Il virus c'e...ma nn lo toglie. [ HijackThis Logfile]

[signo3d]

Eccolo:

--------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 14.51.43, on 04/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Documents and Settings\SigNo3d\Desktop\Vcool\VCool.exe
C:\Documents and Settings\SigNo3d\Desktop\eMule0.42e_MFCK_v1b_ZZUL_bin\emule.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\SigNo3d\Desktop\html2pop3 2.22\html2pop3.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\SigNo3d\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Programmi\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KAV50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E4ACAB5-149F-4141-ADA6-871A098C1749}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

-------------------------------------------------------------------------

Sparate

[bluepix]

devi fixare questa voce:

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

e toglierei pure questa che ho visto è sospettissima:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

però devi fare una cosa prima:

salva Hijackthis.exe in una sua propria directory perchè, in questo modo, vengono salvate le voci che vengono eliminate.

Per eliminare le voci metti un tick sulla voce che vuoi eliminare e clikka FIX.

ciao

[juninho85]

Quote:

Originariamente inviato da bluepix

e toglierei pure questa che ho visto è sospettissima:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

per nulla sospetta,e semplicemente un file che carica l'immagine di errore dopo un riavvio forzato del pc in seguito alle schermate blu

[bluepix]

Puoi anche aver ragione, però ho visto da più parti che questa riga viene rimossa.
Comunque..... che te ne fai dell'immagine dell'errore che ottieni?
Saranno 10(e forse esagero) in Italia che sarebbero in grado di interpretarla.

[juninho85]

Quote:

Originariamente inviato da bluepix

Puoi anche aver ragione, però ho visto da più parti che questa riga viene rimossa.
Comunque..... che te ne fai dell'immagine dell'errore che ottieni?
Saranno 10(e forse esagero) in Italia che sarebbero in grado di interpretarla.

e che ne so io,dovresit chiederlo a chi ha progettato il sistema operativo....dopotutto e solo una chiave di registro.....non fa assolutamente nessun danno tantomeno rallenta il sistema....se vai su impsotazioni pannello i controllo/sistema/avanzate troverai piu info

[bluepix]

Quote:

Originariamente inviato da juninho85

e che ne so io,dovresit chiederlo a chi ha progettato il sistema operativo....dopotutto e solo una chiave di registro.....non fa assolutamente nessun danno tantomeno rallenta il sistema....se vai su impsotazioni pannello i controllo/sistema/avanzate troverai piu info

me lo sono proprio meritato

[juninho85]

Quote:

Originariamente inviato da bluepix

me lo sono proprio meritato

vabbeh,magari c'hai ragione te,non è detto che se lo cancelli succeda qualche patatrac
un alta cosa da provare nella mia partizione cavia



ricorod che tempo fa in un 3d tut postasti( ) un reply dove dicevi di cancellare "c:\windows\system32\upreg.exe.....sai che cosa fa sto file....ce l'o pure io in msconfig......secondo me si tratta di qualche file che ha a che fare con creative

[bluepix]

Upreg.exe .... è un programma di Creative Technology Ltd che ricorda all'utente di registrare i prodotti Creative Lab.
Il processo non è essenziale e può essere rimosso dallo startup.

ciauzzzz

[juninho85]

Quote:

Originariamente inviato da bluepix

Upreg.exe .... è un programma di Creative Technology Ltd che ricorda all'utente di registrare i prodotti Creative Lab.
Il processo non è essenziale e può essere rimosso dallo startup.

ciauzzzz

perfetto,uno in meno da caricare

[signo3d]

LOL mi sembrate 2secchioni

Cmq...in poche parole devo fixare solo la voce riguardante messenger...ma come la fixo? Cioe...che je devo fa...dal tuo post fa molto sinonimo di cancella...o no?

Per juni.
Il file upreg.exe quindi....puo andar tranquillamente rimosso (se si,ce una procedura particolare)??
Ma che sarebbe poi...il "product registration"?

Me sento un ignurant certe volte

[bluepix]

Quote:

Originariamente inviato da bluepix

devi fixare questa voce:

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

e toglierei pure questa che ho visto è sospettissima:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

però devi fare una cosa prima:

salva Hijackthis.exe in una sua propria directory perchè, in questo modo, vengono salvate le voci che vengono eliminate.

Per eliminare le voci metti un tick sulla voce che vuoi eliminare e clikka FIX.

ciao

Ehm.... scusa la terminologia.
Si, fixare vuol dire rimuovere dal registro di windows.
Caro Signo ... con la parola "secchione" mi ricordi i bei tempi di una gioventù oramai passata

[juninho85]

Quote:

Originariamente inviato da signo3d

LOL mi sembrate 2secchioni

Cmq...in poche parole devo fixare solo la voce riguardante messenger...ma come la fixo? Cioe...che je devo fa...dal tuo post fa molto sinonimo di cancella...o no?

Per juni.
Il file upreg.exe quindi....puo andar tranquillamente rimosso (se si,ce una procedura particolare)??
Ma che sarebbe poi...il "product registration"?

Me sento un ignurant certe volte

ti sottovaluti,non sei un semplice ignorante
serve per registrare il prodotto(che sè io schede audio,casse,webcam....),ma come avrai capito,non serve a una minchia.
vai su msconfig,tolgi la spunta a quel file da esecuzione automatica,poi avvi regedit e cancelli la chiave di avvio su hkey_local machine e current user

[signo3d]

Quote:

Originariamente inviato da bluepix

Ehm.... scusa la terminologia.
Si, fixare vuol dire rimuovere dal registro di windows.
Caro Signo ... con la parola "secchione" mi ricordi i bei tempi di una gioventù oramai passata

Ok...è che questa "versione" di fixare nn la conoscevo


Per Juni
Guarda che so cosa vuol dire registrare
Non avevo capito se era quel file li

Invece la procedura che mi hai detto questa si che la ignoravo

Ps. Thx

[juninho85]

Quote:

Originariamente inviato da signo3d

Invece la procedura che mi hai detto questa si che la ignoravo

.....participio presente....ignorante

[3dsst]

che siamo tornati a scuola

[signo3d]

Quote:

Originariamente inviato da juninho85

.....participio presente....ignorante

Participio presente de che?!?!
Ah bamblon ma che stai a di

Quote:

Originariamente inviato da 3dsst

che siamo tornati a scuola

Spero di no

[3dsst]

Quote:

Originariamente inviato da signo3d

Participio presente de che?!?!
Ah bamblon ma che stai a di


Spero di no

[signo3d]

Quote:

Originariamente inviato da juninho85

ti sottovaluti,non sei un semplice ignorante
serve per registrare il prodotto(che sè io schede audio,casse,webcam....),ma come avrai capito,non serve a una minchia.
vai su msconfig,tolgi la spunta a quel file da esecuzione automatica,poi avvi regedit e cancelli la chiave di avvio su hkey_local machine e current user

Ue nonnu...cmq con msconfig que filu nun lo truvatu!!
Ndo minchia stau?!?!


C'è un updreg.exe...che nn so che cacchio sia...ma a meno che nn avete sbagliato a scrivere...nn è quello!
Quindi?

[3dsst]

Quote:

Originariamente inviato da signo3d

Ue nonnu...cmq con msconfig que filu nun lo truvatu!!
Ndo minchia stau?!?!


C'è un updreg.exe...che nn so che cacchio sia...ma a meno che nn avete sbagliato a scrivere...nn è quello!
Quindi?

[signo3d]

Quote:

Originariamente inviato da 3dsst

Ma te invece di ridere...nn sai help me??