tutti i mali che ti travolgono.
Solo nell'ultimo mese, per una ragione o per l'altra, avrai pubblicato 60 log ..... converrai con me che questo non è normale.
Posso capire le tue apprensioni, ma devi anche capire che qui non ci sei solo tu e che, dopo tutti i suggerimenti che ti sono stati offerti, qualcosa dovresti avere, anche, appreso.
La prossima volta che ritieni di essere infetto: segui la procedura indicata nel Thread Regole di Sezione ed apri un post nella sottosezione generica Aiuto sono infetto.

P.S.: A TUTTI COLORO CHE FANNO ASSISTENZA IN QUESTA SEZIONE, SUGGERISCO:
1) fate riferimento a Glenda e Chill, quando è necessario;
2) se dai log si evince una infezione, dirottate, immediatamente, l'utente interessato, verso la sottosezione Aiuto sono infetto;
3) abbiate almeno cura di gestire il thread, risolvendo, in maniera cronologica, le eventuali richieste.

Ragazzi per favore date un'occhiata al log del mio amico,perchè lui non è capace a postare da solo.Grazie.

Ragazzi per favore date un'occhiata al log del mio amico,perchè lui non è capace a postare da solo.Grazie.

Da fixare queste voci dopo aver disattivato il Ripristino configurazione di sistema:


O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

La prossima volta, cerca di spiegare il problema che ha portato il tuo amico (o te) a fare una analisi del log.

hai ragione river :doh:
chiedo scusa

@ Paolo adesso basta: non puoi pretendere che questa discussione (si tratta di allegare un log di HThis per farlo analizzare) sia la panacea di tutti i mali che ti travolgono.
Solo nell'ultimo mese, per una ragione o per l'altra, avrai pubblicato 60 log ..... converrai con me che questo non è normale.
Posso capire le tue apprensioni, ma devi anche capire che qui non ci sei solo tu e che, dopo tutti i suggerimenti che ti sono stati offerti, qualcosa dovresti avere, anche, appreso.
La prossima volta che ritieni di essere infetto: segui la procedura indicata nel Thread Regole di Sezione ed apri un post nella sottosezione generica Aiuto sono infetto.

P.S.: A TUTTI COLORO CHE FANNO ASSISTENZA IN QUESTA SEZIONE, SUGGERISCO:
1) fate riferimento a Glenda e Chill, quando è necessario;
2) se dai log si evince una infezione, dirottate, immediatamente, l'utente interessato, verso la sottosezione Aiuto sono infetto;
3) abbiate almeno cura di gestire il thread, risolvendo, in maniera cronologica, le eventuali richieste.

River forse non ci siamo capiti; sabato siccome ho cambiato scheda video, master dvd e alimentatore ho anche formattato e partizionato, ho postato il log di HJT affinchè sia controllato e fixare le voci che vanno fixate come fanno tutti, stop, non sono infetto ho solo chiesto, per i motivi che ti ho detto prima, un nuovo controllo, tutto qui. Cosa c'è di strano?

River forse non ci siamo capiti; sabato siccome ho cambiato scheda video, master dvd e alimentatore ho anche formattato e partizionato, ho postato il log di HJT affinchè sia controllato e fixare le voci che vanno fixate come fanno tutti, stop, non sono infetto ho solo chiesto, per i motivi che ti ho detto prima, un nuovo controllo, tutto qui. Cosa c'è di strano?
Paolo quello che trovo strano è il tuo accanirti: hai fatto un upgrade del P.C., hai formattato ..... il P.C. dovrebbe essere, non pulito, ma strapulito.
L'aver eseguito un upgrade della machina, non pressupone, in alcun modo, problemi di tipo virale o altro (a meno che non si abbia tralascialo di aggiornare il sistema operativo .... ma non è il tuo caso.
Fine della questione.
Mettiti il cuore in pace, Paolo e, per favore, piantala di inondare questa discussione di log totalmente inutili ..... non ci sei solo tu.

Paolo quello che trovo strano è il tuo accanirti: hai fatto un upgrade del P.C., hai formattato ..... il P.C. dovrebbe essere, non pulito, ma strapulito.
L'aver eseguito un upgrade della machina, non pressupone, in alcun modo, problemi di tipo virale o altro (a meno che non si abbia tralascialo di aggiornare il sistema operativo .... ma non è il tuo caso.
Fine della questione.
Mettiti il cuore in pace, Paolo e, per favore, piantala di inondare questa discussione di log totalmente inutili ..... non ci sei solo tu.

Non mi sembra di accanirmi affato River, lo so che non ci sono solo io ma sono un utente come gli altri, quindi agisco di conseguenza, il fatto di aver formattato da 2 giorni non mi dice che sono pulito al 101% ed il log di HJT è altra cosa rispetto a tutto il resto, ora per favore modera i toni, stiamo andando off topic e questo non credo faccia piacere a nessuno, specie ai moderatori, hai la mia mail, hai il mio messenger, puoi scrivermi in pvt e allora se hai da dirmi qualcosa puoi farlo senza riempire il thread di HJT, questo vale anche per me ovviamente.
Amici come prima ok?
Paolo:)

però non si può questa volta recriminare nulla a "paolo-fcb", avrà sì avuto spesso problemi e magari qualche log poteva fare a meno di postarlo ma non è nemmeno corretto metterlo alla gogna per una sua fobia d'essere infetto.
per na' volta che abbiamo un utente che si interessa al suo pc in modo maniacale non è che ora dobbiamo metterlo alla forca!

inoltre devo rammentare che i toni non corretti vengono proprio da Riverside, che posso biasimare considerando il tempo che trascorre qui in quest'area ad aiutare tutti...
però bisogna cercare di trovare altre valvole di sfogo cosicchè da non "sbroccare" sul forum.

:)

A proposito dei problemi che ho avuto (ne parlo qui: http://www.hwupgrade.it/forum/showthread.php?t=1613137&page=2 ), posto ora il log di hijackthis (che trovate in allegato).
Vedete qualcosa di anomalo? Ricordo che non mi vanno più alcuni giochi e alcuni programmi, nonostante 3 formattazioni...

@Mike76

Edita (modifica) il tuo post ed allega il log secondo le seguenti regole:
le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come www.zshare.net .
Grazie

Ciao a tutti.
Il mio problema è questo:
dopo l'accensione del PC, il modem si connette correttamente alla linea ADSL Tiscali, come testimoniato dalla diagnostica del modem stesso.
Al primo tentativo di connessione internet ad un qualsiasi sito, la finestra inizia a caricare qualcosa, facendo apparire parte della pagina, per poi interrompere il caricamento e... buonanotte. Da quel momento qualunque tentativo di caricamento di qualunque sito è fatalmente destinato alla "pagina non trovata" dopo 1/2 secondo di attesa.
allego la scansione di Hijack, eseguita dopo avere seguito tutta la procedura che avete così gentilmente stilato e che ha dato esito completamente negativo.
Non so proprio più a che santo votarmi, tranne che "san Format".....
Grazie mille per l'aiuto.

55331

@Mike76

Edita (modifica) il tuo post ed allega il log secondo le seguenti regole:
le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come www.zshare.net .
Grazie


Scusatemi, non sapevo. Cmq ho corretto. ;)
Ne approfitto per chiedere un parere sul log... :)

Rispondo ad entrambi:
Disattivate il Ripristino configurazione di sistema, rilanciate Hthis e fixate le voci che vi indico per ognuno:

Scusatemi, non sapevo …. Ne approfitto per chiedere un parere sul log...
tu devi fixare queste:

O2 - BHO: (no name) - {ED203331-9C33-49D8-8714-D24A366A04EC} - C:\WINDOWS\system32\xxyvvut.dll

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O20 - Winlogon Notify: xxyvvut - C:\WINDOWS\SYSTEM32\xxyvvut.dll

Ciao a tutti.
Il mio problema è questo: dopo l'accensione del PC, il modem si connette correttamente alla linea ADSL Tiscali, come testimoniato dalla diagnostica del modem stesso.
Al primo tentativo di connessione internet ad un qualsiasi sito, la finestra inizia a caricare qualcosa, facendo apparire parte della pagina, per poi interrompere il caricamento e... buonanotte. Da quel momento qualunque tentativo di caricamento di qualunque sito è fatalmente destinato alla "pagina non trovata" dopo 1/2 secondo di attesa.
Tu devi fixare queste:

O4 - HKCU\..\Run: [Steam] "C:\Programmi\Steam\Steam.exe" –silent

O4 - Global Startup: BlueSoleil.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll (file missing)

Devi aggiornare, anche INTERNET EXPLORER

Ad entrambi suggerisco, anche, di prendere visione del Thread Regole di Sezione ed eseguire la procedura preliminare di pulizia che è indicata e, dopo, allegare, qui, un nuovo log di Hhits, per un ulteriore verifica.

Grazie per l'aiuto.
a tuo parere si tratta di un qualche tipo di infezione oppure no?

Riguardo le regole di sezione, già fatto prima di postare, ma stasera provvedo a ripetere la procedura.

ecco ho fatto tutto, ho seguito passo a passo le istruzioni di gle89, ho tolto acrobat reader e ho messo foxit reader e ho aggiornato il java e ho esso l'ultima versione di ccleaner che avevo una versione più vecchia. l'unica cosa è l'ultima operazione, quella della cartela prefetch, dentro questa cartella c'era un altra cartella vuota chiamata readyboot, era da cancellare? poi le altre cose che c'erano le ho cancellate però ho notato che alcune cose si sono riformate subito, solo tre o quattro voci.. dimmi tu che devo fare con la cartella readyboot, poi faccio il log di hijackthis..

Ho un piccolo problema con il processo di windows services.exe, in pratica utilizza sempre un buon 40% di cpu. Dato che succede sul mio fido muletto la cosa mi da un po' fastidio. Il pc è stato formattato settimana scorsa. Ecco il log di hijackthis GRAZIE CIAO

@mille83

Edita (modifica) il tuo post ed allega il log secondo le seguenti regole:
le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come www.zshare.net .
Grazie

@mille83

Edita (modifica) il tuo post ed allega il log secondo le seguenti regole:
le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come www.zshare.net .
Grazie

Fatto. :)

Rispondo ad entrambi:
Disattivate il Ripristino configurazione di sistema, rilanciate Hthis e fixate le voci che vi indico per ognuno:


tu devi fixare queste:

O2 - BHO: (no name) - {ED203331-9C33-49D8-8714-D24A366A04EC} - C:\WINDOWS\system32\xxyvvut.dll

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O20 - Winlogon Notify: xxyvvut - C:\WINDOWS\SYSTEM32\xxyvvut.dll



Ho seguito la procedura e lo ho fixate, ma i problemi con i vari programmi sono rimasti...

Fatto. :)

credo che il tuo log sia pulito...
aspetta cmq cosa dicano i dottori ;)

@mille83

dal log non risulta nulla di anomalo, ti riferisci a services.exe in questo percorso
C:\WINDOWS\system32\services.exe

per sicurezza perchè ho un dubbio fai un controllo con Gmer
Scarica Gmer decomprimilo per praticità sul desktop, esegui gmer.exe. Lancia una scansione alla ricerca di eventuali Rootkit, riporta nel prossimo post le eventuali righe in rosso rilevate.
Download: http://www.gmer.net/gmer.zip

Scusate per il mio log postato in maniera non corretto....non lo sapevo che le regole erano cambiate!:cry:

Vi riscrivo la domanda, grazie!!!

Ciao a tutti, volevo chiedervi se nel mio log c'è qualcosa che non và se devo fixare..... un'altra domanda: il firewall di Kaspersky mi continua a chiedere se "Bonjour Service" si deve connettere o no.... consento o blocco?

@mille83

dal log non risulta nulla di anomalo, ti riferisci a services.exe in questo percorso
C:\WINDOWS\system32\services.exe

per sicurezza perhè ho un dubbio fai un controllo con Gmer
Scarica Gmer decomprimilo per praticità sul desktop, esegui gmer.exe. Lancia una scansione alla ricerca di eventuali Rootkit, riporta nel prossimo post le eventuali righe in rosso rilevate.
Download: http://www.gmer.net/gmer.zip

forse è meglio che se rileva qualche voce rossa con gmer, mille83 apra una nuova discussione,invece di postare nuovamente qui...il mio è solo un suggerimento...
che dici?

Scusate per il mio log postato in maniera non corretto....non lo sapevo che le regole erano cambiate!:cry:

Vi riscrivo la domanda, grazie!!!

Ciao a tutti, volevo chiedervi se nel mio log c'è qualcosa che non và se devo fixare..... un'altra domanda: il firewall di Kaspersky mi continua a chiedere se "Bonjour Service" si deve connettere o no.... consento o blocco?

mi sembra che il tuo log sia pulito, dovresti aggiornare ad acrobat 8, l'aggiornamento è gratuito...

io ho comodo come firewall e ho disabilitato il Bonjour Service....ma nn so precisamente a cosa serva....

Ecco il log di GMER:

http://www.zshare.net/download/53689724695bba/

C'e questo di strano wiqyqskscm.exe

forse è meglio che se rileva qualche voce rossa con gmer, mille83 apra una nuova discussione,invece di postare nuovamente qui...il mio è solo un suggerimento...
che dici?

se riporta voci in rosso lo si sposta nella sezione Aiuto sono Infetto se no nella sezione Microsoft Windows

Ecco il log di GMER:

http://www.zshare.net/download/53689724695bba/

C'e questo di strano wiqyqskscm.exe

credo tu sia infetto....
vediamo cosa dice chill ;)

se riporta voci in rosso lo si sposta nella sezione Aiuto sono Infetto se no nella sezione Microsoft Windows

Si mi ha segnato 2 riche in rosso...ok dai mi sposto nella sezione "infetti" :D
Sapete che cosa mi ha potuto infettare il pc in meno di una settimana???? GRAZIE

credo proprio sia meglio cosi

apri un nuovo 3d, riportando il log di gmer ed esponendo i tuoi problemi al pc

intanto,senza aspettare nessuno,puoi iniziare a seguire la guida alla disinfezione x gli infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
scaricati tutti i programmi allegati e dai una controllatina alle regole di sezione, 2 minutini c vogliono....;)

Si mi ha segnato 2 riche in rosso...ok dai mi sposto nella sezione "infetti" :D
Sapete che cosa mi ha potuto infettare il pc in meno di una settimana???? GRAZIE

ti ho chiesto: "riporta nel prossimo post le righe in rosso" quindi vorrei sapere quali sono

viste

apri una nuova discussione come indicato da murack83pa

edit: avrei preferito che il mio fosse rimasto solo un dubbio :D

Ho seguito la procedura e lo ho fixate, ma i problemi con i vari programmi sono rimasti...
Secondo te per quale ragione ti ho suggerito di:
Ad entrambi suggerisco, anche, di prendere visione del Thread Regole di Sezione ed eseguire la procedura preliminare di pulizia che è indicata e, dopo, allegare, qui, un nuovo log di Hhits, per un ulteriore verifica.
Tra quegli entrambi, eri compreso anche tu.

@ Chill, murack .... e tutti gli amici che operano in questo thread: a mio parere, una volta stabilito, dal log di Hthis, che un utente è infetto, è meglio indirizzarlo, immediatamente, alla sezione generica di Aiuto sono infetto.
Se ci mettiamo a fare assistenza anche in questa discussione, ci complichiamo solo la vita (e, a mio parere, questa discussione è già parecchio incasinata di suo).
Oltretutto, indirizzando gli infetti nella corretta sottosezione, riusciamo a gestire meglio le problematiche che vengono rilevate.
Prendetelo come un suggerimento (ovvero, per quel che, effetivamente è).

http://www.hwupgrade.it/forum/showpost.php?p=19953738&postcount=7836
http://www.hwupgrade.it/forum/showpost.php?p=19954797&postcount=7841

meglio di così

forse è meglio che se rileva qualche voce rossa con gmer, mille83 apra una nuova discussione,invece di postare nuovamente qui...il mio è solo un suggerimento...
che dici?

:D

@ Chill & murack soci:
@ Chill, murack .... e tutti gli amici che operano in questo thread: a mio parere, una volta stabilito, dal log di Hthis, che un utente è infetto, è meglio indirizzarlo, immediatamente, alla sezione generica di Aiuto sono infetto .........
Ovvero, sarebbe opportuno che tutti (compreso il sottoscritto), si comportassero cosi come vi siete comportati voi (lo avevo notato ;) ed il mio suggerimento nasceva, anche, dal vostro modo di gestire la questione).

E' da qlk giorno che il mio computer (win Xp) va stranamente a rilento e con lui la connessione ad internet...... la faccenda mi puzza un po' di trojan :eek:

di formattare un'altra volta non se ne parla (ke se no ci piazzo linux :muro: )
vi posto il mio resoconto HijackThis... ho fatto anke una scansione panda totalscan che ha trovato un bel po' di malware cookie ke devo ancora provvedere a cancellare.......

confido in voi, grazie!

Edit

@Pierus:
modifica il post secondo quanto descritto dal primo post di questo 3d:
i log vanno allegati oppure caricati su un server

oppure caricati su un server
quale? :D
www.zshare.net ;)

quale? :D
www.zshare.net ;)

sisi, x la fretta nn l'ho indicato,xò ho anche puntualizzato di vedere il primo post di questo 3d.....:D

sisi, x la fretta nn l'ho indicato,xò ho anche puntualizzato di vedere il primo post di questo 3d.....:D

che purtroppo nessuno legge

@Pierus:
modifica il post secondo quanto descritto dal primo post di questo 3d:
i log vanno allegati oppure caricati su un server

ok ho editato e riporto qui il messaggio inviato precedentemente:

Ciao a tutti,
Mi sono appena preso fresco fresco questo trojan
Mentre navigavo è apparsa una finestra su uno pseudo aggiornamento java molto sospetto dicendo che si trattava di un certificato riconosciuto. La cosa puzzava e cosi gli ho dato annulla invece di si. Dopo neanche 10 sec c'era li kaskersky che strillava con il messaggio del virus.Sotto file mi dice "http:[edit].
Gli do deny e nn me lo cancella.Ora sono li con la finestra dell'antivirus praticamente aperta dato che è inutile.
Mi date una mano?

Allego qui il log: http://www.zshare.net/download/5389111f4daa5b/


Grazie in anticipo a tutti

credo che tu sia stato infettato: quando spuntano queste finestre, nn bisogna mai cliccare su cancel o annulla

puoi aspettare il responso di chill, piu esperto d me, xò io sinceramente ti consiglio di aprire una nuova discussione indicando il tuo problema, seguendo da subito la procedura x la disinfezione x gli infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

credo tu sia infettato xchè, anche se dal solo log di hijackthis io nn riesco a vedere il problema(x questo ti dico di aspettare il responso di chill), il fatto che il tuo antivirus nn riesca a risolvere è forte indice di problemi

EDIT: chiedo conferma ai dottori, puo essere che il suo trojan sia un gromozon?

@pierus72
secondo me KAV ha fatto il suo dovere ha bloccato lo scaricamento del Trojan.Dialer, dal log di HJT non emerge nulla di sospetto, eventualmente come indicato da murack potresti eseguire l'analisi preliminare http://www.hwupgrade.it/forum/showthread.php?t=1599737
sarebbe utile che tu controllassi il report del Kaspersky ribadisco KAV lo ha fermato PRIMA che potesse inviarti la
finestrella in cui ti chiede se vuoi davvero installarlo.

Edita quel link

@pierus: premesso che devi assolutamente modificare il link che riporta kaspersky:
http:www.charting.ws/code/*****
c'è il riskio che qualkuno c clicchi.....

@chill: quello che nn mi convince è il fatto che a detto di pierus kaspersky nn riesce a cancellarlo.... :confused:

Ciao amicici :D

Volevo sapere come faccio a togliere le applicazioni d( itunes/ipodservice/ecc)
praticamente tutte le volte devo toglierle manualmente dal task m.
pero ogni tanto uso l'ipod quindi non vorrei fare dei casini.

grazie :p :D

@pierus72
secondo me KAV ha fatto il suo dovere ha bloccato lo scaricamento del Trojan.Dialer, dal log di HJT non emerge nulla di sospetto, eventualmente come indicato da murack potresti eseguire l'analisi preliminare http://www.hwupgrade.it/forum/showthread.php?t=1599737
sarebbe utile che tu controllassi il report del Kaspersky ribadisco KAV lo ha fermato PRIMA che potesse inviarti la
finestrella in cui ti chiede se vuoi davvero installarlo.

Edita quel link

Si penso che hai ragione...oggi il messaggio è scomparso e non ho nessuna traccia del virus. Nel report di Kav è riportato che il virus ha tentato per tutta la notte di collegarsi a quel link ma l'antivirus lo ha bloccato e non glielo ha permesso. Un 'ultima cosa anche con riferimento a quanto ha detto prima chil..la prossima volta che dovesse riapparire una finestra losca con il download come mi comporto dato che anche con " annulla" mi ha fregato?
Grazie a tutti e link editato..;)

chiudi internet explorer o ff a seconda cosa usi...io faccio cosi

apri Task Manager e falcia il processo

Ok la prossima volta farò così..

graciass

Ciao

Ciao a tutti, sono tornata per chiedervi di dare un'occhiata al mio log. Ho usato HJT per eliminare un activex, e, buttando un occhio, ho visto una voce R1 (ProxyOverride = 127.0.0.1) che prima non avevo (ho dato uno sguardo ai miei vecchi log in questa discussione). E' una voce innocua? Può essere collegata ad una minaccia bloccata dal Norton (ebbene si, ogni tanto anche lui lavoricchia..:D ) mentre stavo navigando con Opera? Sto per fare le scansioni consigliate nelle regole di sezione, ma visto che ci vuole parecchio nel frattempo vorrei essere rassicurata...

Grazie.

http://www.zshare.net/download/5393726ea6bf52/

odio le autocitazioni..... quindi vi pregherei di dare un'occhiata al log che ho postato un po' di messaggi prima per vedere cosa c'è che non va.... grazie!

http://www.hwupgrade.it/forum/showpost.php?p=19961165&postcount=7851

ecco ho seguito tutte le istruzioni di Gle89 e ora posto il nuovo log di hijackthis

@vs88: il log non evidenzia una particolare infezione. Prova a fare una scansione con gmer e verifica se ci sono voci evidenziate in rosso. Se ci sono apri un nuovo thread.

Ciao a tutti, sono tornata per chiedervi di dare un'occhiata al mio log. Ho usato HJT per eliminare un activex, e, buttando un occhio, ho visto una voce R1 (ProxyOverride = 127.0.0.1) che prima non avevo (ho dato uno sguardo ai miei vecchi log in questa discussione). E' una voce innocua? Può essere collegata ad una minaccia bloccata dal Norton (ebbene si, ogni tanto anche lui lavoricchia..:D ) mentre stavo navigando con Opera? Sto per fare le scansioni consigliate nelle regole di sezione, ma visto che ci vuole parecchio nel frattempo vorrei essere rassicurata...

Grazie.

http://www.zshare.net/download/5393726ea6bf52/


credo che sia tutto pulito
dovresti xò fixare questa voce credo:

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)

x quanto riguarda il tuo dubbio, che io sappia 127.0.0.1 indica local host:ti colleghi tramite proxy?
x quest'ultimo punto è meglio che ascolti chi è piu esperto di me...:)

ecco ho seguito tutte le istruzioni di Gle89 e ora posto il nuovo log di hijackthis

credo che sia pulito tranne questa che nn ti serve piu,credo:

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

poi dovresti aggiornare acrobat alla versione 8 (l'update è gratis) e java(anche questo gratuito)

utilizzi google toolbar?lo puoi anche disinstallare se nn ti serve

ti consiglio anche di aggiornare msn all'ultima versione,windows live messenger 8.5

ho visto che hai tanti programmi all'avvio.se ti interessa velocizzare l'avvio,vai su esegui,digita msconfig, vai in avvio, e li c'è l'elenco dei programmi che partono all'avvio, puoi deselezionare quelli che usi di meno....scegli tu ;)


quest'ultimi sono solo suggerimenti: x quanto riguarda acrobat e java...sono piu che suggerimenti :)

ciao ciao

PS: aspetta la conferma di qualkun altro... ;)

@lo_straniero: leggi questo thread:

http://www.hwupgrade.it/forum/showthread.php?t=1564604

credo che sia tutto pulito
dovresti xò fixare questa voce credo:

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)

x quanto riguarda il tuo dubbio, che io sappia 127.0.0.1 indica local host:ti colleghi tramite proxy?
x quest'ultimo punto è meglio che ascolti chi è piu esperto di me...:)

Grazie Murack. il file missing è incancellabile, ho provato varie volte, male non fa...

Non mi collego tramite proxy...non so nemmeno cos'è...attendo pareri prima di fare qualcosa.

Ciao.

Grazie Murack. il file missing è incancellabile, ho provato varie volte, male non fa...

Non mi collego tramite proxy...non so nemmeno cos'è...attendo pareri prima di fare qualcosa.

Ciao.

ciao
come riportato dal sito della microsoft:
Machine Debug Manager, Mdm.exe, è un programma che viene installato con Microsoft Script Editor per supportare il debug dei programmi. Microsoft Script Editor è incluso in Microsoft Office 2000

hai forse disinstallato in modo nn "consono" mdm?
forse,essendo un servizio,quella voce x eliminarla dovresti andare in servizi, individuarla e disabilitarla....
chiedo che qualkuno confermi o cmq venga in soccorso :D
io piu di questo nn so...sorry

x quanto riguarda l'altra voce....nn so molto....vediamo cosa diranno i dottori piu tardi ;)

Ciao amicici :D

Volevo sapere come faccio a togliere le applicazioni d( itunes/ipodservice/ecc)
praticamente tutte le volte devo toglierle manualmente dal task m.
pero ogni tanto uso l'ipod quindi non vorrei fare dei casini.

grazie :p :D


raga mi controllate se ho i log puliti? :D grazie

il log mi sembra pulito

il log mi sembra pulito

grazie....:fagiano: :D

@Mat75

Questo lo puoi lasciare dov'è assolutamente trascurabile
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)

Sei sicuro di non passare attraverso un server proxy, il tuo PC fa parte di una rete?

Curiosità hai installato Norton 2008?

Dimenticavo certo che hai una bella fantasia, HJT rilascia il log in formato .txt e tu lo hosti su zshare.net in formato .doc

a murack83pa

grazie mille per i consigli, dunque acrobat reader non lo aggiornavo perchè ogni volta che ci provavo ci metteva ore e ore e alla fne non si concludeva nemmeno, quindi ho fatto come ha detto Gle89, l'ho tolto e ho messo foxit reader. poi il java l' ho aggiornato due giorni fa, quando ho seguito tutta la procedura di Gle89, quindi mi sembra strano che non si sia aggiornato. la google toolbar potrei anche toglierla, come toglierei anche quella di windows live che non uso per niente. poi per i programmi all'avvio farò come hai detto tu, vedrò di deselezionare quelli che uso di meno.. per msn avevo aggiornato anche quello, ma forse l'avevo aggiornato solo alla versione beta, vedrò di provvedere, intanto ti ringrazio, sei stato molto gentile, e un grazie di cuore anche a Gle89 che mi ha aiutato...:) :) :) :)

@Mat75

Questo lo puoi lasciare dov'è assolutamente trascurabile
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)

Sei sicuro di non passare attraverso un server proxy, il tuo PC fa parte di una rete?

Curiosità hai installato Norton 2008?

Dimenticavo certo che hai una bella fantasia, HJT rilascia il log in formato .txt e tu lo hosti su zshare.net in formato .doc

Ho installato un router da poco, ma ho collegato un solo pc, nient'altro...

Ho il NIS 2008 (solo perchè Norton permette a tutti coloro che hanno un abbonamento attivo di scaricare i prodotti nuovi quando escono, altrimenti...), oggi mi ha bloccato ben 2 volte un "bloodhound.exploit.6" nella cache di Opera.

Altro che fantasia...miracolo che son riuscita a postarlo...:D

Ho fatto scansioni con Prevx, A-squared free, e Bit-defender on line, e non hanno trovato nulla.

@murack83pa
effettivamente hanno eliminato quella voce in maniera poco ortodossa.

Ho il NIS 2008 (solo perchè Norton permette a tutti coloro che hanno un abbonamento attivo di scaricare i prodotti nuovi quando escono, altrimenti...), oggi mi ha bloccato ben 2 volte un "bloodhound.exploit.6" nella cache di Opera.

era solo una curiosità non devi giustificare nulla e non ti devi sentire in colpa se usi Norton.

Altro che fantasia...miracolo che son riuscita a postarlo

la prossima volta in formato .txt :read:

Ho installato un router da poco, ma ho collegato un solo pc, nient'altro...

in conclusione il tuo log è pulito

per favore potreste dare un'occhiata al log? grazie:)

http://www.zshare.net/download/5399335b7d325b/

non lo sapevo....rimedio subito....questo sopra dovrebbe essere il link...

modifica il tuo post:
utilizza la funzione allegati oppure lo carichi su www.zshare.net e posti qui il link x il download
grazie ;)

Grazie Chill-Out, quindi quella voce è normale. Non mi sento in colpa ad usare il Norton, solo credo che alla scadenza non rinnoverò più l'abbonamento e passerò a qualcosa di più "leggero".
Grazie anche a murack83pa.

Ciao.:)

modifica il tuo post:
utilizza la funzione allegati oppure lo carichi su www.zshare.net e posti qui il link x il download
grazie ;)

ho rimediato e messo il link sopra ;)

ho rimediato e messo il link sopra ;)

in formato .txt no .doc

in formato .txt no .doc

ecco fatto ;)

http://www.zshare.net/download/5399528f8f5756/

credo sia pulito,tranne una voce :
O20 - Winlogon Notify: SASWinLogon - C:\WINDOWS\

ma nn ne sono sicuro:aspetta chill cosa dice ;)

@chry80

log pulito, aggiorna Acrobat Reader è disponibile la versione 8
Ciao

a murack83pa

grazie mille per i consigli, dunque acrobat reader non lo aggiornavo perchè ogni volta che ci provavo ci metteva ore e ore e alla fne non si concludeva nemmeno, quindi ho fatto come ha detto Gle89, l'ho tolto e ho messo foxit reader. poi il java l' ho aggiornato due giorni fa, quando ho seguito tutta la procedura di Gle89, quindi mi sembra strano che non si sia aggiornato. la google toolbar potrei anche toglierla, come toglierei anche quella di windows live che non uso per niente. poi per i programmi all'avvio farò come hai detto tu, vedrò di deselezionare quelli che uso di meno.. per msn avevo aggiornato anche quello, ma forse l'avevo aggiornato solo alla versione beta, vedrò di provvedere, intanto ti ringrazio, sei stato molto gentile, e un grazie di cuore anche a Gle89 che mi ha aiutato...:) :) :) :)


ciao,sono contento che ti sono stato utile

il fatto che nel log compaia ancora acrobat mi stranizza.....:confused:

grazie mille murack83pa e chill-out ;) ;) ;)

ps: come faccio a cancellare il log dal sito? dopo un tot di tempo si autoelimina?

mi rispondo da solo :D :D :D

* How to delete a file I uploaded?

To delete a file you uploaded you must click on "delete this file" on its download page. When you're asked for a password, enter the password that was provided to you after the upload process.

If you lost your removal code you can simply wait until the file expires so it will be automatically removed from our site.

----------------

Ragazzi mi date un occhiata al log!! Ho notato che quando apro explorer la mia home è www.talti.com e mi indirizza a google!! Che roba è?

Ciao!!

ciao federico
il tuo log sembra pulito
dovresti solo aggiornare java(l'aggiornamento è gratuito)
forse il tuo problema della homepage deriva dal fatto che hai installato goggletoolbar:disinstallalo se nn ti serve e vedi cosa succede....

vorrei sapere se qualcuno esperto di hijackthis, mi sa spiegare queste voci
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:

non riesco a capire a cosa si riferiscono..
sono dannose??

@blindwrite: sono tutte voci legittime di Windows Vista.

grazie, trovavo pareri contrastanti:D

tool di rimozione microsoft trova:win32/sdbot, Avira free trova alcuni file (non ricordo quali)e li cancello. tool di rimozione microsoft ok. comunque ho KIS7 e non trova niente.portreste controllarmi anche il log di hij. grazie

ragazzi kaspersky mi ha rilevato un trojan.win32.dialer.yl
ke faccio?

vi posto il LOG :D

@vincenzomary:

Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: Idrssroh e dai ok. Ti chiederà di riavviare.
Al riavvio ripeti l'operazione fino a quando ti viene chiesto il nome da rimuovere e inserisci: ehMonitor e dai ok.
Se ottieni un messaggio di errore allora devi cliccare su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su servizi e scorri la lista fino a trovare il servizio da rimuovere. Doppio click, poi in Tipo di avvio scegli: Disabilitato. ripeti l'operazione con HJT.

Hai il log del tool di rimozione che trova il file infetto?

ragazzi kaspersky mi ha rilevato un trojan.win32.dialer.yl
ke faccio?

apri una nuova discussione, indicando il nome del trojan, e segui tutta la procedura di disinfezione,qui (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
scaricando tutti i programmi
stai attento come posti i log e mi raccomando:disattiva il riprisitino configurazione sistema
credo dovrebbe essere giusto la procedura indicata da me,se vuoi essere piu sicuro,aspetta ancora un poco
ciao

@ Reny:

Al messaggio di kaspersky devi selezionare elimina.

Per quanto riguarda HJT ci sono delle voci sospette, ma se hai Download Manager della Akamai e una webcam allora non c'è problema.

Edit: Ops, vedo che mentre controllavo il log ti ha già risposto murack83pa. Credo che comunque valgano entrambe le risposte.:doh:

[QUOTE=Nuz;20000087]@vincenzomary:

Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: Idrssroh e dai ok. Ti chiederà di riavviare.

messaggio di windows: the service idrossh is enabke and/or running. disable it first,using hij itself (frome the scan result) or the Services.msc window

@vincenzomary:
....
Se ottieni un messaggio di errore allora devi cliccare su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su servizi e scorri la lista fino a trovare il servizio da rimuovere. Doppio click, poi in Tipo di avvio scegli: Disabilitato. ripeti l'operazione con HJT.

.....

Ti avevo già scritto cosa fare in quel caso.:D

P.S. hai scritto idrossh o Idrssroh?

Ti avevo già scritto cosa fare in quel caso.:D

P.S. hai scritto idrossh o Idrssroh?

scusa, ho riavviatoma adesso non ho capito cosa devo fare quandodici :
Al riavvio ripeti l'operazione fino a quando ti viene chiesto il nome da rimuovere e inserisci: ehMonitor e dai ok

Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: ehMonitor e dai ok.

Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: ehMonitor e dai ok.


stesso messaggio avuto con servizio idro....

quale servizio devo disabilitare

Media Center Monitor Service

P.S. Non ti dimenticare di rispondere a questa domanda:

Hai il log del tool di rimozione che trova il file infetto?

Media Center Monitor Service

P.S. Non ti dimenticare di rispondere a questa domanda:

ho disabilitato anche questo servizio.

ho disabilitato anche questo servizio.

no ho il log del file trovato con il tool di rimozione di microsoft,ma ho rifatto la scansione e non ha trovato nulla adesso.

Amici date un'occhiata al mio log???

Amici date un'occhiata al mio log???
ciao,
sicuramente devi aggiornare IE, passare alla versione 7 e anche aggiornare java all'ultima versione

credo che queste voci siano da fixare:


O2 - BHO: (no name) - {1CF7DBA5-F294-4354-8F48-2352D7B877A1} - C:\WINDOWS\system32\rsvppfrf.dll (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{B1068BB1-F36E-499A-90E5-2D2D2A256046}: NameServer = 168.192.1.1


c sono altre voci che forse potresti anche fixare,ma nn ne sono sicuro...vediamo cosa dicono gli altri ;)
ciao

ciao,
sicuramente devi aggiornare IE, passare alla versione 7 e anche aggiornare java all'ultima versione

credo che queste voci siano da fixare:



c sono altre voci che forse potresti anche fixare,ma nn ne sono sicuro...vediamo cosa dicono gli altri ;)
ciao

grazie per la risposta molto tempestiva :D :D

nando80x sei collegato a più di una rete LAN o WLAN?

nando80x sei collegato a più di una rete LAN o WLAN?

allora....uso quel computer o qui a casa, come ora, in cui ho un router con in tutto 3 computer o a lavoro dove sto facendo delle prove collegando questo computer ad un altro mediante cavo cross. Ok? per ogni altra delucidazione sono qui....

Allora se una delle reti ha questo indirizzo: 168.192.1.1 devi ripristinare la voce O17 che hai cancellato prima.

Allora se una delle reti ha questo indirizzo: 168.192.1.1 devi ripristinare la voce O17 che hai cancellato prima.

no no quell'indirizzo non è in nessuna delle due reti....

nandox80

devi assolutamente Aggiorna JAVA: pannello di controllo – java – in alto clicca su “aggiornamento” – in basso a destra clicca su “aggiorna adesso” – adesso segui le istruzioni.

Aggiorna INTERNET EXPLORER alla versione 7: clicca qui per il download (http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it)

:D ciao!

nandox80

devi assolutamente Aggiorna JAVA: pannello di controllo – java – in alto clicca su “aggiornamento” – in basso a destra clicca su “aggiorna adesso” – adesso segui le istruzioni.

Aggiorna INTERNET EXPLORER alla versione 7: clicca qui per il download (http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it)

:D ciao!

ok....appena posso lo faccio....grazie mille!!!

Gle89 dopo aver installato IE7 e' necessario installare questo aggiornamento (http://www.microsoft.com/downloads/details.aspx?familyid=7A778D93-9D85-4217-8CC0-5C494D954CA0&displaylang=it) per la sicurezza?

Gle89 dopo aver installato IE7 e' necessario installare questo aggiornamento (http://www.microsoft.com/downloads/details.aspx?familyid=7A778D93-9D85-4217-8CC0-5C494D954CA0&displaylang=it) per la sicurezza?

devi installare tutti gli aggiornamenti che non hai scaricato!

Ieri ho usato il pc nel solito modo e tutto ok.

Stamattina all'accensione già durante l'avvio di win 2k trovo un simpatico messaggino di errore per quanto riguarda una libreria mancante (trident.dll) che causa problema a un bel po' di programmi.
Andando avanti il pc parte normalmente ma non mi risulta visualizzato nella barra in basso a destra AntiVir guard, sygate personal firewall e il CCC. Tuttavia risultano attivi nel task manager.
Cerco info su internet e scopro che la libreria in questione è collegata a SPF. Disinstallo, reinstallo e all'avvio scompare il messaggio incriminato scompare. Ma compare un problema con il solo SPF (smc.exe) che ha creato errori e si richiuderà.
Tuttavia le icone nella tray non compaiono lo stesso.
Occhiata veloce ai processi attivi e trovo un file strano. Altra ricerca veloce ed il problema sembra essere lui: msfav32.exe

Posto comunque il log di hijackthis, che mi ha segnalato un paio di activex-objects sospetti.

Logfile of HijackThis v1.99.1
Scan saved at 14.17.10, on 08/12/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllcache\msfav32.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Fello\Impostazioni locali\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.02.0002.1001\it\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} - http://secure2.comned.com/signuptemplates/AktiveSekurity.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://194.244.16.123/g_bin/eng/solitaire_2_0_0_28.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://194.244.16.123/g_bin/eng/cards_2_0_0_73.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://194.244.16.123/g_bin/eng/boards_2_0_0_32.cab
O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://194.244.16.123/g_bin/eng/slots90_2_0_0_35.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://194.244.16.123/g_bin/eng/navy_2_0_0_29.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://paolofello.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascinstie.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/240ca0ec9f3be660b105/netzip/RdxIE601_it.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1118701302937
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.it/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {7F8B1F27-AE54-479D-AACF-0A7B2334E7EE} (HTTPUplListX Control) - http://stampafoto.mediaworld.it/HTTPUplList.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://194.244.16.123/g_bin/eng/poker_2_0_0_48.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {9085316E-42BA-11D4-BAA3-0080C8D7ED4A} (GameDesire JungleHunter) - http://194.244.16.123/g_bin/eng/hunter_2_0_0_25.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://63.208.110.145/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Demon) - http://194.244.16.123/g_bin/eng/demon_2_0_0_30.cab
O16 - DPF: {A1FE3DEF-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Pirate) - http://194.244.16.123/g_bin/eng/pirate_2_0_0_30.cab
O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://194.244.16.123/g_bin/eng/slots70_2_0_0_33.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {A854AD6D-6DB5-41FB-8044-0BD38092A007} (Ganymede Sudoku) - http://194.244.16.123/g_bin/eng/sudoku_2_0_0_13.cab
O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - http://194.244.16.123/g_bin/eng/marbles_2_0_0_32.cab
O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://194.244.16.123/g_bin/eng/breakout_2_0_0_27.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://194.244.16.123/g_bin/eng/words_2_0_0_51.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://194.244.16.123/g_bin/eng/wordssingle_2_0_0_48.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.fueps.com/gp/resources/games/puzzle/PopCapGames/popcaploader_v10_it.cab
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://194.244.16.123/g_bin/eng/mahjong_2_0_0_29.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O16 - DPF: {E95CF138-A587-4C54-8175-3AD80997CB14} (GameDesire Soccer) - http://194.244.16.123/g_bin/eng/soccer_2_0_0_19.cab
O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://194.244.16.123/g_bin/eng/slots80_2_0_0_35.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://194.244.16.123/g_bin/eng/billard8_2_0_0_35.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://194.244.16.123/g_bin/eng/snooker_2_0_0_30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FC11221-FB53-43B6-A979-80A84A64C797}: NameServer = 85.255.115.76 85.255.112.149
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ptssvc - Unknown owner - C:\KODAK\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe

raga... potete dare una occhiata a sto log? c'è quell'internat che ... boh... grazie...

@fello:

Fixa queste:

C:\WINDOWS\system32\dllcache\msfav32.exe

O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} - "http://secure2.comned.com/signuptemplates/AktiveSekurity.cab"

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - "http://secure2.comned.com/signuptemplates/securelogin-devel.cab"

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FC11221-FB53-43B6-A979-80A84A64C797}: NameServer = "85.255.115.76 85.255.112.149"

O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe

Devi anche aggiornare Java e Adobe Acrobat. Ti consiglio anche di eseguire l'analisi preliminare che trovi nella guida: GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
Quando hai fatto allega un'altro log di HiJackThis.

raga... potete dare una occhiata a sto log? c'è quell'internat che ... boh... grazie...

ciao
il tuo log mi sembra pulito: dovresti aggiornare internet explorer all'ultima versione (7)
ciao

Purtroppo chi ha Win 2000 non può installare IE7.:D

@fello e mauretto: installatevi firefox se volete essere più sicuri navigando in rete.;)

Purtroppo chi ha Win 2000 non può installare IE7.:D


purtroppo, no no per fortuna :D :sbonk:

purtroppo, no no per fortuna :D :sbonk:
Beh ..... Chill .... dipende: se ci limitiamo al caso di Windows 2000 sono d'accordo con te (non chiede l'installazione del WGA) ma, se si trattasse di Windows XP, aggiornarlo diventa fondamentale, visto che per scaricariche gli aggiornamenti da Windows Update si deve, per forza di cose, utlizzare quel browser.

edit

ciao francoisk
modifica il post:
il log deve essere postato utilizzando la funzione allegati oppure caricandolo su www.zshare.net, riportando il link x il download
grazie
ciao

Beh ..... Chill .... dipende: se ci limitiamo al caso di Windows 2000 sono d'accordo con te (non chiede l'installazione del WGA) ma, se si trattasse di Windows XP, aggiornarlo diventa fondamentale, visto che per scaricariche gli aggiornamenti da Windows Update si deve, per forza di cose, utlizzare quel browser.

non è necessaria la versione 7
Edit: deciditi a cambiare Browser :D

ciao francoisk
modifica il post:
il log deve essere postato utilizzando la funzione allegati oppure caricandolo su www.zshare.net, riportando il link x il download
grazie
ciao


ecco il link del mio log

http://www.zshare.net/download/54702457e7826b/

ecco il link del mio log

http://www.zshare.net/download/54702457e7826b/

il log sembra pulito ;)

il log sembra pulito ;)

infatti, ma intanto alcuen pagien si bloccano ancora, eppure dalle varie scansioni che ho fatto sono venuti fuori vari problemi(malware credo), che ho eliminato... mah

infatti, ma intanto alcuen pagien si bloccano ancora, eppure dalle varie scansioni che ho fatto sono venuti fuori vari problemi(malware credo), che ho eliminato... mah
Segui la discussione che hai aperto, per favore, ed i prossimi log che ti verranno richiesti, li pubblichi in quella discussione (non ti avevo detto di pubblicare il log qui :( )

grazie a tutti ... :D

per favore mi date una controllatina al log? credi di aver beccato un virus:muro:


1.txt - 0.01MB (http://www.zshare.net/download/54956124cfa2c8/)

Prima di poter ottenere assistenza in questa discussione devi attenerti alle regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) per quanto riguarda i log:

Quando vi viene richiesto di inserire nel thread i log dei vari tool di disinfezione siete pregati di allegarli con la funzione "Gestisci Allegati" o altrimenti tra i tag (code)(/code) sostituire le parentesi con parentesi [];
http://img105.imageshack.us/img105/7689/1fr1.jpg
che poi inserirà i due tag evidenziati
http://img292.imageshack.us/img292/2624/1ub7.jpg
quindi incollare in mezzo i vari log

se il log che vorreste postare risultasse estremamente lungo si sonsiglia l'upload su uno spazio disco remoto gratuito come www.zshare.net e inserire nel forum il solo link;

Invece di postare un nuovo messaggio che rispetti le regole di sezione modifica il precedente.

Grazie per la collaborazione.:D

per favore mi date una controllatina al log? credi di aver beccato un virus:muro:



O2 - BHO: (no name) - {52B27FF3-0BE8-4F96-B9E5-DEDE586C990E} - C:\WINDOWS\system32\pmnlj.dll
O2 - BHO: {a5018199-a16a-65ba-d194-976ce9568249} - {9428659e-c679-491d-ab56-a61a9918105a} - C:\WINDOWS\system32\muqnqwcu.dll
O2 - BHO: (no name) - {9BE4F118-D37A-4BE2-98A3-E0454A6504EA} - C:\Programmi\ComPlus Applications\hoqexikC:\WINDOWS\system32\lab3\mmildot83122.exe.dll (file missing)
O2 - BHO: (no name) - {B285004D-6D02-4212-91FC-B8F47B68C254} - C:\WINDOWS\system32\wvurrpo.dll
O4 - HKLM\..\Run: [d8bbfd3f] rundll32.exe "C:\WINDOWS\system32\sclaimod.dll",b
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: wvurrpo - C:\WINDOWS\SYSTEM32\wvurrpo.dll
O23 - Service: DomainService - - C:\WINDOWS\system32\pjujjgmb.exe
C:\WINDOWS\system32\pjujjgmb.exe

Ma usi il firewall di XP?

O2 - BHO: (no name) - {52B27FF3-0BE8-4F96-B9E5-DEDE586C990E} - C:\WINDOWS\system32\pmnlj.dll
O2 - BHO: {a5018199-a16a-65ba-d194-976ce9568249} - {9428659e-c679-491d-ab56-a61a9918105a} - C:\WINDOWS\system32\muqnqwcu.dll
O2 - BHO: (no name) - {9BE4F118-D37A-4BE2-98A3-E0454A6504EA} - C:\Programmi\ComPlus Applications\hoqexikC:\WINDOWS\system32\lab3\mmildot83122.exe.dll (file missing)
O2 - BHO: (no name) - {B285004D-6D02-4212-91FC-B8F47B68C254} - C:\WINDOWS\system32\wvurrpo.dll
O4 - HKLM\..\Run: [d8bbfd3f] rundll32.exe "C:\WINDOWS\system32\sclaimod.dll",b
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: wvurrpo - C:\WINDOWS\SYSTEM32\wvurrpo.dll
O23 - Service: DomainService - - C:\WINDOWS\system32\pjujjgmb.exe
C:\WINDOWS\system32\pjujjgmb.exe

Ma usi il firewall di XP?


fatto,adesso sta funzionando correttamente,ti ringrazio tantissimo:D ,si il firewall di xp è attivato,in realtà era già attivato all'installazione di windows e io non l'ho tolto

fatto,adesso sta funzionando correttamente,ti ringrazio tantissimo:D ,si il firewall di xp è attivato,in realtà era già attivato all'installazione di windows e io non l'ho tolto

io ti consiglio di usarne un altro;se sei poco pratico e non vuoi spendere ti consiglio:
http://www.agnitum.com/products/outpostfree/index.php
http://cdrom.wip.digitalriver.com/pub/bws/bws_49/spf.msi

@matteo1: Ma le regole a cosa servono?:confused:

Comunque per alcune di quelle voci non basta solo il fix checked. Di certo per la O23 e la O20, per le altre bisogna ricontrollare.

@matteo1: Ma le regole a cosa servono?:confused:
quali regole?

Comunque per alcune di quelle voci non basta solo il fix checked. Di certo per la O23 e la O20, per le altre bisogna ricontrollare.
Infatti bisognerebbe sempre agire in modalità provvosoria e ricontrollare dopo il fix.

Quelle che sono elencate qui:

http://www.hwupgrade.it/forum/showthread.php?t=1589984

E che gli avevo fatto notare nel post #7939 (http://www.hwupgrade.it/forum/showpost.php?p=20025135&postcount=7939).

.

Io tengo conto del fatto che spesso chi è infetto è talmente preso dal panico che non sta a leggere tutto e sente solo il bisogno di farsi risolvere il problema.

Ti riporto quello che ha scritto il mod in fondo al primo post:

le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come www.zshare.net .

Questo eviterà di appesantire il server (maggior velocità nel sfogliare i thread, minor disservizi, minor tempo per eseguire i backup del server) e sopratutto renderà la discussione più leggibile con i vantaggi sia per chi cerca un'analisi sia per chi dovrà assistere l'utente bisognoso.

Nessuno dovrà più dare assistenza agli utenti che non rispettono tale regola.

Posso anche capire il tuo ragionamento, ma le regole sono regole. :D

P.S. io stesso mi sono beccato giustamente un richiamo dal mod per essere stato "troppo buono".

.

@matteo1: Ma le regole a cosa servono?:confused:

Comunque per alcune di quelle voci non basta solo il fix checked. Di certo per la O23 e la O20, per le altre bisogna ricontrollare.

infatti Nuz ha ragione io seguirei questa guida http://www.hwupgrade.it/forum/showthread.php?t=1603273
aggiungo inoltre che le regole sono fatte per essere rispettate perchè se no regna il caos e questo và a discapito di tutti.

io ti consiglio di usarne un altro;se sei poco pratico e non vuoi spendere ti consiglio:
http://www.agnitum.com/products/outpostfree/index.php
http://cdrom.wip.digitalriver.com/pub/bws/bws_49/spf.msi

grazie ancora del consiglio:)


p.s. scusate non sapete fossero cambiate le regole,per la fretta di postare non ho letto:doh:

Scuse accettate, però fai attenzione a quello che abbiamo evidenziato io e Chill-Out rispetto al tuo problema.
Poi se tornassi al tuo post #7938 (http://www.hwupgrade.it/forum/showpost.php?p=20025072&postcount=7938) e lo modificassi sarebbe meglio.;)

@fello:

Fixa queste:

C:\WINDOWS\system32\dllcache\msfav32.exe

O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} - "http://secure2.comned.com/signuptemplates/AktiveSekurity.cab"

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - "http://secure2.comned.com/signuptemplates/securelogin-devel.cab"

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FC11221-FB53-43B6-A979-80A84A64C797}: NameServer = "85.255.115.76 85.255.112.149"

O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe

Devi anche aggiornare Java e Adobe Acrobat. Ti consiglio anche di eseguire l'analisi preliminare che trovi nella guida: GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
Quando hai fatto allega un'altro log di HiJackThis.

Fixate.

Dato un paio di passate con alcuni dei scan-online di antivirus e altri programmi presi dalla pagina segnalatomi.

msfav32 l'ho eliminato in manuale da provvisorio, visto che in win2k non mi faceva killare il processo attivo.

Ho reinstallato Antivir e SPF (versione 5.5) che ora funzionano benone, mentre a quanto pare dovrò reinstallare anche il CCC di Ati.

Riposto il log attuale di Hijackthis, l'ultima riga (file msfav32: missing) l'ho già fixata un paio di volte ma ritorna.

P.s: per la maggior parte dell'uso di internet uso FF 2.0.0.11, capita che alcune pagine, un po' vecchiotte, vadano in crisi con FF e debba usare IE. Avendo win2k sp4 purtroppo il massimo della versione installabile di IE è la 6.

Logfile of HijackThis v1.99.1
Scan saved at 18.59.20, on 09/12/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\eMule\emule.exe
C:\Programmi\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Fello\Impostazioni locali\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.02.0002.1001\it\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://194.244.16.123/g_bin/eng/solitaire_2_0_0_28.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://194.244.16.123/g_bin/eng/cards_2_0_0_73.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://194.244.16.123/g_bin/eng/boards_2_0_0_32.cab
O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://194.244.16.123/g_bin/eng/slots90_2_0_0_35.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://194.244.16.123/g_bin/eng/navy_2_0_0_29.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://paolofello.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascinstie.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/240ca0ec9f3be660b105/netzip/RdxIE601_it.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1118701302937
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.it/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {7F8B1F27-AE54-479D-AACF-0A7B2334E7EE} (HTTPUplListX Control) - http://stampafoto.mediaworld.it/HTTPUplList.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://194.244.16.123/g_bin/eng/poker_2_0_0_48.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {9085316E-42BA-11D4-BAA3-0080C8D7ED4A} (GameDesire JungleHunter) - http://194.244.16.123/g_bin/eng/hunter_2_0_0_25.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://63.208.110.145/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Demon) - http://194.244.16.123/g_bin/eng/demon_2_0_0_30.cab
O16 - DPF: {A1FE3DEF-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Pirate) - http://194.244.16.123/g_bin/eng/pirate_2_0_0_30.cab
O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://194.244.16.123/g_bin/eng/slots70_2_0_0_33.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {A854AD6D-6DB5-41FB-8044-0BD38092A007} (Ganymede Sudoku) - http://194.244.16.123/g_bin/eng/sudoku_2_0_0_13.cab
O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - http://194.244.16.123/g_bin/eng/marbles_2_0_0_32.cab
O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://194.244.16.123/g_bin/eng/breakout_2_0_0_27.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://194.244.16.123/g_bin/eng/words_2_0_0_51.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://194.244.16.123/g_bin/eng/wordssingle_2_0_0_48.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.fueps.com/gp/resources/games/puzzle/PopCapGames/popcaploader_v10_it.cab
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://194.244.16.123/g_bin/eng/mahjong_2_0_0_29.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O16 - DPF: {E95CF138-A587-4C54-8175-3AD80997CB14} (GameDesire Soccer) - http://194.244.16.123/g_bin/eng/soccer_2_0_0_19.cab
O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://194.244.16.123/g_bin/eng/slots80_2_0_0_35.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://194.244.16.123/g_bin/eng/billard8_2_0_0_35.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://194.244.16.123/g_bin/eng/snooker_2_0_0_30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FC11221-FB53-43B6-A979-80A84A64C797}: NameServer = 85.255.115.76 85.255.112.149
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ptssvc - Unknown owner - C:\KODAK\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe (file missing)

Scusate il bump, ma mi ero dimenticato una cosa.

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FC11221-FB53-43B6-A979-80A84A64C797}: NameServer = "85.255.115.76 85.255.112.149"


Anche questa non riesco a fixarla, da che servizio potrebbe dipendere?

Ti rispondo subito per il primo problema:

Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: Windows Internet Connection Sharing e dai ok. Ti chiederà di riavviare.
Se ottieni un messaggio di errore allora devi cliccare su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su servizi e scorri la lista fino a trovare il servizio da rimuovere. Doppio click, poi in Tipo di avvio scegli: Disabilitato. ripeti l'operazione con HJT.

Per l'altra voce fai di nuovo il fix con HJT e poi usa:

Fixwareout (http://downloads.subratam.org/Fixwareout.exe)

Lo lanci e ti chiede di installarlo. Alla fine lo esegui e accetta quello che ti chiede. Alla fine si dovrebbe aprire hijackthis con cui fai un nuovo log. Inoltre in C:\fixwareot\ trovi il report.txt che devi allegare.
Siccome agirà sui DNS alla fine riavvia e fai:

Pannello di controllo -->Connessioni di rete.
Clicca col tasto destro sulla connessione di rete.
Poi su proprietà.
Ora nella nuova finestra vai su Protocollo Internet (TCP/IP)
Clicca su Proprietà. Si apre un'altra finestra.
Seleziona Ottieni DNS Automaticamente.


P.S. FixWareout: Designed to repair the symptoms caused by Wareout, whose main objective is to hijack the DNS system to redirect our search Internet sites predetermined by this infection.

Ti rispondo subito per il primo problema:

Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: Windows Internet Connection Sharing e dai ok. Ti chiederà di riavviare.
Se ottieni un messaggio di errore allora devi cliccare su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su servizi e scorri la lista fino a trovare il servizio da rimuovere. Doppio click, poi in Tipo di avvio scegli: Disabilitato. ripeti l'operazione con HJT.

Mi da il messaggio di errore, ma nella lista dei Servizi msfav32 non c'è....

Nella lista dovrebbe esserci Windows Internet Connection Sharing Service.
Cercalo e disattivalo e poi ripeti l'operazione con HJT.

Ok, ho fatto entrambe le cose.

Ti allego i due log, mi diresti se è tutto ok?

Log Fixwareout
Username "Fello" - 09/12/2007 20.54.58 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Svuotata la cache del resolver DNS.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion "ybnsc" Value deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion "mvisc" Value deleted
HKCR\CLSID\{B2453143-A0D6-46CF-901D-B108F56C3986}\_h\4 Deleted.
HKCR\CLSID\{BFEE82AD-8C71-4848-A991-A6E7B82D349C}\_h\4 Deleted.
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemTray"="SysTray.Exe"
"GSICONEXE"="GSICON.EXE"
"DSLAGENTEXE"="dslagent.exe USB"
"SoundMan"="SOUNDMAN.EXE"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb07.exe"
"Synchronization Manager"="mobsync.exe /logon"
"ATIPTA"="C:\\Programmi\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"msnappau"="\"C:\\Programmi\\MSN Apps\\Updater\\01.02.0002.1001\\it\\msnappau.exe\""
"TkBellExe"="\"C:\\Programmi\\File comuni\\Real\\Update_OB\\realsched.exe\" -osboot"
"avgnt"="\"C:\\Programmi\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="C:\\Program Files\\ASUS\\SmartDoctor\\SmartDoctor.exe /start"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Log Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 21.19.05, on 09/12/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Fello\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.02.0002.1001\it\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://194.244.16.123/g_bin/eng/solitaire_2_0_0_28.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://194.244.16.123/g_bin/eng/cards_2_0_0_73.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://194.244.16.123/g_bin/eng/boards_2_0_0_32.cab
O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://194.244.16.123/g_bin/eng/slots90_2_0_0_35.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://194.244.16.123/g_bin/eng/navy_2_0_0_29.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://paolofello.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascinstie.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/240ca0ec9f3be660b105/netzip/RdxIE601_it.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1118701302937
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.it/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {7F8B1F27-AE54-479D-AACF-0A7B2334E7EE} (HTTPUplListX Control) - http://stampafoto.mediaworld.it/HTTPUplList.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://194.244.16.123/g_bin/eng/poker_2_0_0_48.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {9085316E-42BA-11D4-BAA3-0080C8D7ED4A} (GameDesire JungleHunter) - http://194.244.16.123/g_bin/eng/hunter_2_0_0_25.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://63.208.110.145/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Demon) - http://194.244.16.123/g_bin/eng/demon_2_0_0_30.cab
O16 - DPF: {A1FE3DEF-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Pirate) - http://194.244.16.123/g_bin/eng/pirate_2_0_0_30.cab
O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://194.244.16.123/g_bin/eng/slots70_2_0_0_33.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {A854AD6D-6DB5-41FB-8044-0BD38092A007} (Ganymede Sudoku) - http://194.244.16.123/g_bin/eng/sudoku_2_0_0_13.cab
O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - http://194.244.16.123/g_bin/eng/marbles_2_0_0_32.cab
O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://194.244.16.123/g_bin/eng/breakout_2_0_0_27.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://194.244.16.123/g_bin/eng/words_2_0_0_51.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://194.244.16.123/g_bin/eng/wordssingle_2_0_0_48.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.fueps.com/gp/resources/games/puzzle/PopCapGames/popcaploader_v10_it.cab
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://194.244.16.123/g_bin/eng/mahjong_2_0_0_29.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O16 - DPF: {E95CF138-A587-4C54-8175-3AD80997CB14} (GameDesire Soccer) - http://194.244.16.123/g_bin/eng/soccer_2_0_0_19.cab
O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://194.244.16.123/g_bin/eng/slots80_2_0_0_35.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://194.244.16.123/g_bin/eng/billard8_2_0_0_35.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://194.244.16.123/g_bin/eng/snooker_2_0_0_30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FC11221-FB53-43B6-A979-80A84A64C797}: NameServer = 85.37.17.40 85.38.28.85
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ptssvc - Unknown owner - C:\KODAK\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

Ora quelle due voci non ci sono più. Un ultima cosa: usi GameDesire? Se no, ci sono altre voci da fixare, altrimenti fai finta che non ti ho chiesto nulla.:D

Ora quelle due voci non ci sono più. Un ultima cosa: usi GameDesire? Se no, ci sono altre voci da fixare, altrimenti fai finta che non ti ho chiesto nulla.:D

Decisamente no. :mbe:

P.s: scusa il ritardo di risposta ma stavo aggiornando anche java alla 6.03 intanto che c'ero. :)

Allora fixa anche queste:

O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - htp://194.244.16.123/g_bin/eng/solitaire_2_0_0_28.cab

O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - htp://194.244.16.123/g_bin/eng/cards_2_0_0_73.cab

O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - htp://194.244.16.123/g_bin/eng/slots90_2_0_0_35.cab

O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - htp://194.244.16.123/g_bin/eng/boards_2_0_0_32.cab

O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - htp://194.244.16.123/g_bin/eng/slots90_2_0_0_35.cab

O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - htp://194.244.16.123/g_bin/eng/navy_2_0_0_29.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - htp://194.244.16.123/g_bin/eng/poker_2_0_0_48.cab

O16 - DPF: {9085316E-42BA-11D4-BAA3-0080C8D7ED4A} (GameDesire JungleHunter) - htp://194.244.16.123/g_bin/eng/hunter_2_0_0_25.cab

O16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Demon) - htp://194.244.16.123/g_bin/eng/demon_2_0_0_30.cab

O16 - DPF: {A1FE3DEF-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Pirate) - htp://194.244.16.123/g_bin/eng/pirate_2_0_0_30.cab

O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - htp://194.244.16.123/g_bin/eng/slots70_2_0_0_33.cab

O16 - DPF: {A854AD6D-6DB5-41FB-8044-0BD38092A007} (Ganymede Sudoku) - htp://194.244.16.123/g_bin/eng/sudoku_2_0_0_13.cab

O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - htp://194.244.16.123/g_bin/eng/marbles_2_0_0_32.cab

O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - htp://194.244.16.123/g_bin/eng/breakout_2_0_0_27.cab

O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - htp://194.244.16.123/g_bin/eng/words_2_0_0_51.cab

O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - htp://194.244.16.123/g_bin/eng/wordssingle_2_0_0_48.cab

O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - htp://194.244.16.123/g_bin/eng/mahjong_2_0_0_29.cab

O16 - DPF: {E95CF138-A587-4C54-8175-3AD80997CB14} (GameDesire Soccer) - htp://194.244.16.123/g_bin/eng/soccer_2_0_0_19.cab

O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - htp://194.244.16.123/g_bin/eng/slots80_2_0_0_35.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - htp://194.244.16.123/g_bin/eng/billard8_2_0_0_35.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - htp://194.244.16.123/g_bin/eng/snooker_2_0_0_30.cab

Argh scusa, ma non avevo notato e considerato che gamedesire è il fornitore dei giochi di Fueps, che uso regolarmente. Sorry.

Quindi tutto ok per il resto?

Argh scusa, ma non avevo notato e considerato che gamedesire è il fornitore dei giochi di Fueps, che uso regolarmente. Sorry.

Quindi tutto ok per il resto?

Il resto è ok.

@fello24

Sarebbe opportuno tu facessi una scansione con Gmer alla ricerca di eventuali rootkit visto che gli IP 85.255.115.76.... puntano ad UkrTeleGroup Ucraina questi bravi ragazzi sono decisamente impegnati nella distribuzione di malware
Scarica Gmer decomprimilo per praticità sul desktop, esegui gmer.exe. Lancia una scansione alla ricerca di eventuali Rootkit, riporta nel prossimo post le eventuali righe in rosso rilevate.
http://www.gmer.net/gmer.zip

Nessuna riga rossa, grazie mille comunque ad entrambi, siete stati gentilissimi. ;)

Ragazzi ciao, a Dio piacendo non sono infetto, è che ogni tanto sento la vostra mancanza e vorrei dare una controllatina al mio log di HJT, ho eliminato alcuni programmi e ne ho messi di nuovi ma nula di importante, ho solo un piccolo problema ma credo sia hardware non software: in pratica ogni volta che accendo la stampante (è una misera HP psc 1110) mi si scollega il modem, può essere un conflitto hardware o magari le porte usb che non fungono bene? E' uno scherzetto che fa da mesi, non è grave perchè la stampante la uso di rado, basta ricordarmi di scollegare il modem ogni volta che lancio una stampa, un pò palloso ma nulla di che......

Ecco il log, ho visto che ora NUZ se ne occupa, ma che fine ha fatto Glenda? Non la leggo da diversi giorni e mi sto preoccupando, se avete notizie aggiornatemi ok?
Ciao

(questa voce che appare da fixare mi disse proprio Glenda che se uso windows messenger è legittima: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) )

http://www.zshare.net/info.html?5523198-822de455efde626399a5306dc26bf073

@paolo-fcb

questa è relativa a MSN la puoi ignorare O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Utilizzi CoolStreaming o affini?
O16 - DPF: {3C38DEE8-BE1A-4DEC-B232-2C78706CC7EA} - hxxp://ps.itv.mop.com/update/update/GUpdate-1.0.0.10-signed.cab

Ecco il log, ho visto che ora NUZ se ne occupa, ma che fine ha fatto Glenda? Non la leggo da diversi giorni e mi sto preoccupando, se avete notizie aggiornatemi ok?
Ciao


viva è viva, altro nun zo'... :boh:

Io do solo una mano, così come gli altri.
Visto che sei un "cliente affezionato", che ne dici di fare un salto di qualità e inizi a controllare tu stesso i log di HJT con l'analizzatore?

http://www.hijackthis.de/index.php

Poi seguendo la guida e usando google per le righe sospette vedi che diventi anche tu un "esperto" :D .

Ah, dimenticavo nel log vedo un Activex di una iptv, riguardo al quale ti invito a leggere uno dei link che ho trovato:

http://www.coolstreaming.us/forum/showthread.php?t=3961

:mbe:

grazie a tutti ragazzi; io ho installato ppmate, un programmino che si usa per vedere eventi sportivi live dal sito www.rojadirecta.com, ce ne sono altri come soapcast o tvants, se mi consigliate di toglierlo lo tolgo, tanto grazie a Dio le mie 3 dquadre del cuore 9 volte su 10 le vedo tramite Sky (parlo della Roma, del Bayern e dei Celtic).
Nuz.......imparerò.....:).......azz è fantastico il link che mi hai dato, adesso diventerò più bravo di Glenda.........scherzoooooooooooo

Anch'io avevo installato ppmate e ti dico che quella voce si riferisce a pCast. Secondo me fai meglio a fixarla.

Nuz.......imparerò.....:).......azz è fantastico il link che mi hai dato, adesso diventerò più bravo di Glenda.........scherzoooooooooooo

comunque Paolo se non ti senti sicuro chiedi sempre un parere qui sul forum è fatto apposta, gli "esperti" ti sapranno consigliare ;)

Grazie Nuz, l'ho fixata, e grazie Chill......però.......cercasi Glenda disperatamente:)

Grazie Nuz, l'ho fixata, e grazie Chill......però.......cercasi Glenda disperatamente:)

OT:
allora qui c'è dell'altro :D :D

Scherzavo Chill:)

OFF TOPIC

Ciao Ragazzi, sono tornata... Purtroppo ho dei problemi personali e ho dovuto stare lontana dal pc, ad ogni modo ora credo che sarò di nuovo presente come prima.
Mi ha fatto davvero piacere che alcuni di voi si sono interessati a me, sono stata davvero sorpresa, in senso positivo,naturalmente... :p

GRAZIE :D

Mi scuso con tutti voi e con il Mod, per avermi "abbandonato" per qualche giorno senza spiegazioni, spero possiate se non perdonare, almeno capire!

:happy: ben ritornata!!!!
:cincin:
ciao ciao

Ciao mi dareste una controllatina anche a me nel log? Grazie:)

Logfile of HijackThis v1.99.1
Scan saved at 10.54.42, on 12/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\RemoteControlService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ASUS\Wireless Console\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\DAP\DAP.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\GIUSEPPE\Desktop\Nuova cartella (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.zonelabs.com/downloadrequest?updtConfId=1527&updtReqId=904589641
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe



Oops scusa letto e rimediato.

Pepcan per favore MODIFICA il tuo post secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) altrimenti non possiamo aiutarti :D

ot---bentornata Glenda!!!!!:) Ci 6 mancata, ciao, Paolo-fine ot---------

@ PEPCAN:

come detto da Glenda dovresti evitare di postare il log in quel modo ma attenerti alle regole di sezione, upparlo cioè su zSHARE (http://www.zshare.net/) e da lì noi lo si prende per il controllo.

Come suggerito dall'amico NUZ ora ci provo:

Dovresti fixare queste voci:

O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)

O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)

E soprattutto questa:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Correggetemi se sbaglio......:)

@ paolo:
purtroppo hai sbagliato...:D
le regole di sezione impongono che nn si puo aiutare chi sbaglia a postare il log...

Dovresti fixare queste voci:

...
...

Correggetemi se sbaglio......:)


Come hai detto te, Paolo, sappiamo bene che gli utenti devono allegare il proprio log e se non lo fanno nessuno deve dargli assistenza finchè non si mettono in regola :D Quindi non dovevi dire cosa fixare...

Sei molto presente nel forum, dovresti saperlo oramai ;)

....E soprattutto questa:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Correggetemi se sbaglio......:)

Questa fa parte del software audio della Realtek.

Paolo secondo me prima dovresti accumulare un po' di esperienza. Perchè l'analizzatore on-line non basta a volte.
Ovviamente la tua disponibilità è apprezzata.:D

Scusate ragazzi. Però sulle altre 2 ci ho azzeccato.....:)

in merito alla voce O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE molti di noi (compresa la sottoscritta) la fa fixare perchè certamente si è una parte del driver della Realteck ma è uno spyware anche se è a basso rischio.

Quindi perchè tenere uno spyware? ;) Io consiglio di fixare

Ecco le informazioni ufficiali:

spyware a basso pericolo che rigurda l'audio Realtek. Si può toglierlo dall'avvio automatico senza causare problemi al Pc.


Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor ones actions... Used by Realtek to gather data about customers

Allora avevo ragione io!!!!!:)

Cheers Glenda;) :cincin: :smack: :kiss:

in merito alla voce O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE molti di noi (compresa la sottoscritta) la fa fixare perchè certamente si è una parte del driver della Realteck ma è uno spyware anche se è a basso rischio.

Quindi perchè tenere uno spyware? ;) Io consiglio di fixare

Ecco le informazioni ufficiali:

ot:
si pensi a questo proposito case produttrici come la sony o la acer che nei loro bei notebook inseriscono delle utility che in realtà sono veri e propri spyware, e credo che la sony abbia di recente perso una causa x questo...corregetemi se sbaglio

Grazie per la precisazione Gle.:)

Allora avevo ragione io!!!!!:)

Cheers Glenda;) :cincin: :smack: :kiss:

stai bbbuonooo... :mbe:

sti' ragazzi, dai un'unghia e se pijano un braccio :D

in merito alla voce O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE molti di noi (compresa la sottoscritta) la fa fixare perchè certamente si è una parte del driver della Realteck ma è uno spyware anche se è a basso rischio.

Quindi perchè tenere uno spyware? ;) Io consiglio di fixare

Ecco le informazioni ufficiali:

si può anche evitare di fixarlo e disabilitarlo in avvio, il fixarlo comunque non comprometto la funzionalità della scheda audio. ;)

si può anche evitare di fixarlo e disabilitarlo in avvio, il fixarlo comunque non comprometto la funzionalità della scheda audio. ;)
Anche io ho un problema simile : Hijackthis mi rileva come file sospetto soundmax.exe,che è l'eseguibile del pannello di controllo della mia scheda audio.

Vi allego i log sia di Hijackthis che di gmer (datemi qualche cosiglio...devo fixare qualche voce ? Ne ho già parlato in quest'altro thread (http://www.hwupgrade.it/forum/showthread.php?p=20070255&posted=1)).

hijackthis.log - 0.01MB (http://www.zshare.net/download/55616888cbadc1/)

log_gmer.txt - 0.01MB (http://www.zshare.net/download/55617029264dc2/)

scusa franck, ma gia ti è stato risposto in quel 3d
se proprio hai dei dubbi su soundmax.exe, fallo esaminare su www.virustotal.com, come ti è gia stato suggerito da gle ;)
ciao

Anche io ho un problema simile : Hijackthis mi rileva come file sospetto soundmax.exe,che è l'eseguibile del pannello di controllo della mia scheda audio.

Vi allego i log sia di Hijackthis che di gmer (datemi qualche cosiglio...devo fixare qualche voce ? Ne ho già parlato in quest'altro thread (http://www.hwupgrade.it/forum/showthread.php?p=20070255&posted=1)).

hijackthis.log - 0.01MB (http://www.zshare.net/download/55616888cbadc1/)

log_gmer.txt - 0.01MB (http://www.zshare.net/download/55617029264dc2/)

fai così:

fai analizzare il file SoundMAX.exe su virustotal

poi ci son qsti ke mi sebrano sospetti:

O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

cmq niente crossposting...;)

...devo fixare qualche voce ? Ne ho già parlato in quest'altro thread (http://www.hwupgrade.it/forum/showthread.php?p=20070255&posted=1)).
E li mi sembrava di averti già risposto:
da fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe" /tray

O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O mi sbaglio??

scusa franck, ma gia ti è stato risposto in quel 3d
se proprio hai dei dubbi su soundmax.exe, fallo esaminare su www.virustotal.com, come ti è gia stato suggerito da gle ;)
ciao
Sì,ok...ma io volevo delle spiegazioni sul perchè sa Hijackthis che Gmer mi danno alcuni file come sospetti e poi mi hanno detto di non fixarli.

Sono dei falsi positivi ? Sono files di sistema di Windows Vista che vengono erroneamente considerati come virus o worm ?

E li mi sembrava di averti già risposto:


O mi sbaglio??
Ma poi Chill-Out mi ha detto che non devo cancellare niente.
Chi devo ascoltare ?

Ma poi Chill-Out mi ha detto che non devo cancellare niente. Chi devo ascoltare ?
Ma tu sa leggere? :mbe: Chill ti ha detto che non c'erano voci di GMER da rimuovere: sulla questione HThis non ti ha detto proprio nulla :muro:

Ma tu sa leggere? :mbe: Chill ti ha detto che non c'erano voci di GMER da rimuovere: sulla questione HThis non ti ha detto proprio nulla :muro:

Ma vedi che le ultime voci del log di gmer sono scritte in rosso (solo che me le dà come "hidden process").

Sicuro che non devo fixarle ?

Comunque il file soundmax.exe,scansionato su virustotal,risulta perfettamente "pulito".Ma virustotal rileva solo i virus o anche trojan e worm ?

Ma vedi che le ultime voci del log di gmer sono scritte in rosso (solo che me le dà come "hidden process").

Sicuro che non devo fixarle ?

Comunque il file soundmax.exe,scansionato su virustotal,risulta perfettamente "pulito".Ma virustotal rileva solo i virus o anche trojan e worm ?

mi sà che stai facendo confusione tra Gmer e HijackThis, per quanto riguarda Gmer lascia il mondo come stà, per quanto riguarda HijackThis fixa le voci che ti sono state indicate a parte questa.
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe" /tray

mi sà che stai facendo confusione tra Gmer e HijackThis, per quanto riguarda Gmer lascia il mondo come stà, per quanto riguarda HijackThis fixa le voci che ti sono state indicate a parte questa.
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe" /tray
Non ho ancora fixato le voci che mi hai detto,perchè ho paura che poi magari possa avere problemi al sistema.Ti faccio notare inoltre che sul sito castlecops anche altri di quei file (ad esempio AEADISRV.exe,DFSR.exe) vengono dati come "legitimate",il che significa che dovrebbero essere non pericolosi.
in oni caso,se decido di fixare,se poi dovessi avere dei problemi al sistema,come potrei ripristinare la situazione precedente ? Hijackthis non consente di fare copie di backup dei files o delle chiavi di registro ?

Le voci che ti hanno detto di fixare indicano tutte (file missing). E' per questo che ti è stato detto di fixarle. Inoltre HJT fa le copie di backup.
C'è da dire che trattandosi di voci O23 il fix potrebbe non bastare.

P.S. hai installato l'ultima versione dei driver, perchè io non ho soundmax.exe, ma soundtray.exe.

E dove vengono posizionate le copie di backup ?

Faccio notare che,anche se vengono indicate come "file missing",alcuni di quei file stanno effettivamente all'interno della directory "system32" di Windows...posso comunque fixarle?

Ad esempio,nella pagina di analisi del log di Hijackthis,cliccando su "Davvero sicuro" e leggendo la descrizione del file snmtrap.exe,leggo :

13.05.2007 - snmptrap.exe is a process belonging to the Microsoft Windows Operating System, related to the Simple Network Management Protocol (SNMP). This process listens for SNMP trap messages and processes them accordingly. This program is important for the stable and secure running of your computer and should not be terminated.

nella stessa cartella di hijackthis esiste la cartella backup

Apri HJT e c'è un pulsante con View the list of backups.

E dove vengono posizionate le copie di backup ?

Faccio notare che,anche se vengono indicate come "file missing",alcuni di quei file stanno effettivamente all'interno della directory "system32" di Windows...posso comunque fixarle?

Ad esempio,nella pagina di analisi del log di Hijackthis,cliccando su "Davvero sicuro" e leggendo la descrizione del file snmtrap.exe,leggo :

13.05.2007 - snmptrap.exe is a process belonging to the Microsoft Windows Operating System, related to the Simple Network Management Protocol (SNMP). This process listens for SNMP trap messages and processes them accordingly. This program is important for the stable and secure running of your computer and should not be terminated.
Ok sul fatto che vengono fatti i backup...ma non potrebbe essere pericoloso fixare questi files di sistema ?

Inoltre faccio notare che quando esploro la cartella Windows del mio hard disk,tutti quei file sono visibili in "system32",mentre quando tento di sottoporli a scansione con virustotal e vado a "sfogliare" l'hard disk,gli stessi file non riesco a vederli ! (mi riferisco a DFSR.exe,snmtrap.exe e AEADISRV.exe).

Inoltre faccio notare che quando esploro la cartella Windows del mio hard disk,tutti quei file sono visibili in "system32",mentre quando tento di sottoporli a scansione con virustotal e vado a "sfogliare" l'hard disk,gli stessi file non riesco a vederli ! (mi riferisco a DFSR.exe,snmtrap.exe e AEADISRV.exe).

chissà perchè (ovvero file missing), comunque nessuno mi toglie dalla testa che qualche pasticcio con l'OS tu l'abbia combinato.

chissà perchè (ovvero file missing), comunque nessuno mi toglie dalla testa che qualche pasticcio con l'OS tu l'abbia combinato.

Non credo di aver fatto casini...
Comunque molti di quei files (DFSR.exe,snmtrap.exe,AEADISRV.exe,UI0Detect.exe) riguardano il driver Soundmax della mia Asus striker...e in effetti l'unica operazione importante che ho fatto è stata quella di aggiornare i driver audio dal sito Asus.Infatti AEADISRv.exe,se fai una piccola ricerca su google,è un processo in background installato da questi driver audio,che sono prodotti da "Andrea Service" (uno dei più grandi produttori internazionali di hardware).

In ogni caso : mi consigliate di fixare ?

In ogni caso : mi consigliate di fixare ?
Senti fai una cosa, altrimenti domani sera siamo ancora qui a discutere ed a perdere del tempo:
NON LE FIXARE e fine della questione.
chissà perchè (ovvero file missing), comunque nessuno mi toglie dalla testa che qualche pasticcio con l'OS tu l'abbia combinato.
Chill, socio, sono d'accordo con te sul fatto che qualche problema al sistema operativo è presente; e non è un problema che, di certo, si è creato da solo ;)

Senti fai una cosa, altrimenti domani sera siamo ancora qui a discutere ed a perdere del tempo:
NON LE FIXARE e fine della questione.

Chill, socio, sono d'accordo con te sul fatto che qualche problema al sistema operativo è presente; e non è un problema che, di certo, si è creato da solo ;)
Non voglio assolutamente polemizzare,anche perchè so che siete più esperti di me,in quanto avete già aiutato tanta gente in questo thread a risolvere i loro problemi.Anzi vi ringrazio per il supporto che finora mi state dando ;) .
Un ultima cosa volevo capire : i possobili problemi del SO che hai detto,a cosa sono riferiti ? Al fatto che Hijackthis mi dà come "missing files" alcuni files che invece sono comunque presenti sul hard disk ?

ot-hai ragione Daniè; ragazzi non mi fate arrabbiare Riverside che quando si incaXXA diventa una bestia.......:D -fine ot--------

ciao, potete dare un occhiata a questo log e dirmi tutto la robaccia da fixare e magari anche i file inutili? Vi dico subito che il log non appartiene al mio pc, ma a quello di un mio amico. Dice che ha notato rallentamenti e visualizza spesso massaggi publicitari nei quali c'è scritto di installare un software a causa di infezioni(questo è quello che mi sembra mi abbia riferito).
Mi ha inviato il log e io lo invio a voi per farlo analizzare. Io cmq già ho visto un pò di robaccia, ma avendo pochissima esperienza,mi rivolgo a voi.
Ha un'altra cosa, mi ha detto che il messenger non lo riconosce più come utente e non può fare neanche nuove installazioni.(gli da sempre pw errata se ricordo bene) .Spero di non sbagliare a postare i log con le nuove regole.
Domani sera vado a casa di questo amico sperandodi risolvergli il problema con il vostro aiuto. Grazie. Vi posto il log :

ciao, potete dare un occhiata a questo log e dirmi tutto la robaccia da fixare e magari anche i file inutili? Vi dico subito che il log non appartiene al mio pc, ma a quello di un mio amico.
Direi che il tuo amico è parecchio incasinato ;)
La strada corretta è:

1) farlo registrare al forum;

2) fargli aprire un post nella sottosezione Aiuto sono infetto:
http://www.hwupgrade.it/forum/forumdisplay.php?f=125

3) prima di aprire il post, fargli leggere le Regole di Sezione:
http://www.hwupgrade.it/forum/showthread.php?t=1589984

4) seguire, inizialmente, la procedura preliminare, suggerita in questa Guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

Direi che, per ora, è tutto.

Direi che il tuo amico è parecchio incasinato ;)
La strada corretta è:

1) farlo registrare al forum;

2) fargli aprire un post nella sottosezione Aiuto sono infetto:
http://www.hwupgrade.it/forum/forumdisplay.php?f=125

3) prima di aprire il post, fargli leggere le Regole di Sezione:
http://www.hwupgrade.it/forum/showthread.php?t=1589984

4) seguire, inizialmente, la procedura preliminare, suggerita in questa Guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

Direi che, per ora, è tutto.

come immaginavo, c'è un bel pò di robaccia.
ok, allora 1° cosa da fare: registrazione forum e una lettura alle regole.
Una cosa non ho capito, prima di postare nella sezione "Aiuto sono infetto" dobbiamo prima fare tutto ciò che scritto nel passaggio 4? Cioè una volta data una mezza pulita con quei programmi, si passa poi alla sezione Aiuto sono infetto per postare i tutti risultati? grazie (da come ho capito,se non sbaglio, prima quella procedura(pass.4) e poi postare sulla sezione "Aiuto sono infetto"

da come ho capito,se non sbaglio, prima quella procedura(pass.4) e poi postare sulla sezione "Aiuto sono infetto"

Esattamente, hai capito benissimo :D

Fai registrare il tuo amico a questo forum, gli fai fare la procedura linkata al punto 4 da River e poi apre una discussione in Aiuto sono infetto dove dovrà spiegare i problemi che ha e allegare (come da regole di sezione) tutti i log delle procedure della guida:D

Ragazzi vi ricordate questa voce?:2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Ho visto che molti di noi ce l'hanno, se la si fixa volevo avvertire che l'unica differenza è che scompare dall'autorun l'iconcina in basso a destra relativa alla adsl, mentre windows messenger resta lì, ho fatto la prova.
Volevo invece domandarvi consiglio su 5 voci che ho nel mio log e sulle risposte che il classificatore linkatomi da Chiill-Out mi ha detto essere "applicazioni sconosciute" o altri msg ma le ha cmq classificate come sicure:
1- R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60308
Questa pagina è stata identificata come sicura.
(ma io il crawler toolbar l'ho disinstallato!)
2- R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308
Questa pagina è stata identificata come sicura.
(ma io il crawler toolbar l'ho disinstallato!)
3- R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308
Questa pagina è stata identificata come sicura.
(ma io il crawler toolbar l'ho disinstallato!)
4- F3 - REG:win.ini: load=
qui mi mette il punto interrogativo e mi dice: sicuro-Fuzzy Algorithmcheck (3.17 / 5.00), Neutral
5- F3 - REG:win.ini: run= idem e mi dice: neutral-Applicazione sconosciuta.

Conviene fixarle?
Ciao

4- F3 - REG:win.ini: load=
qui mi mette il punto interrogativo e mi dice: sicuro-Fuzzy Algorithmcheck (3.17 / 5.00), Neutral
5- F3 - REG:win.ini: run=
idem e mi dice: neutral-Applicazione sconosciuta.
Ciao
dopo il simbolo = non cè altro?.

Esattamente, hai capito benissimo :D

Fai registrare il tuo amico a questo forum, gli fai fare la procedura linkata al punto 4 da River e poi apre una discussione in Aiuto sono infetto dove dovrà spiegare i problemi che ha e allegare (come da regole di sezione) tutti i log delle procedure della guida:D

Ok, grazie mille ;) . Questa sera la vedo dura ma cercheremo di fare il meglio possibile. (chiaramente sempre grazie al vostro aiuto). Male che và si formatta tutto :D

Male che và si formatta tutto :D
Vade retro Satana :muro: raramente chi è passato dal forum ne è uscito per formattare ..... basta non seguire i miei suggerimenti :cool:

ciao ragazzi la mia amica ha un virus su msn e volevo una mano

ecco il documento


grazie mille

ciao ragazzi la mia amica ha un virus su msn e volevo una mano

Questi sono da fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programmi\Paltalk Messenger\Paltalk.exe (file missing)

Non vedo nulla che possa far pensare ad un virus preso da MSN Messenger: in ogni caso sul forum è presente l'apposita Guida con la procedura di rimozione.
Infine, la tua amica dovrebbe:
1) scaricare gli aggiornamenti del sistema operativo da Windows Update;
2) aggiornare alla nuova versione Internet Explorer
3) aggiornare JavaSun

Questi sono da fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programmi\Paltalk Messenger\Paltalk.exe (file missing)

Non vedo nulla che possa far pensare ad un virus preso da MSN Messenger: in ogni caso sul forum è presente l'apposita Guida con la procedura di rimozione.
Infine, la tua amica dovrebbe:
1) scaricare gli aggiornamenti del sistema operativo da Windows Update;
2) aggiornare alla nuova versione Internet Explorer
3) aggiornare JavaSun

1000 grazie :cool:

@ lo_straniero: c'è un file che non mi convince, per di più associato ad un servizio sospetto (aayiriaiuzyidxi). Vai su www.virustotal.com e fai analizzare questo:

C:\WINDOWS\system32\hui.exe

dopo il simbolo = non cè altro?.

No River, nulla dopo =

Vade retro Satana :muro: raramente chi è passato dal forum ne è uscito per formattare ..... basta non seguire i miei suggerimenti :cool:

Ok a stasera, speriamo vada tutto bene. Ora però vi chiedo un altro piccolo aiuto, ho un problemino sul mio pc. Pochi giorni fà ho installato un programma per filtare i video fatti con il mio cellulare(N95)., per poi passarli sul pc con dei risultati eccellenti. Sempre ieri notte, facendo una scansione (deep scan) con A-Squared3.0, mi vengono segnalati 18files infetti. I trojan sembrano partire da da ifile .exe di questo convertitore(rigenerator2). Potete gentilmente darmi un occhiata anche al mio log? A..,dimenticavo.. il Kis non mi segnala niente.

http://www.zshare.net/download/5588792adef064/
(se potete dare un occhiata in generale):)


questo è il log di A-Squared3.0 con i trojan. (falsi positivi?)

giadag per il tuo log esegui queste istruzioni per favore:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
(start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

CCLEANER: clicca qui per il download (http://www.filehippo.com/download/file/c9ce48d987364c0f0aa7ed4bfba7210a03e38b12fbb5808fa6fa9b996a626c8d/)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Scarica l’ultima versione di VirIt:clicca qui per il download (http://www.tgsoft.it/italy/download.htm).
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log e allegalo qui)

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e metti in quarantena tutto ciò che trova. (riposta il nuovo log)

Ciao!

giadag per il tuo log esegui queste istruzioni per favore .....
:eek: :mbe: Glenda ha già allegato il log di Asquared per farlo controllare ;)

:eek: :mbe: Glenda ha già allegato il log di Asquared per farlo controllare ;)

si infatti, mi manca solo la versione più aggiornata di ccleaner e VirIt. Proseguo?
Gle89 e Riverside sono messo male? :D

questo è il log di A-Squared3.0 con i trojan. (falsi positivi?)
Direi proprio di no :(
Ho l'impressione che, oltre al tuo amico, anche tu debba aprire un nuovo post nella sottosezione Aiuto sono infetto.
Per ora, tutto quel pacco di roba che è stato rilevato da Asquared, non lo eliminare e non lo mettere in quarantena.
Quando apri la discussione in Aiuto sono infetto, dalle come titolo Trojan-Downloader.Win32.AutoIt.au

@ lo_straniero: c'è un file che non mi convince, per di più associato ad un servizio sospetto (aayiriaiuzyidxi). Vai su www.virustotal.com e fai analizzare questo:
C:\WINDOWS\system32\hui.exe
:eek: li ho bucati entrambi :muro:

C:\WINDOWS\system32\hui.exe

O23 - Service: Print Spooler Service (aayiriaiuzyidxi) - Unknown owner - C:\WINDOWS\system32\hui.exe
:mad: :doh:

Ottimo Nuz ;)

@ lo_straniero: c'è un file che non mi convince, per di più associato ad un servizio sospetto (aayiriaiuzyidxi). Vai su www.virustotal.com e fai analizzare questo:

C:\WINDOWS\system32\hui.exe

provvedo ...visto che ci sie mi guardi questo che è mio per favore grazie :D

Direi proprio di no :(
Ho l'impressione che, oltre al tuo amico, anche tu debba aprire un nuovo post nella sottosezione Aiuto sono infetto.
Per ora, tutto quel pacco di roba che è stato rilevato da Asquared, non lo eliminare e non lo mettere in quarantena.
Quando apri la discussione in Aiuto sono infetto, dalle come titolo Trojan-Downloader.Win32.AutoIt.au

Ecco quà, sono infetto :D Il fatto che questo convertitore è pulito, la conferma mi è stata data da altri utenti che l'hanno installato e anche dall'autore del programma. Questi file appartengono proprio a questo rigenerator2, però li segnala solo a me. Forse loro non avranno A-Squared3.0. Vabbè, già ho dato una pulita con Ccleaner,come mi ha detto Gle89, adesso uso VirIt, scansione con A-Squared e riposto tutto nella sezione "aiuto sono infetto" :muro:

provvedo ...visto che ci sie mi guardi questo che è mio per favore grazie :D
Niente di particolare (ma ne ero sicuro), solo alcune voci inutili da fixare:

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 6.0\apdproxy.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

No River, nulla dopo =
Allora non ci sono problemi e, tra quelle che hai indicato, non devi fixare nulla.

grazie River:)

provvedo ...visto che ci sie mi guardi questo che è mio per favore grazie :D

il tuo log mi sembra pulito: potresti eliminare delle voci che si riferscono ai programmi che vengono caricati all'avvio

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 6.0\apdproxy.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

vediamo cosa dicono gli altri ;)
ciao

EDIT: già c'ha pensato river....:doh:

:eek: li ho bucati entrambi :muro:

C:\WINDOWS\system32\hui.exe

O23 - Service: Print Spooler Service (aayiriaiuzyidxi) - Unknown owner - C:\WINDOWS\system32\hui.exe
:mad: :doh:

Ottimo Nuz ;)

Può succedere visto che le segnava come buone. ;)

Può succedere visto che le segnava come buone. ;)
Chi? dal txt mi sono proprio sfuggite :muro:

Riverside e murack83pa :) :D

raga... gentilmente mi date una occhiata a sto logo? assie... :D

raga... gentilmente mi date una occhiata a sto logo? assie... :D

hijackthis rileva questo software della belkin come possibile spyware:

C:\PROGRA~1\Belkin\SOFTWA~1\BTSTAC~1.EXE

vediamo cosa dicono gli altri dottori

c sarebbe pure quest'altra voce da fixare, ma è facoltativa diciamo:


O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

che versione di avg hai? forse dovresti aggiornare avg...

Il log mi sembra pulito. La voce:

C:\PROGRA~1\Belkin\SOFTWA~1\BTSTAC~1.EXE

Si dovrebbe trattare del software del bluetooth.

L'altra voce fixala visto che agisce da "spyware".