View Full Version : AIUTO: come eliminare \J?VAW.EXE ?
Aiuto sono nei casini.
Ciao a tutti ho aperto un sito e per sbaglio ho dato l’ok all’istallazione di un file invece che annullare l’installazione.
Ho fatto la scansione con Ad-Aware che
mi ha trovato molti files spia che io ho messo in quarantena ma uno di questi C\WINNT\SYSTEM32\J?VAW.EXE non mi è possibile rimuovere perché mi dice che è usato dal sistema
Adesso, quando apro IE, mi rigenera i files spia e ogni tanto mi fa partire dei siti.
Chiedo come fare ad disistallare questo exe perché il PC è quello dell’ufficio e non voglio che si venga a sapere.
Grazie a tutti e speriamo bene.
Meteor
Disabilita il rispristino di sistema.
usa killbox http://www.bleepingcomputer.com/files/killbox.php
con l'opzione "Delete on reboot"
Disabilita il rispristino di sistema.
usa killbox http://www.bleepingcomputer.com/files/killbox.php
con l'opzione "Delete on reboot"
Prima di tutto non hai idea della mano che mi stai dando e ti ringrazio molto.
Ho fatto come mi hai detto:
Ho scaricato Pocket KillBox
l'ho lanciato
ho spuntato Delete on reboot
nella finestra directory metto C:\WINNT
ma quando vado a cercare nella finestra non c'è il file J?VAW.EXE ?!?!?
sbaglio qualcosa?
Grazie ancora.
Meteor
Devi mettere tutto il percorso del file:
C:\WINNT\SYSTEM32\J?VAW.EXE
Devi mettere tutto il percorso del file:
C:\WINNT\SYSTEM32\J?VAW.EXE
…..ebbene sì ho fatto come mi hai detto ma anche mettendo il percorso completo mi dice che il file non esiste. :muro:
Ieri preso dal panico sono andato nella cartella del System32 e visualizzando i files ne ho cestinati alcuni con data di questo mese.
Comunque AD- quando cerco di eliminarlo mi da il percorso detto ma se cerco anche con trova file e cartelle non lo trovo.
Altri suggerimenti…… per questo maledetto file? :cry:
Grazie
Meteor
juninho85
09-06-2005, 09:14
faccimao che ci posti un log di hijackthis?:D
faccimao che ci posti un log di hijackthis?:D
Mi vergogno profondamente di questa domanda che ti faccio: :(
potresti spiegarti meglio? :confused:
Grazie
Meteor
juninho85
09-06-2005, 09:57
scarichi il programma hijackthis,fai il log e lo posti quà
Disabilita il rispristino di sistema.
usa killbox http://www.bleepingcomputer.com/files/killbox.php
con l'opzione "Delete on reboot"
cos'è killbox??
scarichi il programma hijackthis,fai il log e lo posti quà
giustissimo quoto
cos'è killbox??
E' un programmino che permette di cancellare files altrimenti incancellabili.
ciao
scarichi il programma hijackthis,fai il log e lo posti quà
Logfile of HijackThis v1.99.1
Scan saved at 13.56.05, on 09/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\Programmi\osbs\nrcs.exe
C:\WINNT\system32\j?vaw.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Documenti\Testi Vari\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\gCasini\IMPOST~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {29E5ED6E-72FC-465B-9F8E-D57678D83FED} - C:\WINNT\system32\nlbd.dll (file missing)
O2 - BHO: (no name) - {F7561513-D0D9-A721-863D-8A1D853710CA} - C:\WINNT\system32\inpdf.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [anassim] c:\programmi\syswin\syswin.exe
O4 - HKLM\..\Run: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\gCasini\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Uhbo] C:\Programmi\osbs\nrcs.exe
O4 - HKCU\..\Run: [Fibtvy] C:\WINNT\system32\j?vaw.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O17 - HKLM\System\CCS\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O17 - HKLM\System\CS1\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O17 - HKLM\System\CS2\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
Ho fatto come hai detto. :D
Grazie per la pazienza. ;)
Meteor
Fixa queste righe:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\gCasini\IMPOST~1\Temp\se.dll/spage.html
O2 - BHO: (no name) - {29E5ED6E-72FC-465B-9F8E-D57678D83FED} - C:\WINNT\system32\nlbd.dll (file missing)
O2 - BHO: (no name) - {F7561513-D0D9-A721-863D-8A1D853710CA} - C:\WINNT\system32\inpdf.dll (file missing)
O4 - HKLM\..\Run: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINNT\system32\desktop.exe
e poi tutti gli 015 di cui non conosci i siti o gli ip in modo particolare fai attenzione a quelli che cominciano con questo:*
inoltre hai provato a terminare J?VAW.EXE dal task?
Fixa queste righe:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\gCasini\IMPOST~1\Temp\se.dll/spage.html
O2 - BHO: (no name) - {29E5ED6E-72FC-465B-9F8E-D57678D83FED} - C:\WINNT\system32\nlbd.dll (file missing)
O2 - BHO: (no name) - {F7561513-D0D9-A721-863D-8A1D853710CA} - C:\WINNT\system32\inpdf.dll (file missing)
O4 - HKLM\..\Run: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINNT\system32\desktop.exe
e poi tutti gli 015 di cui non conosci i siti o gli ip in modo particolare fai attenzione a quelli che cominciano con questo:*
inoltre hai provato a terminare J?VAW.EXE dal task?
Uella Ymen. ti sei dimenticato questi:
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\gCasini\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKCU\..\Run: [Fibtvy] C:\WINNT\system32\j?vaw.exe
Non mi piacciono pure questo:
O4 - HKCU\..\Run: [Uhbo] C:\Programmi\osbs\nrcs.exe
questo non serve a nulla:
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\osa.exe
e alla fine farei girare anche CWShredder che trovi qui:
http://www.softwarepatch.com/software/cwdownload.html
Uella Ymen. ti sei dimenticato questi:
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\gCasini\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKCU\..\Run: [Fibtvy] C:\WINNT\system32\j?vaw.exe
hai ragione non li avevo notati :stordita:
Non mi piacciono pure questo:
O4 - HKCU\..\Run: [Uhbo] C:\Programmi\osbs\nrcs.exe
l'avevo notato anch'io ma poi l'ho sorvolato :D
questo non serve a nulla:
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\osa.exe
perchè? cos'è?
e alla fine farei girare anche CWShredder che trovi qui:
http://www.softwarepatch.com/software/cwdownload.html
giusto e in più prova anche spybot S&D e ewido e magari dopo aver fatto tutto ciò che ti abbiamo detto riposta il log nuovo :D
Serve per la ricerca dei programmi di Office. Però , si racconta che, con o senza, la solfa non cambia.
E' un optional.
juninho85
09-06-2005, 14:08
Serve per la ricerca dei programmi di Office. Però , si racconta che, con o senza, la solfa non cambia.
E' un optional.
esatto
Allora ragazzi prima di tutto grazie 1000. :stordita:
Ho fatto come mi avete detto anche se con circospezione perchè sono in ufficio, questo è il risultato:
Logfile of HijackThis v1.99.1
Scan saved at 16.39.34, on 09/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\Programmi\osbs\nrcs.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\IBM\CLIENT~1\Emulator\pcsws.exe
C:\Programmi\IBM\Client Access\Emulator\PCSCM.EXE
C:\Programmi\Outlook Express\msimn.exe
D:\Documenti\Testi Vari\Foto\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [anassim] c:\programmi\syswin\syswin.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Uhbo] C:\Programmi\osbs\nrcs.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted IP range: 67.19.178.84
O17 - HKLM\System\CCS\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O17 - HKLM\System\CS1\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O17 - HKLM\System\CS2\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
Cosa mi dite adesso?
Ciao e Grazie
Meteor
juninho85
09-06-2005, 15:47
C:\WINNT\system32\internat.exe
;)
Non siamo ancora a posto.
Da fare in modalità provvisoria e dopo aver disabilitato il "system restore"
Fixare:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [anassim] c:\programmi\syswin\syswin.exe
O4 - HKCU\..\Run: [Uhbo] C:\Programmi\osbs\nrcs.exe
O15 - Trusted IP range: 67.19.178.84
cancella le directory:
c:\programmi\syswin
C:\Programmi\osbs
E' un programmino che permette di cancellare files altrimenti incancellabili.
ciao
;)
Ragazzi toccando ferro e qualcosaltro...... :D
credo spero di aver risolto.
Stamani dopo aver acceso il PC la situazione è questa:
Logfile of HijackThis v1.99.1
Scan saved at 14.36.51, on 10/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\IBM\CLIENT~1\Emulator\pcsws.exe
C:\Programmi\IBM\Client Access\Emulator\PCSCM.EXE
C:\Programmi\Outlook Express\msimn.exe
D:\Documenti\Testi Vari\01\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O17 - HKLM\System\CS1\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O17 - HKLM\System\CS2\Services\Tcpip\..\{199C92FA-9907-46CD-AE41-434C9EA812F5}: NameServer = 172.30.4.1,212.131.30.42,212.131.30.43
O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
e anche AD-Aware mi dice ok :Prrr:
Controllate l'ultima volta se tutto è ok per favore intanto ringrazio tutti per il grande aiuto che mi avete dato.
Ciao
Meteor
Sei pulito a parte gli 017 che sono presenti anche nel mio log e sto cercando di capire che sono (vedi qui (http://www.hwupgrade.it/forum/showthread.php?p=8558854#post8558854) )
Direi che è pulito come un lenzuolo bianco appena candeggiato :D
Sei pulito a parte gli 017 che sono presenti anche nel mio log e sto cercando di capire che sono (vedi qui (http://www.hwupgrade.it/forum/showthread.php?p=8558854#post8558854) )
Mi autoquoto perchè mi hanno detto che sono gli indirizzi DNS e DHCP del provider Internet quindi ti posso finalmente dire che sei pulito e che non hai nulla di cui preoccuparti ma prendi un buon antivirus firewall e antispyware
PS: per la scelta ti può aiutare questa (http://www.hwupgrade.it/forum/showthread.php?t=919887) discussione e fai il test di cui si parla nella stessa te lo consiglio
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.