View Full Version : AIUto , virus keylogger
Un virus, chiamato da Norton Keylogger trojan è nel pc.
Dopo una scansione Norton(regolarmente aggiornato), ha trovato ben 10 minacce nel pc, ma questo antivirus di "merda"(scusate ma se lo merita) come al solito non è stato capace di fare nulla!
Volete sapere il responso di Norton??
-Imposssibile riparare
-Impossibile mettere in quarantena
-Impossibile eliminare(acesso non consentito).
Consigli? Ignora o Escludi da prossime scansioni!
Ma dico io e questo è un antivirus?'
Riesce di media a rimediare 1 minaccia su 10, e le altre finisco con ignoira o escludi.
In ogni caso il virus dentro al pc mi blocca quasi tutto.
Il disco rigido lavora di continuo.
Non mi permette di entrare nei servizi, o task maneger per provare a disattivarlo.
Qualche consiglio?
Voglio assolutamente togliere subito Norton, ditemi il nome di un antivirus efficace che mi permetta di ripulire il pc, magari abbinato a un buon firewall, e poi elimino Norton una volta x tutte e non voglio più sentirlo nominare!!!
Si in effetti chiedo scusa , avevo sbagliato completamente sezione.
Qualcuno mi aiuta? :)
Posta il report di Hijackthis.
Come fare leggi qui:
http://www.hwupgrade.it/forum/showthread.php?t=937676
Ho installato AVG, e provato con 2 antivirus online, ma non trovano nulla!
Solo Norton lo trova , ma non riesce a rimediare.
Il virus è indicato nella cartella System 32, nel file spoolsvc.dll.
Non so se sia un file di sistema infettato o un file da eliminare, in ogni caso risulta ben protetto e impossibile da rimuovere o spostare.
Nesssuno sa come eliminare il virus in questione?
Posso provare a cancellare la DLL di cui ho detto sopra?
Come fare se non è acesssibile?
Fare le scansioni con gli antivirus online è difficile visto che il pc è divenuto lentissimo e si blocca in continuazione.
Il disco lavora di continuo x conto suo, potete immaginare le ore che impiegherebbe per fare una scansione del sistema!!
Qualche consiglio??
Eliminare il file non è un problema.
start-esegui e poi digita CMD (invio)
poi digita:
cd \ (invio)
cd windows\system32 (invio)
regsvr32 /u spoolsvc.dll (invio)
del spoolsvc.dll (invio)
exit (invio)
occhio agli spazi
scusa se hai aspettato, ma aspettavo il report di Hijackthis
comunque indormazioni su come ha operato sui registri le trovi qui
http://www.sophos.com/virusinfo/analyses/trojdropperat.html
Norton non rimaneva più aperto mi dava "errore interno nel programma",allora l'ho disinstallato ed ho installato AVG 7.0beta plus firewall è una versione per beta tester, quin di non l'ho pagata ed è valida un anno, così posso provarmela per benino.A proposito che ne pensate di AVG??
Qualcuno lo usa e può scrivere le sue impressioni??
Comunque ora il pc va molto meglio, però mi sembra strano che nessuno degli antivirus con cui ho fatto la scansione mi trovi il trojan Keylogger, solamente Norton lo rileva!!
Ora provo a fare la scansione Online con l'antivirus che mi avete detto sopra e vi postom il risultato, visto che al momento il pc sembra molto più funzionale! :)
Un'altra cosa che vorrei chiedere è come posso togliere tutte le tracce che Norton mi ha lasciato in giro per il sistema operativo, visto che sembra essersi inserito dappertutto!
Esiste un utility per ripulire il pc in modo completo da Norton ed eventualmente tracce di altri programmi rimossi in passato.
grazie :)
Posta il report di Hijackthis.
Come fare leggi qui:
http://www.hwupgrade.it/forum/showthread.php?t=937676
Ma prima di usare Hijathis devo rimuovere ogni altro antivirus dal pc??
QUesto è il risultato della scansione.
Logfile of HijackThis v1.99.1
Scan saved at 20.46.22, on 17/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programmi\U.S. Robotics\SureConnect ADSL Utility\USRSureConnect.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
G:\Documents and Settings\Cervellin Tiziano\Documenti\Driver\Hiijackthis\File programma\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Utilità di U.S. Robotics SureConnect ADSL.lnk = ?
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114677480857
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4489/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97E0B684-CBFE-4A4D-BDE6-B103927D9E0E}: NameServer = 213.205.32.70 213.205.36.70
O20 - Winlogon Notify: spoolsvc - C:\WINDOWS\SYSTEM32\spoolsvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
Che ne dite?? :eek:
Ci sono problemi!
Scarica Lspfix.exe da qui: http://www.cexx.org/lspfix.htm
Lancialo, ma non mettere il signo di spunta in "I know what I'm doing".
alla fine clicca Finish
Reboot in modalita provvisoria e cancella il file:
c:\windows\system32\avgfwafu.dll
Lancia Hijackthis e fixa:
O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
O20 - Winlogon Notify: spoolsvc - C:\WINDOWS\SYSTEM32\spoolsvc.dll
cancella il file
C:\WINDOWS\system32\spoolsvc.exe
riparti in modalità normale e rimetti il log di Hijackthis
ciao
Ci sono problemi!
Scarica Lspfix.exe da qui: http://www.cexx.org/lspfix.htm
Lancialo, ma non mettere il signo di spunta in "I know what I'm doing".
alla fine clicca Finish
Reboot in modalita provvisoria e cancella il file:
c:\windows\system32\avgfwafu.dll
Lancia Hijackthis e fixa:
O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
O20 - Winlogon Notify: spoolsvc - C:\WINDOWS\SYSTEM32\spoolsvc.dll
cancella il file
C:\WINDOWS\system32\spoolsvc.exe
riparti in modalità normale e rimetti il log di Hijackthis
ciao
Ok, ora lo faccio, poi riposto il risultato :)
grazie del tuo aiuto ;)
Cester ricordati di togliere il "rispristino di sistema"
Non mi permette di cancellare il file avgfwafu.dll, negandomi l'accesso!
come posso fare??
start-esegui e poi digita CMD (invio)
poi digita:
cd \ (invio)
cd windows\system32 (invio)
regsvr32 /u avgfwafu.dll (invio)
del avgfwafu.dll (invio)
exit (invio)
start-esegui e poi digita CMD (invio)
poi digita:
cd \ (invio)
cd windows\system32 (invio)
regsvr32 /u avgfwafu.dll (invio)
del avgfwafu.dll (invio)
exit (invio)
Devo farlo in modalità provvisoria o non serve?
Ma si.. fallo in modalità provvisoria.
Non so se funziona anche in modalità normale. Ma perchè non provare?
Questo file è stato caricato, ma il punto di ingresso unregistre server non è stato trovato.
Questo file non può essere registrato.
O una cosa del genere, più o meno questo è il messaggio che ne è uscito.
per dovere di cronaca ho fatto l'operazione in modalità normale, ma suppongo qualcosa sia andato storto.
Ora controllo se il file c'è ancora. :p
Si, purtroppo è sempre li, vivo e vegeto :)
Posta il log di hijackthis grazie
Eccolo:
Logfile of HijackThis v1.99.1
Scan saved at 22.49.28, on 17/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programmi\U.S. Robotics\SureConnect ADSL Utility\USRSureConnect.exe
G:\Documents and Settings\Cervellin Tiziano\Documenti\Driver\Hiijackthis\File programma\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Utilità di U.S. Robotics SureConnect ADSL.lnk = ?
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114677480857
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4489/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97E0B684-CBFE-4A4D-BDE6-B103927D9E0E}: NameServer = 213.205.32.70 213.205.36.70
O20 - Winlogon Notify: spoolsvc - C:\WINDOWS\SYSTEM32\spoolsvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
Ma avevi lanciato Lspfix.exe ?
Non è cambiato nulla dal penultimo che avevi messo :confused:
Si l'ho lanciato.
In effetti mi dava un risultato dove nella lista delle operazioni eseguite apparivano tutti 0, pur dicendo operazione eseguita con successo.
Cioè in pratica non ha fatto nulla!
Non è che sia molto pratico, però occorre spostare tutte le linee contenenti avgfwafu.dll nella zona remove e poi clikkare su finish.
Non è che sia molto pratico, però occorre spostare tutte le linee contenenti avgfwafu.dll nella zona remove e poi clikkare su finish.
Ok, ci provo. :)
L'ho fatto però ho dovuto spuntare I know what I'm doing che mi avevi detto di non fare , altrimenti non potevo selezionare i file da eliminare in manuale.
Ora ha eliminato 16 file.
rifaccio lo scan e posto i mrisultati.
Eccola:
Logfile of HijackThis v1.99.1
Scan saved at 23.39.55, on 17/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programmi\U.S. Robotics\SureConnect ADSL Utility\USRSureConnect.exe
C:\Programmi\Winamp\Winamp.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
G:\Documents and Settings\Cervellin Tiziano\Documenti\Driver\Hiijackthis\File programma\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Utilità di U.S. Robotics SureConnect ADSL.lnk = ?
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114677480857
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4489/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97E0B684-CBFE-4A4D-BDE6-B103927D9E0E}: NameServer = 213.205.32.70 213.205.36.70
O20 - Winlogon Notify: spoolsvc - C:\WINDOWS\SYSTEM32\spoolsvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
Bene ... adesso si deve togliere delle righe utilizzando Hijackthis.
Lancia Hijackthis e metti il segno di spunta(a sinistra) delle seguenti due righe:
O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
O20 - Winlogon Notify: spoolsvc - C:\WINDOWS\SYSTEM32\spoolsvc.dll
e poi clikka su Fix (in basso a destra)
fai il reboot della macchina
Ps: con LpFix hai tolto solo le righe con avgfwafu.dll vero?
Bene ... adesso si deve togliere delle righe utilizzando Hijackthis.
Lancia Hijackthis e metti il segno di spunta(a sinistra) delle seguenti due righe:
O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
O20 - Winlogon Notify: spoolsvc - C:\WINDOWS\SYSTEM32\spoolsvc.dll
e poi clikka su Fix (in basso a destra)
fai il reboot della macchina
Ps: con LpFix hai tolto solo le righe con avgfwafu.dll vero?
Si, però quelle righe probabilmente erano file di AVG, infatti l'antivirus e il control center non funzionano più!!
Ops .. è possibile, ma non dovevano essere li.
Reinstalla l'antivirus.
Scusa il disagio
Ok, fatto tutto, ora reistallo l'antivirus, non preoccuparti, anzi grazie per quello che stai facendo. ;)
Ok, ho reistallato l'antivirus, ora tutto sembrerebbe ok.
Grazie mille :)
:sperem: ciao e buonanotte :)
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.