|
|||||||
|
|
|
 |
|
|
Strumenti |
06-10-2006, 23:03
|
#3561 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
|
|
|
|
|
06-10-2006, 23:07
|
#3562 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
|
|
|
|
|
|
07-10-2006, 00:39
|
#3563 | |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 572
|
Quote:
li rimuovo, risulta anche nel backup.....ma quando rifaccio la scansione subito dopo il fixaggio per vedere se me li ha eliminati, me li rimette..... questi sono quelli da eliminare: O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing) O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing) O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing) O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing) O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing) |
|
|
|
|
|
07-10-2006, 07:43
|
#3564 |
|
Senior Member
Iscritto dal: May 2005
Messaggi: 653
|
Ciao a tutti,
ieri sono andato a ripulire il pc di un amico da netvision.exe e passepartout.exe, ho fatto scansione da modalità provvisoria con avg (aggiornato), poi scansione con trendmicro online scan, scansione con ad-aware e spybot s&d, cwshredder, ho ripulito manualmente il registro da FASTTRACKPassepartout (voci presenti in HKLM e HKCU) e cercato e cancellato tutte le occorrenze di passepartout.exe e netvision.exe (più relativi file .pf), tutti i link sparsi nei posti più disparati... insomma più pulito di così fa solo Mastro Lindo®. Mi rimane da fixare la pagina iniziale di Internet Explorer che punta direttamente al download del dialer (immaginatevi la mia felicità quando ho dovuto rifare tutto a causa di questa "piccola" dimenticanza...) Ed il problema sta proprio qui... non ho mai usato HijackThis, ho letto frettolosamente una guida e via! Ho fatto la scansione, ho controllato su internet tutti i processi e le dll, alcuni BHO li ho disinstallati... Ma quando tento di fixare la voce R0 (Start Page) non funziona! La seleziono, faccio click su fix checked e la voce ricompare prontamente (immediatamente). Ho provato pure da modalità provvisoria disattivando ripristino configurazione di sistema. Ho anche modificato la voce manualmente utilizzando regeditx, ma ricompare prontamente (e l'icona lampeggiante di Ad-Watch mi avvisa in tempo reale di una modifica del registro). Che mi sia sfuggito qualche processo in background che reimposta tutto?!?!?!? (o magari non ero in modalità provvisoria e ricordo male?) Sareste così gentili da dare un'occhiata? Ecco il log: Logfile of HijackThis v1.99.1 Scan saved at 18.20.11, on 06/10/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programmi\File comuni\Real\Update_OB\realsched.exe D:\Ahead\InCD\InCD.exe E:\CyberLink\PowerDVD 5.0\PDVDServ.exe C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe D:\QuickTime 6.5\qttask.exe C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Alice ti aiuta\bin\mpbtn.exe C:\WINDOWS\system32\taskmgr.exe G:\Windows-KB890830-V1.20.exe e:\3322959485ac2f6648227823\mrtstub.exe C:\WINDOWS\system32\MRT.exe C:\Programmi\RegEditX\RegEditX.exe C:\WINDOWS\regedit.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\UGO\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://autority-member-connect-(cancello per evitare danni)-united-comldk--com.com O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] D:\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [RemoteControl] "E:\CyberLink\PowerDVD 5.0\PDVDServ.exe" O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe" "ZyXEL\USB ADSL" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime 6.5\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe N.B.: _ e:\3322959485ac2f6648227823\mrtstub.exe è proprio lo strumento di rimozione malware della microsoft scaricato dal sito ufficiale e non l'omonimo trojan (anche se mi chiedo perchè mai è andato a buttarlo in E: ?!?). _ in taskmanager avevo notato un processo: dx7f79.exe (o qualcosa del genere) ma non sono riuscito a trovarlo nè sul disco (anche tra i files nascosti e di sistema) nè su internet... ma anche terminandolo la pagina iniziale si reimposta immediatamente. _ Il sistema operativo non è originale e quindi non aggiornatissimo (non sapeva neanche di avere l'O.S. pirata, ha acquistato il pc così!!! Cmq entro la prossima settimana avrà la versione OEM con licenza) _ Il mio amico abita dall'altra parte della città e se gli chiedi che sistema operativo ha risponde: "Internet Explorer" (in pratica usa solo quello  ), quindi non posso fare nè prove immediate, nè posso dirgli come fare telefonicamente. _scusate se ho scritto un tema, grazie di nuovo e ciao.  P.P.S: quasi dimenticavo, ovviamente per ora usa firefox e jre installata è l'ultima versione disponibile. Ultima modifica di samfisher : 07-10-2006 alle 07:49. |
|
|
|
|
07-10-2006, 08:11
|
#3565 |
|
Senior Member
Iscritto dal: Feb 2002
Città: Discovery
Messaggi: 34710
|
hai spybot la pagina iniziale fissala con quello. anche ad-aware ha questa possibilità.
__________________
Good afternoon, gentlemen, I'm a H.A.L. computer. |
|
|
|
|
07-10-2006, 08:44
|
#3566 |
|
Senior Member
Iscritto dal: May 2005
Messaggi: 653
|
Ho visto, non ci avevo mai fatto caso! Appena possibile proverò.
Però ho perfino modificato manualmente la voce nel registro e si reimposta quasi in tempo reale, sono convinto qualche processo o servizio (non ho notato niente di anomalo, apparentemente neanche lì) reimposta il tutto. Grazie dell'info comunque. |
|
|
|
|
07-10-2006, 08:56
|
#3567 |
|
Member
Iscritto dal: Feb 2006
Messaggi: 197
|
Ciao a tutti... ho provato a fare il possibile ma ho fallito, quindi mi rivolgo a voi.
Ogni volta che apro una nuova finestra explorer mi esce un messaggio si Norton simile a questo: Tipo scansione: Protezione in tempo reale Scansione Evento: Trovato virus! Nome virus: Trojan.Linkoptimizer File: I:\WINNT\ktbli1.dll Posizione: I:\WINNT Computer: CASA Utente: Andrea Azione intrapresa: Ripulisci non riuscito : Quarantena non riuscito : Accesso negato Data rilevazione: Sat Oct 07 09:56:57 2006 Questo il log di Hijack: Logfile of HijackThis v1.99.1 Scan saved at 9.54.39, on 07/10/2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: I:\WINNT\System32\smss.exe I:\WINNT\system32\winlogon.exe I:\WINNT\system32\services.exe I:\WINNT\system32\lsass.exe I:\WINNT\system32\Ati2evxx.exe I:\WINNT\system32\svchost.exe I:\WINNT\System32\svchost.exe I:\WINNT\system32\spoolsv.exe I:\WINNT\system32\CTsvcCDA.exe I:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe I:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe I:\WINNT\system32\MSTask.exe J:\Utility\Alcohol120\Alcohol 120\StarWind\StarWindService.exe I:\WINNT\system32\ZoneLabs\vsmon.exe I:\WINNT\system32\svchost.exe I:\WINNT\System32\WBEM\WinMgmt.exe I:\WINNT\system32\MsPMSPSv.exe I:\WINNT\system32\svchost.exe I:\WINNT\system32\Ati2evxx.exe I:\WINNT\Explorer.EXE I:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe I:\WINNT\system32\wuauclt.exe I:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe I:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE I:\WINNT\CTHELPER.EXE J:\Utility\ZoneAlarm\zlclient.exe J:\Utility\Dtools\daemon.exe I:\Programmi\Microsoft Office\Office\1040\msoffice.exe I:\Programmi\Internet Explorer\IEXPLORE.EXE I:\WINNT\explorer.exe I:\WINNT\system32\LVComsX.exe J:\Internet\Ad-Aware SE Personal\Ad-Aware.exe I:\WINNT\system32\cmd.exe I:\Programmi\MSN Messenger\msnmsgr.exe J:\Utility\Advanced Spyware Remover\Asr.exe I:\WINNT\system32\rundll32.exe I:\Programmi\Internet Explorer\IEXPLORE.EXE I:\Programmi\Internet Explorer\IEXPLORE.EXE H:\Documenti\Andrea\Downloads\Programmi\Anti-spyware\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vivisimo.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vivisimo.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINNT\system32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - I:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [vptray] I:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [UpdReg] I:\WINNT\UpdReg.EXE O4 - HKLM\..\Run: [CTStartup] "I:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE" /run O4 - HKLM\..\Run: [CTSysVol] I:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] I:\WINNT\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [CTDVDDet] I:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe O4 - HKLM\..\Run: [Zone Labs Client] J:\Utility\ZoneAlarm\zlclient.exe O4 - Global Startup: Barra degli strumenti Microsoft Office.lnk = I:\Programmi\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://I:\PROGRA~1\MICROS~2\Office\1040\phdintl.dll/phdContext.htm O8 - Extra context menu item: Download with GetRight - J:\Utility\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - J:\Utility\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BFAD5F77-2AF1-40A5-B744-D5A65D5BCDA1}: NameServer = 151.99.125.2,151.99.250.2,193.70.152.15,193.70.152.25 O18 - Filter: text/html - (no CLSID) - (no file) O20 - Winlogon Notify: NavLogon - I:\WINNT\system32\NavLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - I:\WINNT\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - I:\WINNT\system32\CTsvcCDA.exe O23 - Service: DefWatch - Symantec Corporation - I:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - I:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: MSCSPTISRV - Sony Corporation - I:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - I:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe O23 - Service: PACSPTISVR - Sony Corporation - I:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - J:\Utility\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - J:\Utility\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - I:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - I:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - J:\Utility\Alcohol120\Alcohol 120\StarWind\StarWindService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - I:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - I:\WINNT\system32\ZoneLabs\vsmon.exe Che fare? Grazie sin da ora. |
|
|
|
|
07-10-2006, 08:58
|
#3568 |
|
Member
Iscritto dal: Feb 2006
Messaggi: 197
|
Non so se tra l'altro il linkoptimizer sia associato in qualche modo a file come CCWA1 e CCWA2 che continuano a respawnare sul mio PC... ma forse per quelli ho trovato una soluzione dopo mille battaglie a colpi di utility di ogni genere e di lunghe ricerche nel registro...
|
|
|
|
|
07-10-2006, 09:21
|
#3569 |
|
Senior Member
Iscritto dal: May 2005
Messaggi: 653
|
Hai fatto la scansione da modalità provvisoria? Se no prova.
Ciao |
|
|
|
|
07-10-2006, 09:22
|
#3570 | |
|
Senior Member
Iscritto dal: Feb 2002
Città: Discovery
Messaggi: 34710
|
Quote:
butta questi. R3 - Default URLSearchHook is missing O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://I:\PROGRA~1\MICROS~2\Office\1040\phdintl.dll/phdContext.htm O18 - Filter: text/html - (no CLSID) - (no file)
__________________
Good afternoon, gentlemen, I'm a H.A.L. computer. |
|
|
|
|
|
07-10-2006, 09:28
|
#3571 |
|
Senior Member
Iscritto dal: May 2005
Messaggi: 653
|
|
|
|
|
|
07-10-2006, 10:00
|
#3572 | |
|
Senior Member
Iscritto dal: Jan 2006
Città: messina-milano
Messaggi: 15987
|
Quote:
noto nel task manager che anche se non sono in avvio automatico partono processi di: bitdefender ewido e forse altro ancora....... come li devo togliere? andorra mi sembra che tempo fa mi abbia detto tramite esegui-->services........non ricordo + ......... 
|
|
|
|
|
|
07-10-2006, 12:28
|
#3573 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
|
|
|
|
|
|
07-10-2006, 12:31
|
#3574 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
|
|
|
|
|
|
07-10-2006, 12:37
|
#3575 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
|
|
|
|
|
|
07-10-2006, 12:41
|
#3577 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
|
|
|
|
|
|
07-10-2006, 13:11
|
#3578 |
|
Member
Iscritto dal: Sep 2006
Messaggi: 185
|
Sotto attacco.
Ciao a tutti..
Ho un problema che mi assilla da molto tempo.. Nel disco c mi sono apparse strane cartelle nascoste che vanno da SYSTEM VOLUME INFORMATION a RECYCLER a CONFIG.MSI,e molti file come hiberfil.sys,NTDETECT.COM e altri file di sistema.In RECYCLER poi ho trovato file del tipo eraseme.exe e vari altri file sconosciuti..Inoltre avg mi trova, ad ogni scansione che faccio dopo che mi disconnetto da internet,sempre dei trojans del tipo TROJAN HORSE GENERIC2.DYJ e altri virus(.exe,.dll, ecc.. )localizzati sopratutto in c:/documents and settings/localservice/impostazioni locali/temporary internet files/content IE5..(Local service è una cartella nascosta e non sono proprio sicuro che sia legittimata a stare li dov'è...) Come conseguenza la cpu lavora spesso sopra l' 80% e la memoria anche è sovraccaricata anche se per esempio sto solo navigando..è un sacco di tempo che ho questi problemi e non ho mai trovato una situazione definitiva. Vi volevo chiedere..La mia unica soluzione è formattare e acquistare winXp con la licenza e installare il sp2? Sperando di essere stato in grado di spiegare il problema vi allego una copia del log di Hijackthis sperando possa aiutare.. Grazie infinite a tutti.. Logfile of HijackThis v1.99.1 Scan saved at 14.09.12, on 07/10/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\WinZip\WZQKPICK.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\Computer\Desktop\procexp.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgvv.exe C:\Documents and Settings\Computer\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Programmi\VSToolbar\VSToolBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe O4 - HKCU\..\Run: [com.codeode.cactusspamfilter] "C:\Programmi\Cactus Spam Filter 2.13\cactusspamfilter.exe" -minimized O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15021/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6234E409-83A1-42F5-83FE-DA5A86E13B10}: NameServer = 85.37.17.47 85.38.28.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{6234E409-83A1-42F5-83FE-DA5A86E13B10}: NameServer = 85.37.17.47 85.38.28.82 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing) |
|
|
|
|
07-10-2006, 13:11
|
#3579 | |
|
Senior Member
Iscritto dal: Jan 2006
Città: messina-milano
Messaggi: 15987
|
Quote:
ho fatto così: start/esegui/services.msc ora disabilito bdss.exe (bitdefender) ed il guard.exe (ewido) gli altri non so............ potrei disabilitare: spoolsv.exe StarWindService.exe BitDefender Communicator\xcommsvr.exe" /service oodag.exe
__________________
compro: 1 - 2 - 3 -- vendo: 1 - 2 - 3 - Per impegni personali sarò assente o poco presente sul forum per un po di tempo, chi vuole mi contatti tramite mail e su telegram @Manga81
Ultima modifica di manga81 : 07-10-2006 alle 13:16. |
|
|
|
|
|
07-10-2006, 13:15
|
#3580 | ||
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
Quote:
|
||
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 14:01.
