Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?
Ricarica la Pagina lsacs.exe _help

Recensione Nothing Phone (4a) Pro: finalmente in alluminio, ma dal design sempre unico
Recensione Nothing Phone (4a) Pro: finalmente in alluminio, ma dal design sempre unico
Nothing Phone (4a) Pro cambia pelle: l'alluminio unibody sostituisce la trasparenza integrale, portando una solidità inedita. Sotto il cofano troviamo uno Snapdragon 7 Gen 4 che spinge forte, mentre il display è quasi da top dig amma. Con un teleobiettivo 3.5x e la Glyph Matrix evoluta, è la prova di maturità di Carl Pei. C'è qualche compromesso, ma a 499EUR la sostanza hardware e la sua unicità lo rendono un buon "flagship killer" in salsa 2026
WoW: Midnight, Blizzard mette il primo, storico mattone per l'housing e molto altro
WoW: Midnight, Blizzard mette il primo, storico mattone per l'housing e molto altro
Con Midnight, Blizzard tenta il colpaccio: il player housing sbarca finalmente su Azeroth insieme a una Quel'Thalas ricostruita da zero. Tra il dramma della famiglia Ventolesto e il nuovo Prey System, ecco com'è la nuova espansione di World of Warcraft
Ecovacs Goat O1200 LiDAR Pro: la prova del robot tagliaerba con tagliabordi integrato
Ecovacs Goat O1200 LiDAR Pro: la prova del robot tagliaerba con tagliabordi integrato
Nuova frontiera per i robot tagliaerba, con Ecovacs GOAT O1200 LiDAR Pro che riconosce l'ambiente in maniera perfetta, grazie a due sensori LiDAR, e dopo la falciatura può anche rifinire il bordo con il tagliabordi a filo integrato
L'Intelligenza Artificiale ora può anche prescrivere farmaci. Lo Utah apre le porte ai "dottori algoritmici"
Il data center del futuro secondo Huawei: un ecosistema completo fra hardware, software e sistemi di raffredamento
Spesa a domicilio senza conducente: robot su strada in Europa, parte il test reale
Satoshi Nakamoto ha finalmente un volto? L'inchiesta del momento smaschera il creatore di Bitcoin
La Corea del Sud taglia fuori i bus elettrici cinesi? Le nuove regole sulle batterie cambiano tutto
GoPro taglia ancora: licenziato il 23% del personale per ritrovare i profitti
Muse S Athena: la fascia che ti legge nel pensiero e capisce quando svegliarti
PS5 Pro e PSSR 2.0: tutti i giochi compatibili e le differenze con la versione precedente
Dimensity 9600 Pro promette prestazioni da desktop ma rischia problemi di surriscaldamento
BMW i7 2026 adotta celle cilindriche Gen6 sviluppate con Rimac: +20% di densità energetica e ricarica più veloce
Cyberpunk 2077 si aggiorna su PS5 Pro con tre modalità grafiche e ray tracing avanzato
Tutti gli articoli Tutte le news

Vai al Forum
Pagina 1 di 2 1 2 >
Rispondi
 
Strumenti
Old 14-11-2007, 02:38   #1
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
lsacs.exe _help
salve a tutti il mio pc è infetto dal virus chiamato "name:CLSRSS" "filename:LSACS.EXE" "command:C:\Windows\System32\LSACS.EXE" "Added by the W32/SillyFDC-X worm."
il problema è che non riesco più ad aprire con il doppio click i miei hard disk interni C e D nè esterni G, ad ogni doppio click esce la clessidra e nel task manager si aggiungono due voci LSACS.EXE;mentre se apro tramite tasto destro e "apri" non succede e si apre normalmente. Fino ad oggi non ho mai avuto nessun problema di questo tipo e il pc è recentissimo da formattazione.
il problema è iniziato quando oggi ho comprato un nuovo hard disk esterno da 500Gb della Maxtor (in offerta al Mediaworld a 99€ se può essere d'aiuto)da sostituire con il mio vecchio.
siccome ho letto nelle notizie che in passato alcuni hard disk Maxtor similari al mio erano infetti da virus (però diverso da quello preso dal mio pc) volevo sapre se poteva essere che l'ho contratto dal nuovo hard disk e cosa più importante come fare a rimuverlo;ho formattato il maxtor,ho già fatto uno scan con antivir ma niente e pare che neppure con il panda active scan funzioni, non so più che fare.
qualcuno mi aiuti per favore.
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 05:51   #2
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Si tratta di un worm ben noto:

Quote:
W32/SillyFDC-X is a worm for the windows platform.

When run W32/SillyFDC-X copies itself to

<System>\LSACS.exe

and creates the following files:
<System>\Spiservice.dll
<System>\Winservice.dll
<System>\lsas.exe

The following registry entry is created to run lsacs.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CLSRSS
<System>\LSACS.EXE
Ti invito a leggere prima qui: Guida alla disinfezione per Infetti
E ad eseguire subito le seguenti operazioni:

1) Disattivare il Ripristino configurazione di sistema in questo modo:
- tasto destro del mouse sull'icona Risorse del Computer;
- selezionare la voce Proprietà;
- aprire la scheda Ripristino configurazione di Sistema;
- spuntare la voce Disattiva ripristino configurazione di sistema;
- confermare, la modifica, con Applica e, poi Ok.

N.B. Una volta che non sei più infetto va riattivato

2) Eseguire una scansione con A-Squared free in modalità Deep.

N.B. Se non sei sicuro su cosa rimuovere posta un log (tenendo presente quali sono le regole relative che trovi qui al terzo punto).

Nel caso in cui A-squared non fosse in grado di trovare e/o rimuovere questo worm proveremo con AVG Antispyware.
__________________
La tua prossima affermazione sarà un No? Rispondi con un Si o un No.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 09:28   #3
Bugs Bunny
Senior Member
 
L'Avatar di Bugs Bunny
 
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
segui questa guida.

http://www.hwupgrade.it/forum/showthread.php?t=1599603
Bugs Bunny è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 10:34   #4
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
Quote:
Originariamente inviato da Bugs Bunny Guarda i messaggi
ho seguito la guida
l'ultima cosa non l'ho ben capita ("Se il problema persiste,caricate su http://www.zshare.net/ un log di hijackthis (DOWNLOAD), postando il link del file."), l'ho fatte tutte, non ho trovato nessuno autorun.inf nelle mie partizioni, ho eseguito uno scan con antivir ma niente. il problema è che nessun antivirus o scan riesce a individuare il maledetto virus (W32/SillyFDC-X) e quindi eliminarlo.

per quello che riguarda Nuz, ho effetuato una scansione deep con a-squared e mi ha trovato 6 traking cookie a rischio basso e un trojan-spy.win32.agent.rc in C:\WINDOWS\system\Spiservice.dll ; che sia quello il mio problema?o è solo un ulteriore trojan?
che faccio ora?
mi conviene formattare e reinstallare windows???
Ultima modifica di atk25 : 14-11-2007 alle 10:37.
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 10:38   #5
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da atk25 Guarda i messaggi
ho seguito la guida
l'ultima cosa non l'ho ben capita ("Se il problema persiste,caricate su http://www.zshare.net/ un log di hijackthis (DOWNLOAD), postando il link del file."), l'ho fatte tutte, non ho trovato nessuno autorun.inf nelle mie partizioni, ho eseguito uno scan con antivir ma niente. il problema è che nessun antivirus o scan riesce a individuare il maledetto virus (W32/SillyFDC-X) e quindi eliminarlo.

per quello che riguarda Nuz, ho effetuato una scansione deep con a-squared e mi ha trovato 6 traking cookie a rischio basso e un trojan-spy.win32.agent.rc in C:\WINDOWS\system\Spiservice.dll ; che sia quello il mio problema?o è solo un ulteriore trojan?
che faccio ora?
mi conviene formattare e reinstallare windows???
si è quello falcialo, poi:
HijackThis
Scarica HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per praticità HJT, eseguilo, clicca su Do a system scan and save a log file ed allega il log utilizzando la funzione Gestisci Allegati o hostali su http://www.zshare.net/ indicando il link nel post
Download: http://www.trendsecure.com/portal/en...HiJackThis.exe
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 14-11-2007 alle 10:58.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 11:08   #6
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
ho eliminato il trojan e riavviato ma la voce LSACS.EXE nel task manager ll avvio c'è ancora, ora gli hard disk li apro con un doppio click ma se termino l'operzione LSACS.EXE dal task manager e faccio doppio click esce la clessidra e fino che nel task manager non riappare LSACS.EXE (a volte anche 2) non mi apre l'hard disk.
inoltre subito dopo l'avvio antivir mi ha individuato TR/Spy.Agent.RC in C:\WINDOWS\system\Winservice.dll io l'ho messo in quarantena, come faccio per curarlo?
inserisco il mio log di hijack subito dopo l'avvio
Codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.02.27, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\RECYCLER\LSACS.EXE
C:\WINDOWS\system32\LSACS.EXE
C:\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [MemoREX] "D:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [CLSRSS] C:\WINDOWS\system32\LSACS.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system\spiservice.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\spiservice.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\spiservice.dll' missing
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 11:14   #7
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Esegui Hijackthis - clicca su Do a system scan - metti il segno di spunta a sx nella casella bianca di fianco alle sottoindicate voci, clicca su Fix checked:

C:\RECYCLER\LSACS.EXE
C:\WINDOWS\system32\LSACS.EXE
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CLSRSS] C:\WINDOWS\system32\LSACS.EXE

riallega log di HJT, poi ci sono altre cose da fare.
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 11:27   #8
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
ecco il nuovo log
Codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.23.08, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\LSACS.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\a-squared Free\a2free.exe
C:\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [MemoREX] "D:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system\spiservice.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\spiservice.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\spiservice.dll' missing
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 7859 bytes
purtoppo nella lista del programma dove devo spuntare la freccia non mi appare C:\WINDOWS\system32\LSACS.EXE, mentre quando analizzo il log si...
come mai?e con lo spy agent che faccio lo neutralizzo con a-squared?
ho eseguito un'ulteriore passata con a-squared alla cartella windows e ho trovato altri 3 trojan-spy.win32.agent.rc rispettivamente nei file c:\windows\system32\svchost.exe c:\windows\system32\alg.exe e c:\windows\system\Spiservice.dll a addirittura nella cartella dove ho installato il firefox, sono falsi posotivi o li devo eliminare o loasciare in quarantena?il firefox se lo metto in quarantena non mi funziona
Ultima modifica di atk25 : 14-11-2007 alle 11:34.
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 11:42   #9
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
http://swandog46.geekstogo.com/avenger.zip

Lo script da inserire è il seguente:

Quote:
Files to delete:
C:\WINDOWS\system32\LSACS.EXE
il TR/Spy.Agent.RC è già nella quarantena di Antivir

inoltre per capire hosta su http://www.zshare.net/ il log di a-squared free in modalità deep scan
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 14-11-2007 alle 11:49.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 11:54   #10
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
con avenger insrisco la stringa come detto ma quando cliccko sul semaforo metto si al primo poi mi esce "error:selected file does not appear to be a valid script" do a ok poi esce "press ok to log error and continue or cancel to abort" do a ok "error code:0"
che faccio?
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 11:57   #11
Bugs Bunny
Senior Member
 
L'Avatar di Bugs Bunny
 
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
allora toglilo con killbox o unlocker
Bugs Bunny è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 12:22   #12
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
allora quando avvio windows la voce LSACS.EXE non c'è, appena faccio doppio click su un hard disk (con quello esterno usb collegato) si aprono due LSACS.EXE,poi subito dopo TR/Spy.Agent.RC viene detettato da antivir, lo muovo alla quarantena e poi si modifica la lista start up creando la regol per eseguire LSACS.EXE all'avvio. questa è la mia situazione attuale, più tardi allego log di a-squared full scan.
il log di a-squared basta fare alla fine salva rapporto giusto? e mettere qua il file .txt salvato no?
questo è il log con hijack dopo l'avvio senza fare un doppio click sugli hard disk
Codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.09.23, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\a-squared Free\a2free.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [MemoREX] "D:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 7572 bytes
Ultima modifica di atk25 : 14-11-2007 alle 13:20.
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 13:21   #13
Gle89
Senior Member
 
L'Avatar di Gle89
 
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
Proviamo a ripartire da capo, esegui queste istruzioni di nuovo:
  • Se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
    (start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

  • assicurati di avere abilitato la visualizzazione delle cartelle e file nascosti (pannello controllo - opzioni cartella - visualizzazione - abilita quest'opzione)

  • ELISTARTA TOOL: clicca qui per il download
    scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
    Esegui ELISTARTA TOOL:
    ● alla prima domanda, rispondi SI
    ● alla seconda, rispondi SI
    ● alla terza rispondi NO
    ● si apre la finestra di scansione, clicca su Explorar
    ● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
    ● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
    Annotazione
    dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita
Alla fine riavvia il pc, e allega (o hosta) il log di Elisarta
Gle89 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 13:35   #14
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
sto effettuando la scansione elistara, mi ha dato abbastanza crash per aprirlo però alla fine siè aperto prima di aprire la finestra di scansione mi è uscito un messaggi che metteva che c'era un file autorun.inf in C: solo che non so dove sia (penso sia quello il mio problema) però nel tool non esce nessuna voce infettata.
mi segnala che sia in C: che in D: che in G: nella cartella RECYCLER c'è un autorun.inf con ordine open=RECYCLER\LSACS.EXE
come elimino quei file?
Ultima modifica di atk25 : 14-11-2007 alle 13:46.
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 13:40   #15
Gle89
Senior Member
 
L'Avatar di Gle89
 
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
allora dopo che hai finito la scansione di elisarta e allegato il log fai cosi:

-assicurati di nuovo di avere abilitato la visualizzazione delle cartelle e file nascosti (pannello controllo - opzioni cartella - visualizzazione - abilita quest'opzione)

- START - CERCA (in tutto il tuo pc) autorun.inf appena ha finito la ricerca vai nei percorsi trovati e cancella tutto quello che riguarda autorun.inf

domanda: hai DISCO SEAGATE/MAXTOR comprato dopo agosto 2007?

alla fine riavvia il pc e dicci i sintomi
Ultima modifica di Gle89 : 14-11-2007 alle 13:42.
Gle89 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 13:54   #16
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
si il Maxtor l'ho comprato ieri al media world, sono sicuro che avesse un virus come ho letto nella notizia, ma il virus ocntenuto non credo sia quello che c'è scritto nella notizia.
con la ricerca non mi ha trovato nessun autorun.inf
ma la cartella RECYCLER dove la trovo??
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 14:07   #17
Gle89
Senior Member
 
L'Avatar di Gle89
 
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
Quote:
Originariamente inviato da atk25 Guarda i messaggi
con la ricerca non mi ha trovato nessun autorun.inf
ma la cartella RECYCLER dove la trovo??
come ti ho detto devi assicurati di nuovo di avere abilitato la visualizzazione delle cartelle e file nascosti (pannello controllo - opzioni cartella - visualizzazione - abilita quest'opzione)

dato che un tool ti dice che esiste, vuol dire che ci deve essere per forza nel tuo pc e devi cancellare tutte gli autorun.inf

Inoltre ti avevo chiesto di allegare il log di elisarta.

P.S. non posso darti il mio contatto di msn, dobbiamo cercare di risolvere qui cosi tutti possono capire e leggere se avranno il tuo stesso problema.
Devi cercare di sforzarzi a fare quello che ti si dice.
Gle89 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 14:09   #18
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
l'opzione della visualizzazione dei file nascosti l'avevo già abilitata e non mi trova niente. non ho ancora messo il log perchè mi sono un po incasinato con i si e i no.ora provo a riavviare.
atk25 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 14:14   #19
Gle89
Senior Member
 
L'Avatar di Gle89
 
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
Tu hai scritto questo messaggio:

Quote:
Originariamente inviato da atk25 Guarda i messaggi
mi segnala che sia in C: che in D: che in G: nella cartella RECYCLER c'è un autorun.inf con ordine open=RECYCLER\LSACS.EXE
come elimino quei file?
CHI TI SEGNALA che esiste questo autorun.inf?

Inoltre rifai la scansione di Elisarta e allega il log per favore.
Gle89 è offline   Rispondi citando il messaggio o parte di esso
Old 14-11-2007, 14:21   #20
atk25
Member
 
Iscritto dal: Feb 2006
Messaggi: 52
elisarta mi dice che ci sono gli autorun
di seguito il log di ELISARTA(c'è molta robaccia ma il pc non lo uso solo io)
http://www.xzshare.it/913126
atk25 è offline   Rispondi citando il messaggio o parte di esso
Pagina 1 di 2 1 2 >
 Rispondi

« Discussione precedente | Discussione successiva »

Recensione Nothing Phone (4a) Pro: finalmente in alluminio, ma dal design sempre unico Recensione Nothing Phone (4a) Pro: finalmente in...
WoW: Midnight, Blizzard mette il primo, storico mattone per l'housing e molto altro WoW: Midnight, Blizzard mette il primo, storico ...
Ecovacs Goat O1200 LiDAR Pro: la prova del robot tagliaerba con tagliabordi integrato Ecovacs Goat O1200 LiDAR Pro: la prova del robot...
Recensione Samsung Galaxy S26+: sfida l'Ultra, ma ha senso di esistere? Recensione Samsung Galaxy S26+: sfida l'Ultra, m...
Zeekr X e 7X provate: prezzi, autonomia fino a 615 km e ricarica in 13 minuti Zeekr X e 7X provate: prezzi, autonomia fino a 6...
L'Intelligenza Artificiale ora può...
Il data center del futuro secondo Huawei...
Spesa a domicilio senza conducente: robo...
Satoshi Nakamoto ha finalmente un volto?...
La Corea del Sud taglia fuori i bus elet...
GoPro taglia ancora: licenziato il 23% d...
Muse S Athena: la fascia che ti legge ne...
PS5 Pro e PSSR 2.0: tutti i giochi compa...
Dimensity 9600 Pro promette prestazioni ...
BMW i7 2026 adotta celle cilindriche Gen...
Cyberpunk 2077 si aggiorna su PS5 Pro co...
Valve porta Steam Link su Vision Pro per...
Google Maps: ufficiali 3 novità c...
TikTok punta tutto sull'Europa: un milia...
OnePlus Nord 6 ufficiale: arriva con una...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 19:07.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v