O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

[Cinamone]

Salve a tutti sono nuovo del forum e sono un nubbio, come dite voi. Da ex utilizzatore di NIS 2005 ho voluto provare l'emozione del free e dopo 6 mesi questo è il risultato. Io lavoro su un notebook hp pavillion zv6000 AMD based con Windows XP Home SP3 e sono connesso ad Alice ADSL con il vecchio modem della pirelli. Dopo varie letture ho installato Avira Free, Commodo FW (l'ultima versione con l'antivirus non attivato), Spybot S&D, Open DNS e Spamhilator perchè uso outlook express (con Freepops). Per prova ho installato thuderbird di mozilla ma lì sono iniziati (o meglio mi sono accorto di avere) i problemi perchè non riuscendo a vedere i miei account ho disinstallato e reinstallato sia spamhilator che CF. La nuova installazione di CF mi ha portato (per bloccare le varie porte) a scaricare WWDC e NVT_Windows_Securer e proprio "giocando" con WWDC mi è apparso il primo avviso (l'inizio della fine) che mi diceva di avere SVCHOST.exe (mannaggia a svchost) che occupava troppa memoria per cui avevo un virus e dovevo fare uno scanner...me ne sono fregato ma il giorno dopo:
1) mi appare una finestra di Windows che mi chiede di connettermi con il mio account di Hotmail (da anni chiuso)
2) Open DNS si sconnette
3) sparisce la finestra di Freepops
a sto punto faccio uno scanner con avira, che non mi rileva nulla, e poi uso hijackthis che invece mi evidenzia: O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll- soluzione o usi spybot S&D (fatto) o LSPfix (fatto) ma la situazione non cambia
disperato cerco su google ma trovo solo un rimando a voi: è una settimana che faccio quanto richiesto dalla guida e sinceramente non ne posso più. Ho tolto il punto di ripristino, ho usato ATF Cleaner, ho usato Malware AM (log mbam-log-2008-12-31 (07-58-52).txt
A2free a2scan_081231-081413.txt
F-secure logfsecure.txt
Dr WebCureIT cureit filtrato.txt
ESET sysInspector SysInspector-YOUR-A47779BE2C-090102-1903.xml
Hijackthis hijackthis.log
Gmer gmer.log
PrewxCSI prewcsi.log
e usato ADS scanner di cui non ho log
che devo fare? Vi avviso che nell'attesa (dopo aver cancellato i programmi sospetti) torno a Norton
Ciao Daniele

[Cinamone]

ho notato riutilizzando lspfix che nella finestra mi appare usage.lsp.dll (protocol handler)

che faccio lo rimuovo? però ho tolto punto di ripristino per cui se qualcosa va male... che mi consigliate?

[Cinamone]

nel ringraziarvi per i consigli che mi avete dato credo che per gente come me NIS 2009 sia la suite perfetta: leggera, di facile gestione, e abbastanza sicura. Certo costa un po' (ma la versione trial dura 140 giorni!!) ma credo che fare andare il pc per una settimana per eseguire 9-10 scansioni, senza poterlo usare per la normale attività e alla fine scoprire che nessuno sa cosa c'è che non va... bè lascio a voi le conclusioni
cordialità
Daniele

[wjmat]

ciao

Fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

C:\Programmi\Alien Terminator\Uninstall.exe
C:\Programmi\JetAudio\JetFlExt.dll
C:\Programmi\FreePOPs\libfp.dll

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema
Alla fine della verifica rimetti le impostazioni originali

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [OpenDNS Update] "C:\Programmi\OpenDNS Updater\OpenDNS Updater.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://posta.asl19.asti.it/iNotes6.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1160251940734
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://support.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab

per quanto riguarda la voce 010 mi sembra siano quasi 2 anni che tu l'abbia, sempre che sia lo stesso pc...
http://www.pc-facile.com/forum/viewt...573dc3874bfa3a

[Cinamone]

jet audio e alien terminator li ho cancellati mentre continuo ad usare freepops. Domani farò lo scan su quel file dll di frepops come il controllo con hijackthis. Il rimando che mi fai al forum di pc-facile è dello stesso periodo della richiesta di aiuto in questo forum (stesso nickname) solo che tra quella richiesta e questa sono passati i giorni degli interminabili scan! Grazie comunque della risposta ti farò sapere
Daniele

[xcdegasp]

Quote:

Originariamente inviato da wjmat

per quanto riguarda la voce 010 mi sembra siano quasi 2 anni che tu l'abbia, sempre che sia lo stesso pc...
http://www.pc-facile.com/forum/viewt...573dc3874bfa3a

si è registrato 2 anni fa ma il thread lo aveva aperto il 30/12/08 17:50

[wjmat]

Quote:

Originariamente inviato da xcdegasp

si è registrato 2 anni fa ma il thread lo aveva aperto il 30/12/08 17:50

si mi ero poi accorto ieri

[Cinamone]

allora questi sono i link per l'unico file che ho ancora nel pc (freepops in uso quotidiano)
http://www.virustotal.com/it/analisi...9a221621b1d22c
http://virscan.org/report/ebd7ff3727...ba7908710.html

per quanto riguarda i fix per hijack ho la massima fiducia in quello che mi dici ma non ho ancora riattivato il punto di ripristino per cui mi riservo di capirci di più anchè perchè preferisco avere eraser, unlocker, freepops e opendns già attivi (mentre posso anche disinstallare daemon tools lite) e non vorrei ritrovarmi con problemi con microsoft se tolgo VGA etc (e poi il mio problema era l'unknow file non il resto e unknow file rimane tale)
aspetto tuoi commenti
Daniele

[wjmat]

hai fixato le voci indicate con hjt?
riscontri altri problemi?

[Cinamone]

no, non ho fixato le voci che mi hai indicato ma ho fatto uno scan del file usage.lsp.dll
http://www.virustotal.com/it/analisi...4463c988f91ab6
http://virscan.org/report/981a5f1cc6...2f19ac650.html
e non mi pare ci siano problemi
mi sa che alla fine non avevo niente e probabilmente alla fine del trial norton tornerò alla mia suite free
grazie lo stesso
Daniele

[xcdegasp]

le voci O4 si riferiscono alle esecuzioni automatiche all'avvio del pc, fixare tali voci non compromette nessun programma bensì stoppa solamente tale esecuzione, per quanto riguarda le O16 vengono eliminati gli activeX installati tali oggetti (come i certificati delle sessioni di lavoro https) vengono ad ogni visita riscaricati e reinstallati pertanto fixare tali voci è solo benevolo per la privacy e una forma di pulizia.

[Cinamone]

la spiegazione che mi mancava... stasera provo poi vi dico

[Cinamone]

fissate le voci indicate, riavviato il sistema e questo è il log di hijack
hijackthis.log
come va?
Attendo notizie
ps: dopo tutti gli scan, l'eliminazione dei file sospetti, l'azzeramento della suite free e il passaggio a norton per ora non ho più problemi

[xcdegasp]

fai la scansione con a-squared free, malwarebytes e prevxCSI tanto da essere sicuri: segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[Cinamone]

vabbè che sono un utonto ma la procedura l'avevo seguita prima di aprire questo topic. Adesso le possibilità sono 2: o ripubblico i log iniziali (anche se nel frattempo ho disinstallato parecchi programmi) oppure lascio perdere perchè non ho un'altra settimana da dedicare ai vari scan... è uno scherzo il tuo messaggio vero?
Daniele

[wjmat]

fixa

Quote:

O20 - AppInit_DLLs:

questi dns erano gli stessi di prima? (il log di prima non è più reperibile)
NameServer = 208.67.222.222,208.67.220.220

[Cinamone]

sì è l'accesso a Open DNS (se guardi sul topic di pc-facile a cui tu facevi riferimento qualche risposta fa c'è il log di hijackthis del 30-12-08 e i dns sono quelli)
Ciao

[Cinamone]

Quote:

Originariamente inviato da xcdegasp

fai la scansione con a-squared free, malwarebytes e prevxCSI tanto da essere sicuri: segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

allora ho mantenuto disattivato il punto di ripristino
ho fatto un primo scan con ADSscanner non ho il log ma non c'era nulla
ho fatto una pulizia delle cartelle con ATF
ho fatto lo scan con malaware > mbam-log-2009-01-15 (07-51-33).txt
ho fatto loscan con a2free > a2scan_090115-082120.txt
ho fatto un nuovo scan co hj > hijackthis.log
ed infine con prewcsi > prewcsi.log
però adesso basta
Norton funziona e io sono contento
e il problema usage.lsp.dll nessuno sa risolverlo
ciao alla prossima

[xcdegasp]

Quote:

Originariamente inviato da Cinamone

allora ho mantenuto disattivato il punto di ripristino
ho fatto un primo scan con ADSscanner non ho il log ma non c'era nulla
ho fatto una pulizia delle cartelle con ATF
ho fatto lo scan con malaware > mbam-log-2009-01-15 (07-51-33).txt
ho fatto loscan con a2free > a2scan_090115-082120.txt
ho fatto un nuovo scan co hj > hijackthis.log
ed infine con prewcsi > prewcsi.log
però adesso basta
Norton funziona e io sono contento
e il problema usage.lsp.dll nessuno sa risolverlo
ciao alla prossima

sì infatti se non fosse per hijackthis non c'è nulla di anomalo

[Cinamone]

bè speriamo in bene, stavo cercando di capire se quella .dll può essere legata ad alice adsl o ad IQlite (sinceramente scan con hijack è un po' che ne faccio soprattutto da quando avevo disdetto NIS 2005 e non ricordo di aver mai notato questo problema se non appunto dopo aver scaricato IQ, ma anche l'aggiornamento di Comodo FW, Alien Terminator... tra l'altro lo stesso problema l'ho riscontrato nel notebook della mia fidanzata -un sony pavillion 512MB Intel based- dove più o meno ho scaricato le stesse cose, ma lei non ha problemi e NIS 2009 non ha trovato un gran che)
mah... ma se seguissi il consiglio di Hj cioè usassi lspfix PER CANCELLARE usage.lsp.dll a quale problema potrei andare incontro se fosse una dll legittima? Reistallazione di winzoz?
Help please