ntoskrnl.exe (e dialer)

[babo.den]

Ciao! c'è qualcuno che può aiutarmi? avg mi rileva che il file ntoskrnl.exe è stato cambiato, ma non individua alcun virus. che significa? io utilizzo un 56k e la connessione internet da qualche giorno non è più stabile: alcune volte si disconnette quasi subito altre volte dopo qualche minuto. uso digisoft antidialer e delle volte mi rileva che si sta tentando una connessione con un altro numero da quello che utilizzo io normalmete. Avg, a squared, erevIt norton security scan, non hanno trovato nessun virus/malware.

[xcdegasp]

mammamiaaaaa no non metterlo in quarantena!
fallo analizzare su www.virustotal.com e su virusscan.jotti.org e postaci il link (per il primo sito) e un copia /incolla su un txt per i risultati del secondo

ma puzza tanto di falsopositivo come il winlogon.exe che avg-antispyware7.5 mi segnalava infetto la prima e unica volta che lo provai (dopo due mesi che era stato rilasciato come release).

[babo.den]

grazie per avermi risposto, spero di aver eseguito correttamente le istruzioni che mi hai dato! ecco il link. http://www.virustotal.com/it/analisi...2fa29afc8f38d5

[xcdegasp]

in sostanza abbiamo il seguente risultato:

Quote:

ArcaVir Found Heur.W32
AVG Antivirus Found nothing
e
AVG 7.5.0.516 2008.01.08 -

cambia assolutamente antivirus, falsi positivi di questo genere sono assolutamente intollerabili! saresti stato obbligato alla formattazione se davi adito ad AVG

[murack83pa]

ma cosa mi combini...avg???

scusate l'ot...

[yeppala]

non si tratta di un falso positivo.
Durante la scansione manuale, AVG controlla se alcuni file vitali come il kernel, vengono cambiati e in caso affermativo lo segnala all'utente. Non dice che c'è un virus!
ntoskrnl è cambiato perchè avrai installato un aggiornamento per Windows.

[murack83pa]

vero, ho controllato meglio tutto: ne su virus total ne sull'altro sito mi pare risulti che avg lo identifichi come virus....
e poi l'utente dice che è stato rilevato un cambiamento, nn un virus....

[lancetta]

Ragazzi occhio a quello che vi segnala l'antivirus....però siccome non me lo ricordo,che azioni suggerisce avg in questi casi?

[murack83pa]

se mi ricordo bene, lui notifica a fine scansione il cambiamento, ma nn dice niente, nn dice di cancellarlo o metterlo in quarantena: si limita a notificare il cambiamento...se mi ricordo bene

[lancetta]

Quote:

Originariamente inviato da murack83pa

se mi ricordo bene, lui notifica a fine scansione il cambiamento, ma nn dice niente, nn dice di cancellarlo o metterlo in quarantena: si limita a notificare il cambiamento...se mi ricordo bene

bè se è così...

[babo.den]

però internet mi si disconnette e non capisco il perchè....sembra tutto a posto! mi potete guardare il logfile di hijackthis? ...se trovate qualcosa di sospetto. grazie

[murack83pa]

x favore modifica il post secondo le regole di sezione:
il log lo alleghi (lo rinomini in formato .txt) oppure lo carichi sul sito www.zshare.net e copia qui il link x il download
edit: scarica l'ultima versione di hijackthis

[lancetta]

usi una connessione umts della tre vero?
in questi giorni sta un pò rompendo (a volte la uso sul note ) comunque allega il log in modo giusto ....

Pulita con CCleaner( QUI)disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" oppure con ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 (è stand alone) Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected"

[babo.den]

Scusate!!! ecco il logfile di hijackthis. grazie

[babo.den]

scusate ancora...

[murack83pa]

vai al tuo post dove hai messo il log, clicca su modifica,poi avanzate, cosi cancelli il log, e lo alleghi oppure lo carichi su www.zshare.net

[babo.den]

scusate sono un po' imbranato...non riesco ad inviare il file, dopo il caricamento mi scrive invalid file...ora sto usando la connessione tre ma di solito uso 56kb! e ogni tanto (ultimamente sempre di più) si disconnette, oppure digisoft antidialer mi segnala che un altro numero sta tentando di connettersi...e così si disconnette.

[murack83pa]

e dove è finito il log di hijackthis?

[babo.den]

http://www.zshare.net/download/6350789861fefd/

[murack83pa]

sinceramente c sono delle cose che nn mi convincono:
hijackthis nn ha individuato la versione di windows,almeno nn la specifica( xò dovrebbe essere vista)
avevi installato nortono prima?o qualkosa della symantec? c sono procedure particolari x rimuovere tali prodotti, e sul sito dell symantec c sono dei tool x la rimozione
questo digisoft antdialer?se vuoi un software antidialer, scarica asquared antidialer, io lo disinstallrei
cosi come il toolbar di google,portatore sano di infezioni
devi aggiornare java
queste voci nn le capisco:

Quote:

O1 - Hosts: ::1 localhost

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: VPN Client.lnk = ?

O11 - Options group: [INTERNATIONAL] International*

O13 - Gopher Prefix:

queste altre credo le puoi fixare (= clicca sul pulsante fixa, cioè cancella)

Quote:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

credo sia necessario il parere di qualkun altro
ciao