HELP Aiuto urgente cercasi...

[salsero71]

... ciao a tutti, spero di aver postato nella sezione giusta perchè così mi sono sentito dire da alcune persone.
Il mio problema è che appena avvio il sistema (che ho in sign) arriva al desktop e dopo si riavvia, e questo continua finchè non decido di entrare in modalità provvisoria, fare lo scanning con ADAware, Spyblaster, AVAST, ecc... dopodichè il sistema va.
Però mi hanno detto che potrebbe trattarsi di un virus, forse SOBIG, se non ho capito male il nome, che per toglierlo definitivamente dovrei usare una patch o qualcosa del genere da scaricare da qualche parte.
Qualcuno conosce una possibile soluzione?
Grazie, Michele.

[BravoGT83]

allora iniziamo con il log di Hijackthis

[salsero71]

Quote:

Originariamente inviato da BravoGT83

allora iniziamo con il log di Hijackthis

...per me stai parlando arabo!
Cos'è un programma? Intendo Hijackthis!

[bluepix]

Se è veramente Sobig, scarica Stinger.exe da questo sito:
http://vil.nai.com/vil/stinger/
lancialo in modalità provvisoria 2 volte.
ciao

[lord2]

Quote:

Originariamente inviato da salsero71

...per me stai parlando arabo!
Cos'è un programma? Intendo Hijackthis!

ciao ..Hijackthis è un software lo puoi scaricare a questo link http://www.majorgeeks.com/download3155.html

installa il programma e posta il log risultante

[salsero71]

Quote:

Originariamente inviato da lord2

ciao ..Hijackthis è un software lo puoi scaricare a questo link http://www.majorgeeks.com/download3155.html

installa il programma e posta il log risultante

...allora il log è il seguente:
Logfile of HijackThis v1.99.1
Scan saved at 21.01.15, on 30/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
F:\ActiveSync3.7\WCESCOMM.EXE
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\Programmi\Diskeeper 8pro\DkService.exe
C:\Programmi\Remote 3.77\RTMService.exe
C:\Programmi\Commander Pro\UPServ.exe
C:\Programmi\Commander Pro\UPS.EXE
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Avast4\ashMaiSv.exe
C:\Programmi\Avast4\ashWebSv.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\ActiveSync3.7\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync3.7\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync3.7\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync3.7\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {FBFF6F10-A2FC-9544-832F-A1F75A0501AE} - http://www.italian-toplist.com/cart/gs/gsa0253.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F068C7-975B-4656-BFE8-EA6F05FAB467}: NameServer = 130.244.127.161 130.244.127.169
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Diskeeper 8pro\DkService.exe
O23 - Service: Remote Task Manager service (RTM) - Unknown owner - C:\Programmi\Remote 3.77\RTMService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: UPSmart - Unknown owner - C:\Programmi\Commander Pro\UPServ.exe


Grazie a tutti.

[lord2]

Quote:

Originariamente inviato da salsero71

...allora il log è il seguente:
Logfile of HijackThis v1.99.1
Scan saved at 21.01.15, on 30/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
F:\ActiveSync3.7\WCESCOMM.EXE
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\Programmi\Diskeeper 8pro\DkService.exe
C:\Programmi\Remote 3.77\RTMService.exe
C:\Programmi\Commander Pro\UPServ.exe
C:\Programmi\Commander Pro\UPS.EXE
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Avast4\ashMaiSv.exe
C:\Programmi\Avast4\ashWebSv.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\ActiveSync3.7\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync3.7\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync3.7\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync3.7\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {FBFF6F10-A2FC-9544-832F-A1F75A0501AE} - http://www.italian-toplist.com/cart/gs/gsa0253.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F068C7-975B-4656-BFE8-EA6F05FAB467}: NameServer = 130.244.127.161 130.244.127.169
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Diskeeper 8pro\DkService.exe
O23 - Service: Remote Task Manager service (RTM) - Unknown owner - C:\Programmi\Remote 3.77\RTMService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: UPSmart - Unknown owner - C:\Programmi\Commander Pro\UPServ.exe


Grazie a tutti.

ho notato qualche chiave sospetta ma osserva tu stesso inserisci il log con copia incolla direttamente sulla finestra bianca che trovi a questo link poi clicca su analizza

http://www.hijackthis.de/

[BravoGT83]

dovresti mettere SP2


ecco dei sospetti

C:\Programmi\FreePOPs\freepopsd.exe
O16 - DPF: {FBFF6F10-A2FC-9544-832F-A1F75A0501AE} - http://www.italian-toplist.com/cart/gs/gsa0253.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{49F068C7-975B-4656-BFE8-EA6F05FAB467}: NameServer = 130.244.127.161 130.244.127.169

conosci l'ip?


dove ce File missing alla fine son da cancellare

[salsero71]

...sembra che per ora, con l'utility Stinger, consigliata da bluepix stia andando bene.
Spero...

[BravoGT83]

se puoi metti su SP2

[salsero71]

Quote:

Originariamente inviato da BravoGT83

se puoi metti su SP2

Quali problemi o conflitti potrebbe portare l'installazione, perchè ne ho sentito parlare in giro di questa cosa!
Perchè l'aggiornamento automatico non l'ho mai fatto anche se me lo chiede ogni 7/10 giorni. Grazie, Miki.

[BravoGT83]

Quote:

Originariamente inviato da salsero71

Quali problemi o conflitti potrebbe portare l'installazione, perchè ne ho sentito parlare in giro di questa cosa!
Perchè l'aggiornamento automatico non l'ho mai fatto anche se me lo chiede ogni 7/10 giorni. Grazie, Miki.

di problemi penso proprio zero a me funziona senza problemi in + sei + "protetto"

te lo consiglio di scaricarlo manualmente dal sito

[juninho85]

inanzitutto installa il service pack 2
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
la google toolbar se non ricordo male contiene dello spyware,vista l'inutilità di questo prog. meglio disinstallarlo

O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
questo mi puzza di bruciato

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {FBFF6F10-A2FC-9544-832F-A1F75A0501AE} - http://www.italian-toplist.com/cart/gs/gsa0253.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F068C7-975B-4656-BFE8-EA6F05FAB467}: NameServer = 130.244.127.161 130.244.127.169

per caso hai una rete installata?queste ultime 3 voci (specialmente questo "gsa0253.exe")non mi convince

[salsero71]

Quote:

Originariamente inviato da BravoGT83

di problemi penso proprio zero a me funziona senza problemi in + sei + "protetto"

te lo consiglio di scaricarlo manualmente dal sito

...dopo lo "applico" e vediamo come andrà 'sta storia.
Comunque nei giorni scorsi mi ha fatto di nuovo la stessa cosa, ho provveduto sempre a pulire il sistema con gli antispyware, con adaware, con la scansione antivirus, questa volta ho anche eliminato i file temporanei ed i cookie dal sistema ed è andato
Un mio amico mi ha consigliato di formattare il sistema, per cui penso che mi scaricherò i vari driver: scheda video, scheda madre (poi cosa mi serve?)
e gli farò formattare il disco per poi rimettere, un pò alla volta, quanto avevo nel disco principale.
Grazie, Michele.