|
|||||||
|
|
|
 |
|
|
Strumenti |
21-04-2006, 12:26
|
#1 |
|
Member
Iscritto dal: Mar 2006
Città: San Giovanni Incarico (FR)
Messaggi: 295
|
Aiuto urgente
Ciao a tutti vi prego aiutatemi xkè sono a dir poco disperato!!!E' da circa una settimana che ho preso ( non so neanche come ) un virus o un dialer (non so precisamente cosa sia).In pratica compaiono sul desktop 5 collegamenti ad internet del tipo suonerie,trova il vero amore e vinci un computer e altri 5 collegamenti nei preferiti.Ho fatto la scansione con kaspersky e con ad-aware (entrambi aggiornati),ma non vedono niente.Aiutatemi per favore,grazie
|
|
|
|
21-04-2006, 12:33
|
#2 |
|
Member
Iscritto dal: Nov 2001
Messaggi: 226
|
Che computer vinceresti?
 Fai una scansione con ewido e poi posta un log di hijackthis
|
|
|
|
|
21-04-2006, 13:44
|
#3 |
|
Member
Iscritto dal: Mar 2006
Città: San Giovanni Incarico (FR)
Messaggi: 295
|
Hijack this nn parte xke dice che manca una dll e la scansione con ewido nn ha trovato file infetti o infezioni
|
|
|
|
|
21-04-2006, 13:51
|
#4 |
|
Senior Member
Iscritto dal: Apr 2006
Città: Milano
Messaggi: 12425
|
Prova con a - squared
|
|
|
|
|
21-04-2006, 14:17
|
#5 |
|
Member
Iscritto dal: Mar 2006
Città: San Giovanni Incarico (FR)
Messaggi: 295
|
Ho fatto ma nn so come si fa a postare!!!
|
|
|
|
|
21-04-2006, 14:22
|
#6 |
|
Member
Iscritto dal: Mar 2006
Città: San Giovanni Incarico (FR)
Messaggi: 295
|
Va be posto così:
ewido anti-malware - Rapporto processi --------------------------------------------------------- + Creato il: 15.18.04, 21/04/2006 + Report-Checksum: B2383A4E 0: System Process 4: System Process 424: \SystemRoot\System32\smss.exe 480: \??\C:\WINDOWS\system32\csrss.exe 512: \??\C:\WINDOWS\system32\winlogon.exe 556: C:\WINDOWS\system32\services.exe 568: C:\WINDOWS\system32\lsass.exe 716: C:\WINDOWS\system32\Ati2evxx.exe 728: C:\WINDOWS\system32\svchost.exe 824: C:\WINDOWS\system32\svchost.exe 864: C:\WINDOWS\System32\svchost.exe 904: C:\WINDOWS\system32\svchost.exe 992: C:\WINDOWS\System32\alg.exe 1008: C:\WINDOWS\system32\svchost.exe 1084: C:\WINDOWS\system32\Ati2evxx.exe 1152: C:\WINDOWS\Explorer.EXE 1224: C:\Programmi\ewido anti-malware\SecuritySuite.exe 1276: C:\WINDOWS\system32\spoolsv.exe 1464: C:\Programmi\ewido anti-malware\ewidoctrl.exe 1492: C:\WINDOWS\system32\ntvdm.exe 1516: C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE 1600: C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 1636: C:\WINDOWS\sm56hlpr.exe 1724: C:\WINDOWS\system32\wdfmgr.exe 1740: C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe 1828: C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe 1844: C:\WINDOWS\system32\ctfmon.exe 1864: C:\WINDOWS\svchost.exe 2056: C:\WINDOWS\system32\svchost.exe 3512: System Process 3516: C:\Programmi\Internet Explorer\iexplore.exe 3628: System Process |
|
|
|
|
21-04-2006, 15:39
|
#7 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
cos'e' quel lavoro qua???
  il log di hijackthis..... scarica hijackthis scompattalo in una cartella lancia l'eseguibile premi il primo bottone e copia e incolla il risultato
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
21-04-2006, 16:47
|
#8 |
|
Member
Iscritto dal: Mar 2006
Città: San Giovanni Incarico (FR)
Messaggi: 295
|
Se leggi sopra ho già scritto che hijack nn mi parte xkè manca una dll del s.o.
|
|
|
|
|
21-04-2006, 17:36
|
#9 | |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Quote:
se hai il cd di win xp, inseriscilo e da start -> esegui digita sfc /scannow così ti ripristina le dll principali del S.O. Altrimenti specifica esattamente quale dll ti manca che te la spediamo 
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
|
21-04-2006, 18:15
|
#10 |
|
Member
Iscritto dal: Mar 2006
Città: San Giovanni Incarico (FR)
Messaggi: 295
|
Grazie mille.Il nome della dll è:
MSVBVM60.dll |
|
|
|
|
21-04-2006, 18:22
|
#11 |
|
Member
Iscritto dal: Mar 2006
Città: San Giovanni Incarico (FR)
Messaggi: 295
|
Ok ho scaricato la dll da dll-files.com e l'ho ripristinata.Ora hijack funziona e posto i risultati:
Logfile of HijackThis v1.99.1 Scan saved at 19.19.48, on 21/04/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\ewido anti-malware\ewidoctrl.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\sm56hlpr.exe C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\svchost.exe D:\Programmi\Hijack This\Hijack This 1.99\HijackThis.exe C:\Programmi\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti F3 - REG:win.ini: load= C:\TCWIN45\PIPELINE\remind.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.google.it/ O17 - HKLM\System\CCS\Services\Tcpip\..\{1BF341BA-C492-49CE-BEEB-16F78F8F774A}: NameServer = 62.211.69.150 212.48.4.15 O17 - HKLM\System\CS1\Services\Tcpip\..\{1BF341BA-C492-49CE-BEEB-16F78F8F774A}: NameServer = 62.211.69.150 212.48.4.15 O17 - HKLM\System\CS2\Services\Tcpip\..\{1BF341BA-C492-49CE-BEEB-16F78F8F774A}: NameServer = 62.211.69.150 212.48.4.15 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Prime95 Service - Unknown owner - C:\DOCUME~1\Alessio\IMPOST~1\Temp\Rar$EX00.893\PRIME95.EXE (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
|
|
|
|
21-04-2006, 18:23
|
#12 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
21-04-2006, 18:34
|
#13 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
il problema principale proviene da C:\WINDOWS\svchost.exe Localizzalo e cancellalo, magari da mod. provvisoria ippure con killbox. Fixa queste voci: C:\WINDOWS\svchost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe Facoltativamente puoi fixare anche questa: O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm Se non sai cos'è fixa anche questa: O23 - Service: Prime95 Service - Unknown owner - C:\DOCUME~1\Alessio\IMPOST~1\Temp\Rar$EX00.893\PRIME95.EXE (file missing)
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
21-04-2006, 18:56
|
#14 |
|
Member
Iscritto dal: Mar 2006
Città: San Giovanni Incarico (FR)
Messaggi: 295
|
Ok fatto.Scusa ma svchost che si trova in system 32 devo lasciarlo o devo eliminarlo???
|
|
|
|
|
21-04-2006, 19:28
|
#15 | |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
Quote:
o è meglio farlo da modalità provvisoria?
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
|
21-04-2006, 19:32
|
#16 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
devi aggiornare java runtime anche
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
21-04-2006, 19:34
|
#17 | |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
Quote:
e aggiorna java
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
|
21-04-2006, 19:35
|
#18 | |
|
Senior Member
Iscritto dal: Mar 2006
Città: Saluzzo (Cuneo) - Trattative ok: 51
Messaggi: 3656
|
Quote:
|
|
|
|
|
|
21-04-2006, 19:58
|
#19 | |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Quote:
di solito chiede conferma in continuazione (parlo di sfc /scannow) se il cd non viene inserito nell'esatta unità dalla quale si era installato originariamente il sistema operativo. Per esempio se, dopo l'installazione del S.O. si è partizionato l'hard disk e il lettore CD dall'originaria lettera "D:" è diventato "E:" si verifica quell'inconveniente. Da qualche parte ho un "tip" su come modificare una chiave di registro per "far credere" a Windows di essere stato installato da un'altra unità. Se ricordo bene, tale modifica può essere fatta anche con "Tweak-UI"
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
|
21-04-2006, 20:10
|
#20 | |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Quote:
l'eseguibile svchost.exe contenuto in c:\windows non può essere fissato con HJT... dev'essere per forza eliminato manualmente Se metti la spunta su O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe lo togli dall'esecuzione automatica, ovvero non viene più avviato automaticamente dal sistema ma il virus resta... P.S. i svchost.exe presenti in system32 e in system32\dllcache sono legittimi e non vanno cancellati
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:45.
