Mi succede da un pò che dopo aver caricato Windows XP SP2, andando in start e risorse del computer, mi chida di connettermi ad internet. :eek:
Non lo ha mai fatto prima, e ho controllato più e più volte la presenza di virus o altre schifezze con vari programmi. Ho controllato anche i processi, ma mi sembra non ce ne siano di strani. Inoltre si nota che nello spazio destinato alla password le i caratteri inseriti sono molti di più di quella utilizata per il collegamento, mentre l'id del cliente è lo stesso. Come antivirus e firwall uso trend micro, inoltre Adaware e Spyboot. Qualcuno sa aiutarmi? :cry:

Mi succede da un pò che dopo aver caricato Windows XP SP2, andando in start e risorse del computer, mi chida di connettermi ad internet. :eek:
Non lo ha mai fatto prima, e ho controllato più e più volte la presenza di virus o altre schifezze con vari programmi. Ho controllato anche i processi, ma mi sembra non ce ne siano di strani. Inoltre si nota che nello spazio destinato alla password le i caratteri inseriti sono molti di più di quella utilizata per il collegamento, mentre l'id del cliente è lo stesso. Come antivirus e firwall uso trend micro, inoltre Adaware e Spyboot. Qualcuno sa aiutarmi? :cry:

ehm ehm...........inviaci il log con hijackthis. :confused:

Ultimamente lo fa sempre, solo quando accedo a
risorse del computer, mi chiede di collegarmi.
Ecco il log con HijackThis, spero possa essere d'aiuto.


Logfile of HijackThis v1.99.1
Scan saved at 15.24.40, on 31/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\programmi\asus\probe\AsusProb.exe
C:\Programmi\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOCUME~1\nik\IMPOST~1\Temp\Directory temporanea 1 per Hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programmi\ZUM\acrbat.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUS Probe] c:\programmi\asus\probe\AsusProb.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {E61135DF-716D-49A7-B29B-8287A1CD072C} (WidelookX Control) - http://81.208.113.59/it/widelook/WidelookX.cab
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

fai anche una scansione con search e destroy e ad aware inoltre fai un ultima scansione con norton.............ah poi fammi vedere una cosa............

vai su
start-pannello di controllo-prestazioni e manutenzioni-strumenti di amministrazione-visualizzatore eventi, adesso ti compare una lista di errori segnali ecc....
tu devi trovare la stessa ora lo stesso giorno e lo stesso minuto in cui quella finestra di connessione ti si è aperta de trovi il log nel visualizzatore fammi uno samp e invialo.............cosi ci si capisce meglio.

Forse è il caso di sentire il parere dei ragazzi di Antivirus & Sicurezza :D

Spostato

Ho controllato ancora una con Adaware e Spyboot, non hanno trovato niente. Sono andato nel registro eventi ed era disabilitato. L'ho attivato, e la prima volta che ho riavviato mi è venuta furi l'icona degli aggiornamenti automatici disabilitati. Ho provato, e questa volta non è successo niente. Ho riprovato una seconda volta dopo aver riavviato e niente ancora. Bo sembra sistemato per il momento, e spero per sempre. Inoltre adesso l'antivirus è molto più veloce a caricarsi. Misteri :mbe:
Se dovesse rifarsi vivo riscriverò in queste pagine. Per il momento grazie per l'aiuto. :)

di nulla zi :D

Ritiro tutto.. Dopo aver aggiornato windows installer con windows update, e successivamente riavviato è ricomparso il fenomeno. :eek: Ho preso il registro eventi e scrivo qua sotto quello che corrisponde all'apertura di risorse del computer. Cavoli

L'azione è stata avviata al secondo 30, dopo un pò è comparsa la connessione remota, poi ho provato a collegarmi.

In Applicazione:
Informazioni 31/05/2005 20.35.34 ESENT 102
Informazioni 31/05/2005 20.35.34 ESENT 100

Questo è quello che c'è scritto cliccando in ordine

wuauclt(2484) SUS20ClientDataStore
wuauclt(2484) Motore del database (vari numeri) avviato

Non so proprio perchè prima non lo facesse. L'antivirus si carica più velocemente e quello è rimasto, l'unica cosa diversa è che adesso non c'è più l'icona che mi dice degli aggiornamenti automatici disabilitati.

da come scrivi sembra che sia dovuta ad un applicazione interna nel sistema..................
che me lo faresti lo stamp della casella in visualizzatore eventi cosi ci capisco meglio :D

Controlla se il file si trova qui : C:\WINDOWS\System32\wuauclt.exe

se è in un'altra posizione ehmm .. c'è un virussino :(

Ho controllato e wuauclt.exe è nella cartella giusta. C'è anche in prefetch, è un problema? Dopo aver disattivato nuovamente il windows update sembra che non lo faccia... ma adesso provo a riavviare e vediamo.

Controlla se il file si trova qui : C:\WINDOWS\System32\wuauclt.exe

se è in un'altra posizione ehmm .. c'è un virussino :(


impossibile zi che abbia un virus. l'ho escluso fin dal primo momento che ho visto che ha norton. :D

Ho controllato e wuauclt.exe è nella cartella giusta. C'è anche in prefetch, è un problema? Dopo aver disattivato nuovamente il windows update sembra che non lo faccia... ma adesso provo a riavviare e vediamo.


fai lo stamp di quella casella nel visualizzatore. :Prrr:

Cerco di fare ordine. Ho riavviato due volte. Dopo la prima lo ha fatto, ma ho controllato bene i tempi, cioè facendo un'operazione ogni minuto per far si che non si sormontassero per caso alcune di sistema, e mi sembra che nel registro non compaia nulla. La seconda non lo ha fatto. Non so più che pesci pigliare. Forse mi prende in giro.. :mc:
Comunque tendo ad escludere che sia l'affare di cui ho scritto sopra, probabile che si sia trattata di una coincidenza di tempi fra l'operazione che doveva fare il sistema e quello che ho fatto io. Infatti nel secondo caso dove non è apparso il collegamento della connessione remota, nel registro quell'operazione compare ugualmente. Altro che posso tentare?
Per la precisazione non ho Norton Antivirus, ma Trend Micro Internet Security.

Il problema è che wuauclt.exe è il programma di windows update per windows ME e tu hai XP.

controlla se non hai un file di nome wmsvc.exe

comunque entrambi, se sonon presenti vanno assolutamente cancellati.

controlla se esiste un'entry anche con start-esegui-msconfig

prebbe essere questo:
http://www.sophos.com/virusinfo/analyses/w32rbotug.html

Il file wmsvc.exe non è presente, mentre non c'è nessun riferimento in msconfig a questi file. Faccio una scansione con qualcosa online? Il pc per il resto è una bomba, che sia un virus che Trend Micro non trova?

prova spy sweeper

Il problema è che wuauclt.exe è il programma di windows update per windows ME e tu hai XP.

controlla se non hai un file di nome wmsvc.exe

comunque entrambi, se sonon presenti vanno assolutamente cancellati.

controlla se esiste un'entry anche con start-esegui-msconfig

prebbe essere questo:
http://www.sophos.com/virusinfo/analyses/w32rbotug.html


nn credo sia un worm zi :stordita:

Sto provando con Panda Online. Bo per adesso non trova nulla. Però è strano che alle volte vada e alle volte no. Ricordo un periodo di due settimane che non lo ha mai fatto.

quando hai finito con panda, fai un giro anche con mwav che trovi qui:
http://channels.lockergnome.com/win...irus_tool.phtml

Scaricalo e lancialo. Non ha bisogno di installazione

Sto provando con Panda Online. Bo per adesso non trova nulla. Però è strano che alle volte vada e alle volte no. Ricordo un periodo di due settimane che non lo ha mai fatto.

:rolleyes:

A quel link non mi trova nulla di specifico. H
o sbagliato qualcosa?

A quel link non mi trova nulla di specifico. H
o sbagliato qualcosa?

ehm ehm..............hai provato con un ripristino? :p

A quel link non mi trova nulla di specifico. H
o sbagliato qualcosa?

Ops.... prova qui
http://www.spywareinfo.dk/download/mwav.exe

Con Panda ho trovato questi due, uno disinfettato, l'altro no.


Adware:Adware/BHO No disinfected C:\Programmi\ZUM\task.exe
Virus:Trj/Downloader.BBQ Disinfected C:\WINDOWS\system32\winvbie.dll

Cancellare il tutta la directory ZUm serve a qualcosa?

Non so se sia questo il problema comunque meglio di niente.

Con Panda ho trovato questi due, uno disinfettato, l'altro no.


Adware:Adware/BHO No disinfected C:\Programmi\ZUM\task.exe
Virus:Trj/Downloader.BBQ Disinfected C:\WINDOWS\system32\winvbie.dll

Cancellare il tutta la directory ZUm serve a qualcosa?

Non so se sia questo il problema comunque meglio di niente.

posso chiederti se con norton hai aggiornato le definizioni virus?

Non è Norton, è Trend Micro comunque è sempre aggiornato. Ora sto controllando con quello scaricato dal link fornito da bluepix, e finora ha trovato una dll che dice essere una toolbar. Vediamo quando finisce.. sono quaranta minuti che va. :stordita:

ok allora staremo a vedere :D

Finalmente hho finito.. di sudare. :D Allora trovato l problema: winvbie.dll. Ho cercato su questo forum e ho trovato un utente che pochi girni fa aveva il mio stesso problema, e tolto winvbie.dll ha risolto. Non ho ben capito come però :stordita: Vado aleggere bene e provo. In caso scriverò il risultato. Grazie a tutti per l'aiuto. ;)

di nulla zi :D

Ok risolto tutto. Già con il riavvio il file non esisteva più. In questo caso ottimo il Panda online, però con il mio pensavo già di essere coperto :( Causa di tutto la seguente dll: winvbie.dll. Se vi parte da sola la connesione remota quando andate in esplora risorse eliminate subito questo file.
Ancora un grazie a tutti per i consigli.

Ok risolto tutto. Già con il riavvio il file non esisteva più. In questo caso ottimo il Panda online, però con il mio pensavo già di essere coperto :( Causa di tutto la seguente dll: winvbie.dll. Se vi parte da sola la connesione remota quando andate in esplora risorse eliminate subito questo file.
Ancora un grazie a tutti per i consigli.

ensomma questo panda online............però zi..............
quanto ci hai messo a far la scnsione con questo panda online???
mi dici il link?????????????????? cosi faccio una bella scansione anche io và----------- :stordita:

L'ho tovato in una discusione in rilievo nel forum, dove ci sono anche altri collegamenti per scansioni online. Di tempo ci si impiega un pò di più che farlo offline.

Se volete un consiglio, per fare una scansione più acccurata entrate in modalità provvisoria, magari dopo aver disattivato l'opzione di ripristino configuarazione di sistema. In questo modo avete accesso VERAMENTE a tutto il PC!!!!!!

Try to believe.

Ciao :read: