|
|||||||
|
|
|
 |
|
|
Strumenti |
12-08-2006, 17:21
|
#1 |
|
Senior Member
Iscritto dal: Jul 2002
Messaggi: 9997
|
Shared infette.....cosa fare?????
Ciao a tutti
da 2 giorni a questa parte ho sicuramente le shared.dll infette..... 2 notti fa mentre navigavo mi si è autoinstallato KillAndCLean!..... disconnetto...e disinstallo subito....faccio partire ad aware, spybot.....tutto ok..... giorno dopo accendo il pc, tutto ok! mi collego, gioco....poi mi vien voglia di giocare a Fire Department2(gioco che ha la protezione Cdadillac se non sbaglio)....il programma controlla il cd e mi da errore, il file fire.exe potrebbe essere danneggiato o essere infetto......reinstallo ma niente..... provo anche fire department 1....stesso problema..... provo allora anche splinter cell choaos theory, anche lui mi dice che è infetto..... faccio scansioni con bit defender, con panda, con trend micro MA NIENTE sistema pulito.....solo ma synmantec mi ha trovato 2/3 trojan ma non li toglie... allora ho avuto l'idea di scaricarmi norton in prova per 15 giorni, installo......scan completo del sistema e mi trova 1 file infetto.....pulisco..... ma niente! ora il pc funziona, non mi da nessuno errore ma ho questi problemi 1- alcuni giochi come detto non partono 2- è più lento i alcune occasioni, tipo aprire risorse computer ecc ecc.....a volte esce addirittura la torcia! 3- Programmi di pulizia come CCcleaner, HDcleaner si bloccano quando puliscono il registro 4- Spybot va LENTISSIMO, ha 40666 file da controllare ma arrivato a 503 va a rilento,1 ogni 2/3 minuti! 5- ADaware si blocca quando controlla il registro con regedit entro nel registro e anche questo programma si blocca quando provo ad andare a controllare le SHARED.DLL......ho quindi al 99% queste librerie infette...... MA COME LE PULISCO????? ad si blocca....spy non trova nulla....norton anche......che fare????? HDCleaner ha una sezione di pulizia dedicata proprio alle shared ed infatti non si avvia proprio!! mi date qualche consiglio pls????? scarto il FORMAT...voglio prima provare a recuperare il sistema
__________________
Desktop: CPU: Ryzen 9 9950X3D | AIO: NZXT Kraken Elite 360 v2 | MB: ASUS ProArt X870E | RAM: Corsair 64GB DDR5 6000 CL30 | SSD: Samsung 9100 PRO 4TB | GPU: PNY RTX 5080 OC | PSU: NZXT C1000W ATX 3.1 | Audio: Creative AE-9 & Edifier S550 Encore | Case: NZXT H6 Flow | Monitor: LG 34GN850P Notebook: MacBook Pro 14 M4 24GB 1TB |
|
|
|
12-08-2006, 19:44
|
#2 |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Scaricati il programma hijackthis, fai una scansione, salvane il log e postalo in un messaggio qua sul forum, così diamo una prima occhiata al sistema per vedere se c'è ancora qualcosa di infetto..
__________________
Without Contraries is no Progression... |
|
|
|
|
12-08-2006, 20:31
|
#3 |
|
Senior Member
Iscritto dal: Jul 2002
Messaggi: 9997
|
Scan saved at 21.29.03, on 12/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe C:\Programmi\ITE\Smart Guardian\ITESmart.exe C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe C:\WINDOWS\system32\CTXFIHLP.EXE C:\Programmi\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE C:\Programmi\Creative\PC-CAM Center\CAMTRAY.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\Programmi\Creative\ShareDLL\CADI\NotiMan.exe C:\Programmi\Outlook Express\msimn.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\HIJ\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O1 - Hosts: localhost 127.0.0.1 O2 - BHO: Class - {573EDE0A-778B-EF5C-61CF-421B8B558119} - (no file) O2 - BHO: (no name) - {D98082DB-4FC4-DD9E-BFE7-DDC298B3DCBA} - (no file) O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programmi\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [VolPanel] "C:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Overclock\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S O4 - HKLM\..\Run: [RCSystem] "C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe" O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTDVDDET] "C:\Programmi\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\PC-CAM Center\CAMTRAY.EXE O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O17 - HKLM\System\CCS\Services\Tcpip\..\{228A3D36-4109-4791-A1F9-D877BF58F781}: NameServer = 85.255.114.35 85.255.112.13 O17 - HKLM\System\CS1\Services\Tcpip\..\{228A3D36-4109-4791-A1F9-D877BF58F781}: NameServer = 85.255.114.35 85.255.112.13 O17 - HKLM\System\CS2\Services\Tcpip\..\{228A3D36-4109-4791-A1F9-D877BF58F781}: NameServer = 85.255.114.35 85.255.112.13 O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe io non trovo nulla di anomalo......  qualcosa superflua c'è pure ma non dannosa sicuramente....oggi facendo numere prove, eliminato servizi ecc ecc.....mi è partito windows e non so come tra i processi non c'erano svghost....e il pc andava bene! infatti ho eseguito adaware e spy senza problemi  ma svghost non è primario per win?
__________________
Desktop: CPU: Ryzen 9 9950X3D | AIO: NZXT Kraken Elite 360 v2 | MB: ASUS ProArt X870E | RAM: Corsair 64GB DDR5 6000 CL30 | SSD: Samsung 9100 PRO 4TB | GPU: PNY RTX 5080 OC | PSU: NZXT C1000W ATX 3.1 | Audio: Creative AE-9 & Edifier S550 Encore | Case: NZXT H6 Flow | Monitor: LG 34GN850P Notebook: MacBook Pro 14 M4 24GB 1TB |
|
|
|
|
13-08-2006, 10:18
|
#4 |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Come dici tu il log sembra pulito.. L'unica cosa sono quei due Browser Helper Object (O2) che non sono riuscito a identificare, anche se c'è scritto no file.
Ti suggerisco due cose per adesso: una è di fare una scansione con il programma rootkitrevealer della sysinternals (freeware), tenendo conto che mentre la effettui dovresti chiudere tutte le applicazioni aperte e non fare niente con il pc, altrimenti si creano falsi positivi. Questo per vedere se ci fosse qualcosa in memoria. In secondo luogo, darei un'occhiata nel visualizzatore eventi (pannello di controllo -> strumenti di amministrazione) per vedere se ci sono errori specifici che possano giustificare i rallentamenti e blocchi di cui parlavi.
__________________
Without Contraries is no Progression... |
|
|
|
|
13-08-2006, 15:08
|
#5 |
|
Senior Member
Iscritto dal: Jul 2002
Messaggi: 9997
|
avvio windowsi in modalità provvisoria? o magari lo imposto in modalità diagnostica da msconfig?
__________________
Desktop: CPU: Ryzen 9 9950X3D | AIO: NZXT Kraken Elite 360 v2 | MB: ASUS ProArt X870E | RAM: Corsair 64GB DDR5 6000 CL30 | SSD: Samsung 9100 PRO 4TB | GPU: PNY RTX 5080 OC | PSU: NZXT C1000W ATX 3.1 | Audio: Creative AE-9 & Edifier S550 Encore | Case: NZXT H6 Flow | Monitor: LG 34GN850P Notebook: MacBook Pro 14 M4 24GB 1TB |
|
|
|
|
13-08-2006, 18:25
|
#6 |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
puoi eseguire rootkit revealer anche avviando windows normalmente, senza lanciare alcun programma, navigare, ecc.
__________________
Without Contraries is no Progression... |
|
|
|
|
13-08-2006, 19:53
|
#7 |
|
Senior Member
Iscritto dal: Jul 2002
Messaggi: 9997
|
ho scaricato il programma......avviato ma on succede nulla :\
sono andato sul sito ufficiale, magari avevo scaricato un file corrotto danneggiato...ma niente......avvio e non appare niente :-\ neanke tra i processi in esecuzione, una finestra un beep....NIENTE......xkè?
__________________
Desktop: CPU: Ryzen 9 9950X3D | AIO: NZXT Kraken Elite 360 v2 | MB: ASUS ProArt X870E | RAM: Corsair 64GB DDR5 6000 CL30 | SSD: Samsung 9100 PRO 4TB | GPU: PNY RTX 5080 OC | PSU: NZXT C1000W ATX 3.1 | Audio: Creative AE-9 & Edifier S550 Encore | Case: NZXT H6 Flow | Monitor: LG 34GN850P Notebook: MacBook Pro 14 M4 24GB 1TB |
|
|
|
|
14-08-2006, 08:26
|
#8 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Quote:
L'account che stai usando ha i privilegi di amministratore? Altrimenti ci sono due possibilità: una è che un rootkit impedisca a rootkitrevealer di andare in esecuzione, e due che il sistema abbia qualcosa di danneggiato e che il programma non parta. Al limite prova a rinominare l'eseguibile, ma è un tentativo molto improbabile..  Ah, controlla anche che il file eseguibile sia lungo 237.651 bytes e che abbia data 1/2/2006 17:02.
__________________
Without Contraries is no Progression... |
|
|
|
|
|
14-08-2006, 14:36
|
#9 |
|
Senior Member
Iscritto dal: Jul 2002
Messaggi: 9997
|
il pc lo uso solo io ed sono amministratore anche se da un pò di tempo quando modifico ad esempio ms config mi dice che non sono amministratore.....a volte anche PunkBuster nei giochi mi kikka dicendo che non sono amministratore......probabile che qualche 'virus' abbia modificato qualcosa.......
sono andato su strumenti di amministrazione e ho trovato qualche voce senza permesso.....ma onestamente non soda default come fosse... anche con le voci cmq modificate root non parte.....il file è corretto in dimensioni e data
__________________
Desktop: CPU: Ryzen 9 9950X3D | AIO: NZXT Kraken Elite 360 v2 | MB: ASUS ProArt X870E | RAM: Corsair 64GB DDR5 6000 CL30 | SSD: Samsung 9100 PRO 4TB | GPU: PNY RTX 5080 OC | PSU: NZXT C1000W ATX 3.1 | Audio: Creative AE-9 & Edifier S550 Encore | Case: NZXT H6 Flow | Monitor: LG 34GN850P Notebook: MacBook Pro 14 M4 24GB 1TB |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 01:45.
