|
|||||||
|
|
|
 |
|
|
Strumenti |
20-05-2006, 16:33
|
#1 |
|
Member
Iscritto dal: May 2006
Messaggi: 46
|
virus? o.....troyan?
strano mi si spegne il pc dopo 5 minuti, lo fa ogni 5 minuti ho XP HOME antivirus KASPERSKY se qualche persona gentile mi puo' aiutare ad analizzare qui' la ringrazio:Logfile of HijackThis v1.99.1
Scan saved at 17.33.09, on 20/05/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\acer\KnobService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\CNYHKey.exe C:\WINDOWS\mHotMon.exe C:\Program Files\Aspire\WFTVFM\WFWIZ.exe C:\acer\KnobMonitor.exe C:\ACER\MPS.EXE C:\Program Files\Libero\Adsl\dslstat.exe C:\Program Files\Libero\Adsl\dslagent.exe C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe D:\Programmi\Winamp\winampa.exe C:\Programmi\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Messenger\MSMSGS.EXE D:\Programmi\Spamihilator\spamihilator.exe C:\Programmi\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe D:\Programmi\WinZip\WZQKPICK.EXE C:\WINDOWS\mHotkey.exe C:\Programmi\Internet Explorer\iexplore.exe D:\Programmi\eMule\emule.exe C:\Programmi\Internet Explorer\iexplore.exe D:\- VECCHIO PC\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service.pandasoftware.com/rol R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: ALTAVISTA - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [SSER] sser.exe O4 - HKLM\..\Run: [mHotmon] mHotMon.exe O4 - HKLM\..\Run: [Aspire Schedule] C:\Program Files\Aspire\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [KnobMonitor] C:\acer\KnobMonitor.exe O4 - HKLM\..\Run: [MPS] C:\ACER\MPS.EXE O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] D:\Programmi\Winamp\winampa.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [Spamihilator] "d:\Programmi\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [neubit] C:\WINDOWS\system32\neubit.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programmi\WinZip\WZQKPICK.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: AltaVista Search - file://C:\Programmi\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Translate - file://C:\Programmi\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesit.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesit.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (ALTAVISTA) - http://toolbar.altavista.com/static/...b?r=1147800999 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6E9BEED4-CF48-4F52-9E30-3636797DF77E}: NameServer = 193.70.152.15 193.70.152.25 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Knob Service (KNOBSERV) - Acer Inc. - c:\acer\KnobService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe |
|
|
|
20-05-2006, 23:29
|
#2 |
|
Senior Member
Iscritto dal: Feb 2006
Messaggi: 642
|
Il motivo per cui si spegne non lo sò.
dal log posso dirti che hai sicuramente questo spy C:\WINDOWS\mHotMon.exe termina il processo con task manager e fissa la voce O4 - HKLM\..\Run: [mHotmon] mHotMon.exe se non sai cosa è fissa pure questa O4 - HKCU\..\Run: [neubit] C:\WINDOWS\system32\neubit.exe Alcune considerazioni: -per un uso sicuro di HJT (soprattutto per il recupero) mettilo in una cartella con radice C: -hai 2 antivirus (panda+Kaspersky)  -certo che di "ammennicoli" toolbar ecc ne hai installate.... 
|
|
|
|
|
21-05-2006, 01:59
|
#3 |
|
Member
Iscritto dal: May 2006
Messaggi: 46
|
analisi
uno l'ho tolto di antivirus PANDA l'avevo cancellato in maniera poco precisa e allora ho cancellato le tracce.
|
|
|
|
|
21-05-2006, 08:14
|
#4 |
|
Member
Iscritto dal: May 2006
Messaggi: 46
|
analisi
dopo che ho cancellato il residuo del PANDA ora ho KASPERSKY mi funziona normalmente almeno spero altrimenti dovrei reinstallarlo non credo formattare il pc x questo solo .Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
|
|
|
|
|
21-05-2006, 08:46
|
#5 |
|
Member
Iscritto dal: May 2006
Messaggi: 46
|
SOS VIRUS
UNA CURIOSITA' ho eliminato dal disco "C" su programmi in "FILE COMUNI " la cartella del PANDA e facendo un'analisi con HIJACKTHISO23 trovo ancora la voce:"- Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe cosa dovrei fare?
|
|
|
|
|
21-05-2006, 09:43
|
#6 |
|
Senior Member
Iscritto dal: Feb 2006
Messaggi: 642
|
Cancellare le cartelle dei programmi per disinstallarli non è molto funzionale.
Per quello che riguarda il servizio puoi tranquillamente fissare la voce con HJT. Cè anche un comando apposito da esegui, ma ti consiglio il primo metodo. Anche se dubito che risolva il problema dello spegnimento. Cmq, fissato tutto, rifai il log. |
|
|
|
|
21-05-2006, 09:59
|
#7 |
|
Member
Iscritto dal: May 2006
Messaggi: 46
|
analisi
spiegati meglio:Cancellare le cartelle dei programmi per disinstallarli non è molto funzionale
|
|
|
|
|
21-05-2006, 10:11
|
#8 | |
|
Senior Member
Iscritto dal: Feb 2006
Messaggi: 642
|
Quote:
Se vuoi disinstallare un programma e l'uninstall non funziona (succede spesso con il norton antivirus) bisogna andare a cercare "a mano" tutti i file in giro per tutto il computer e tutte le chiavi nel registro di configurazione che fanno riferimento a quel programma. Cancellare una cartella con il nome-programma fà più danno che altro. P.S. Cmq non perderti in questi dettagli ...ormai hai fatto...cerca di ottenere un log "pulito" 
|
|
|
|
|
|
21-05-2006, 10:17
|
#9 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 728
|
Credo che manganese voleva dire che sarebbe meglio disinstallare i programmi da installazione\applicazioni , diciamo che quella è la procedura corretta .Con il tuo metodo rimangono sicuramente molti residui nel sistema operativo , principalmente chiavi di registro . Quindi credo che sia opportuno passare almeno un buon pulitore del registro se si procede come hai fatto te .
Ops , non mi ero accorto che avevi già risposto 
Ultima modifica di 0sc0rpi0n0 : 21-05-2006 alle 10:19. |
|
|
|
|
21-05-2006, 10:51
|
#10 |
|
Member
Iscritto dal: May 2006
Messaggi: 46
|
SOS VIRUS
SALVE!!
 sono riuscito a sistemare la faccenda andando su"PANNELLO DI CONTROLLO poi PRESTAZIONI E MANUTENZIONI segue STRUMENTI DI AMMINISTRAZIONE infine SERVIZIsono andato alla voce PANDA cliccando con il destro del tasto del mause su PROPRIETA' e ho disistallato . Poi sono andato su HIJACKTHIS per cancellare la voce PANDA e era gia' sparita .pero' devo fidarmi del KASPERSKY che ho gia' in funzione? vedo che va tranquillamente.
|
|
|
|
|
21-05-2006, 11:08
|
#11 | |
|
Senior Member
Iscritto dal: Feb 2006
Messaggi: 642
|
Quote:
|
|
|
|
|
|
21-05-2006, 12:37
|
#12 | |
|
Member
Iscritto dal: Nov 2001
Messaggi: 226
|
Quote:
 Un corso su come funziona windows non ti farebbe male.Aviaria tu non eri quello che sosteneva qualche settimana fa che Bitdefender era il top del top? Già cambiato idea? 
Ultima modifica di marcocappe : 21-05-2006 alle 12:42. |
|
|
|
|
|
21-05-2006, 14:35
|
#13 |
|
Member
Iscritto dal: May 2006
Messaggi: 46
|
SOS VIRUS
MARCOCAPPE non facciamo dell'ironia se ho dovuto cambiare il BIT DEFENDER c'e' stato un perche' ,ora ho KASPERSKY e poi ho formattato tutto da quella volta che usavo BIT DEFENDER . nel registro del sistema non c'e' traccia del PANDA ho verificato fin dall'inizio e neppure nell'hard disck . Ora non ho problemi.
|
|
|
|
|
21-05-2006, 14:39
|
#14 |
|
Member
Iscritto dal: May 2006
Messaggi: 46
|
sos virus
Ringrazio MANGANESE per la sua collaborazione prestata e saluto tutti.
|
|
|
|
|
23-05-2006, 15:46
|
#15 |
|
Senior Member
Iscritto dal: Jul 2000
Città: [BOLOGNA] Lat.:44°31'0"N Long.:11°20'30"E
Messaggi: 1266
|
il problema dello spegnimento l'ho potuto constatare su alcuni pc di clienti
si manifesta al verificarsi simultaneo di queste condizioni: 1) aggiornamento di moduli programma di kaspersky 2) OS windows XP 3) connessione tramite scheda di rete (no problem con modem adsl usb) soluzione del problema: partire in modalita provvisoria disinstallare kaspersky passare ad antivir
__________________
Prima regola della riparazione: Se non è rotto non lo puoi aggiustare. Seconda regola della riparazione:Tieni tutto. |
|
|
|
|
23-05-2006, 17:57
|
#16 |
|
Bannato
Iscritto dal: Aug 2005
Città: Caserta
Messaggi: 11990
|
quando si spegne da solo che fai il pc ? esce un messaggio di errore del tipo tendina dos?
non credo ad errori software suppongo che sia instabilità della ram che si vericfica solo in determinate condizioni |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:30.
