|
|||||||
|
|
|
 |
|
|
Strumenti |
03-06-2004, 00:06
|
#1 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Roma
Messaggi: 5815
|
WUAUTOF.EXE
Ciao a tutti.
Ho dovuto reinstallare Windows Xp,ora ho questo programma che si apre in automatico qualche secondo dopo l'avvio del sistema,e mi occupa il 40% delle risorse. Ho fatto una scansione con avast e una online con Panda;nessuno dei due ha rilevato virus. Ma allora che cos'è?E,soprattutto,come lo elimino? PS.adesso,dopo un paio di minuti che lo avevo chiuso,si è riavviato nuovamente da solo....  Aspetto con ansia i vostri pareri!
__________________
[Le mie trattative] |
|
|
|
03-06-2004, 00:08
|
#2 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
worm agobot.KJ
 http://www.trendmicro.com/vinfo/viru...WORM_AGOBOT.KJ qui per informazioni su come eliminarlo manualmente o automaticamente con i tool della trend Ciao Eraser
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
03-06-2004, 00:10
|
#3 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
03-06-2004, 00:28
|
#4 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Roma
Messaggi: 5815
|
Ma non è possibile!!!!
Ma tutti da me vengono?  In più il link non mi funziona...sarà colpa del virus? Beh cmq cerco di mandarti il file al più presto. Grazie mille eraser!!!
__________________
[Le mie trattative] |
|
|
|
|
03-06-2004, 00:34
|
#5 | ||
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
Quote:
il worm ha modificato il file hosts Quote:
poi potrai accedere al sito della trend
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
||
|
|
|
|
03-06-2004, 01:22
|
#6 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Roma
Messaggi: 5815
|
Ciao!
Allora ho fatto tutto. Dopo averti inviato l'e-mail ho seguito le indicazioni che hai postato e sono riuscito ad accedere alla pagina della trendmicro. Ho scaricato il tool di rimozione e in effetti mi ha trovato il virus. L'opzione di rimozione automatica era spuntata quindi in teoria lo dovrebbe aver rimosso. Dico "in teoria" perchè succedono ancora cose strane.... Dopo aver riavviato ho cercato di eliminare anche le voci dal registro che si riferiscono a questo virus,seguendo le istruzioni che si trovano sempre nella pagina da te postata. Solo che il registro,dopo neanche una decina di secondi che sta aperto....pluf!mi si chiude da solo! Ho pensato che magari potessero essere le ram  Così riavvio un'altra volta e metto i timing di defult. Ma,niente,il registro mi fa la stessa cosa. In più,subito dopo il caricamento del desktop si aprono delle finestre dos,come se si stesse caricando qualcosa.... Tutto cioè moooolto sospetto,vero? Insomma,per farla breve:Heeeelp! 
__________________
[Le mie trattative] |
|
|
|
|
03-06-2004, 01:30
|
#7 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Roma
Messaggi: 5815
|
Nooooo!
E' ancora lui!!! ho riprovato ad andare alla pagina della trend e mi ha ridato "impossibile trovare la pagina". O aperto il task manager e infatti eccolo ancora lì!Bello tranquillo che si suca il 30% della cpu! E sta volta,come dire...si è portato anche gli amici !C'è un'altro processo aperto che non ho mai visto prima,si chiama Smsls.exe,che si mangia un altro 20%.... 
__________________
[Le mie trattative] |
|
|
|
|
03-06-2004, 12:06
|
#8 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Roma
Messaggi: 5815
|
Ciao.
Allora,ho fatto una scansione in modalità provvisoria con il pacchetto di rimozione della trend.Solo che mi dava questo avviso,appena avviavo il programma: "Pattern File LPTSVPN.* is missing,please dowload a copy. Questo però non pregiudicava il funzionamento del programma,almeno per quanto riguarda la scansione,che mi ha fatto regolarmente.Questa volta non ha trovato il virus.Ho fatto allora la scansione nline,per essere sicuro al 1000%,ma invece questa mi ha rilevato ancora l'Agobot. Ho provato a seguire le istruzioni per togliere le voci nel registro,che questa volta funziona.Ho tolto le voci relative al virus,ho riavviato,e sembra che la situazione siaun po migliorata. Non modifica più il file hosts,e non si è aperto più il processo succhia-risorse. Fatto sta però,che,in seguito ad una ennesima scansione,il virus risulta essere ancora nel sistema. Ci capisco sempre meno.Ho fatto anche una scansione con HijackThis,ecco il risultato: Logfile of HijackThis v1.97.7 Scan saved at 11.57.45, on 03/06/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Mantes\Documenti\HijackThis.exe C:\WINDOWS\System32\taskmgr.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/7...ll/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...141.0700231481. Per inciso il nome del processo con cui si presenta Agobot è cambiato,ora è Smsls.exe.Questo è il nome del programma che ho tolto dal registro,di Wuautof.exe non c'era traccia. Scusate per la lungaggine dei post,ma essendo un completo ignorante in materia,non so quale informazioni siano importanti e quali no,quindi ho cercato di dirvi tutto quello che potevo. Ciauzz!
__________________
[Le mie trattative] Ultima modifica di mantes : 03-06-2004 alle 12:09. |
|
|
|
|
03-06-2004, 14:53
|
#9 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
allora:
in modalità provvisoria lancia il tool della symantec http://securityresponse.symantec.com...r/FxGaobot.exe e fai una scansione. Te lo dovrebbe rimuovere. poi prima di ripartire installa un firewall  Alla fine riprova Ciao Eraser
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
03-06-2004, 15:35
|
#10 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Roma
Messaggi: 5815
|
Siì questo tool ha funzionato alla grande.
Grazie della pazienza dimostratami,eraser!!! 
__________________
[Le mie trattative] |
|
|
|
|
03-06-2004, 16:02
|
#11 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
figurati
mi pagano per fare questo ho detto che mi pagano????  devo smettere di bere....
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
03-06-2004, 18:44
|
#12 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002
Messaggi: 4426
|
Quote:
farebbero un affare invece se ti pagassero x stare zitto  
|
|
|
|
|
|
03-06-2004, 19:09
|
#13 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:01.
