[risolto] himem.exe

[Riverside]

Quote:

Originariamente inviato da Gabry 23

grazie .....

Ok Gabry, ora iniziamo a mettere le mani sul log di Hthis, quindi devi fixare delle voci:

rilancia Hthis, aspetta che carichi il Report, poi a sinistra spunta la casellina corrispondente ad ogni singola voce che ti indico, qui sotto, in rosso; una volta spuntate le voci, premi il tasto FIX CECKED

R3 - URLSearchHook: (no name) - ~EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Smapp] D:\Programmi\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\QTTask.exe" –atboottime

O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"

O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)

Poi prosegui scaricando ed eseguendo questi tool:

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ELIBAGLA TOOL: clicca qui per il download
E un Tool di rimozione per il Beagle.
● per scaricare il Tool scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELIBAGLA
● per comodità, posizionalo su Desktop ed eseguilo
pubblica, il log che verrà rilasciato

A questo punto devi riavviare il sistema, rifai un nuovo log di Hthis e lo alleghi.

Il log di PrevX è a posto.

Dovresti, anche, dirmi se hai completato la scansione con ASquared e se ha rilevato e rimosso qualcosa.

[Gabry 23]

http://www.zshare.net/download/45635282397238/

quando ho fatto A-squared mi ha trovato dei cockie e della roba sul poker che mio fratello aveva installato...ma li ho cancellati perchè ho fatto la scansione prima che tu diventassi il mio TUTOR..... fammi sapere ora se dovrebbe andare meglio o se c'è ancora qualcosa da fare...

[Riverside]

Quote:

Originariamente inviato da Gabry 23

...... fammi sapere ora se dovrebbe andare meglio o se c'è ancora qualcosa da fare ...

Ora fixa queste:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://safesearch.cyberdefender.com/smallsearch.html

R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

aggiorna INTERNET EXPLORER alla versione 7:
clicca qui per il download

aggiorna JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

ho visto che usi SPYWARE DOCTOR: lancialo, fai una scansione e pulisci tutto quello che trova

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
● fai sapere se e cosa viene rilevato e rimosso, allegando il Report che verrà rilasciato.

Allega, ancora, un nuovo log di Hthis.

[Gabry 23]

io per navigare uso mozilla firefox non internet ...poi il link nel link di BIT DEFENDER non c'è nessuna scritta I AGREE

[Riverside]

Quote:

Originariamente inviato da Gabry 23

io per navigare uso mozilla firefox non internet ...

Guarda che se lo aggiorni, danni non ne fai

Quote:

Originariamente inviato da Gabry 23

poi il link nel link di BIT DEFENDER non c'è nessuna scritta I AGREE

Sicuro???

[Gabry 23]

Sicurissimo guarda qui

http://www.zshare.net/image/45752594743c58/

[xcdegasp]

non è che non ci sia il tato "agree" come dicevi ma ben altra la causa..
hai letto cosa ti dice? che appunto usando firefox non puoi fare la scansione

per sapere quali altri servizi di scansione siano disponibili leggi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1392332

[mauryc64]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.25.33, on 31/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
E:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
E:\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
e:\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
e:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\maury\Desktop\HThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [nTrayFw] C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [EEventManager] C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] e:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [himem] "c:\windows\himem.exe" 3fff 8ffff
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Nikon Monitor.lnk = C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = E:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF115373-3559-4F35-BD5B-9DA8E69C7261}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: Utilità di pianificazione di LiveUpdate automatico (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - e:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 7573 bytes

[mauryc64]

aiutatemi non riesco a togliere questo file

grazie

[lancetta]

Quote:

Originariamente inviato da mauryc64

aiutatemi non riesco a togliere questo file

grazie

riedita il log secondo il regolamento di sezione,per favore...

[Riverside]

Quote:

Originariamente inviato da Gabry 23

Sicurissimo guarda qui

Ti avevo suggerito l'aggioramento di I.E. non per nulla.
Aggiornalo, esegui la scansione da Bitdefender ed allega il Report.

[Gabry 23]

ho allegato il log di HJT pi ho preso il report ma non son dv sia finito intendo quello di Bit Defebder..poi ti volevo dire che spyware doctor non va e non so il perchè...ma non è una grande perdita

[Riverside]

Quote:

Originariamente inviato da Gabry 23

ho allegato il log di HJT pi ho preso il report ma non son dv sia finito intendo quello di Bit Defebder..poi ti volevo dire che spyware doctor non va e non so il perchè...ma non è una grande perdita

Devi fixare questo:

R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Scarica ed installa SPYWARE TERMINATOR: clicca qui per il download
Questo software, ti consente, di eseguire scansioni anche parziali del sistema, di pianificare scansioni automatiche, e cosa più importante, garantisce una protezione in tempo reale.
Altri suggerimenti ed info in relazione a Spyware Terminator li puoi trovare nel Thread ufficiale

Al termine, altro log di Hthis.

[Gabry 23]

ecco a te...cmq ti volevo dire che spyware doctor mi ha trovato un Traking cockie e quando volevo toglierlo mi ha detto che non si poteva perchè doveva essere ravviato il computer..mi sai dire il perchè?

[Riverside]

Quote:

Originariamente inviato da Gabry 23

ecco a te...

Bene, il log ora è a posto, quindi il problema dovrebbe essere risolto (questo ce lo devi dire tu).

Quote:

Originariamente inviato da Gabry 23

che spyware doctor mi ha trovato un Traking cockie e quando volevo toglierlo mi ha detto che non si poteva perchè doveva essere ravviato il computer..mi sai dire il perchè?

Ti avevo suggerito di installare Spyware Terminator (citi Spyware Doctor), quindi presumo il tuo sia, semplicemente un refuso: mi appare strano che per rimuovere un traking cookie venga richiesto il riavvio ma, potrebbe essere.
In definitiva, rispetto a quello che segnali, non saprei, francamente, darti una risposta specifica; ritengo, in ogni caso, sia stato rimosso.
Fai solo sapere se riscontri ancora problemi o anomalie.

[lancetta]

spyware doctor a volte chiede riavvii anche per rimuovere i coockie, è normale.....

Saluti

[Gabry 23]

grazie mille comunque ti volevo dire se adesso posso riabilitare ciò che avevo disabiltato nelle proprietà del sistema e poi avevi ragione non è spyware doctor ma il terminator..inoltre ti volevo dire che quando mi è comparso l'himmem mio fratello aveva accetato un virus su Msn che inviava a tutti i contatti un link con scritto così:
http://www.trader-course.com/emoticon.php?email=xxxxx dv le x stanno per il nome del contatto che sta ricevendo il link
e appena cliccavi ti apriva una pagina su internet dov eti faceva salvare un file applicazione MS-DOS..mio fratello ci è cascato e abbiamo preso questo virus... era più che altro un virus fastidioso tipo quello delle foto (avete presente quello che si autoinvia alle altre persone collegate) per toglierlo ho rimandato le configurazioni di sistema indietro di qualche giorno anche perchè il mio antivirus non lo rilevava e neanche la scansione su internet di virustotal...perrciò volevo sapere se questo è un nuovo virus di msn perchè non ne parla nessuno sul web apparte qualche persona estera..

[lorenzomic]

Ciao ragazzi! Purtroppo anche io ho avuto lo stesso problema con himem.exe! Ho fatto quello che ho letto sul forum e spero di aver risolto il problema...
Dite che dovrei fare altro?
http://www.mytempdir.com/2056615
Grazie Ciao!

[Gle89]

lorenzomic, no non hai risolto il file O4 - HKCU\..\Run: [himem] "c:\windows\himem.exe" 3fff 8ffff è sempre in avvio quindi ti si caricherà sempre questo processo causando rallentamenti.

Fai cosi:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
(start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

ecco le voci:

Quote:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [himem] "c:\windows\himem.exe" 3fff 8ffff

ora usa CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

alla fine riavvia il pc, e fai allega nuovo log di HJT per favore.

[lorenzomic]

Ok ora dovrebbe essere a posto!
http://www.mytempdir.com/2056736
Grazie per l'aiuto che mi state dando! Anche perchè sono sicuro che sia una scocciatura per voi