|
|||||||
|
|
|
 |
|
|
Strumenti |
17-11-2004, 20:25
|
#1 |
|
Moderatore
Iscritto dal: Feb 2003
Città: Trattative: 206
Messaggi: 28530
|
help con wruaclt.exe
ciao a tutti, ho un po di problemi col pc (appena formattato, da 3 giorni). ecco il log di hijackthis
Logfile of HijackThis v1.98.2 Scan saved at 20.18.36, on 17/11/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AVPersonal\AVWUPSRV.EXE C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\AVPersonal\AVGUARD.EXE C:\Programmi\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wruaclt.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\WINDOWS\System32\rundll32.exe C:\Programmi\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe C:\Programmi\AVPersonal\AVWIN.EXE C:\Documents and Settings\Andrea\Impostazioni locali\Temp\Directory temporanea 3 per hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [*windows update] wruaclt.exe O4 - HKLM\..\RunServices: [*windows update] wruaclt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [*windows update] wruaclt.exe O4 - Global Startup: LG Sync Manager.lnk = ? O4 - Global Startup: LG SyncManager.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100528848482 che cavolo devo fare?
__________________
Le mie 206: TRATTATIVE |
|
|
|
17-11-2004, 22:40
|
#2 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
virus terribile!!!  Devi riavviare in mod. provvisoria e, dopo aver attivato la visualizzazione di file e cartelle nascoste, disattivato il system restore e svuotato con cura tutte le cartelle temporanee e la cache di internet, devi localizzare ed eliminare questo: C:\WINDOWS\System32\wruaclt.exe Fissa poi con hijackthis queste voci: O4 - HKLM\..\Run: [*windows update] wruaclt.exe O4 - HKLM\..\RunServices: [*windows update] wruaclt.exe O4 - HKCU\..\Run: [*windows update] wruaclt.exe Riavvia e posta un nuovo log. Per maggior sicurezza puoi fare un controllo AV on line con QUESTO
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
17-11-2004, 22:52
|
#3 |
|
Moderatore
Iscritto dal: Feb 2003
Città: Trattative: 206
Messaggi: 28530
|
ok, ora provvedo, tra 10 min ti do novità
__________________
Le mie 206: TRATTATIVE |
|
|
|
|
17-11-2004, 23:05
|
#4 |
|
Moderatore
Iscritto dal: Feb 2003
Città: Trattative: 206
Messaggi: 28530
|
come disattivo il system restore?
__________________
Le mie 206: TRATTATIVE |
|
|
|
|
17-11-2004, 23:11
|
#5 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
pannello di controllo>sistema "disattiva ripristino configurazione"
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
17-11-2004, 23:37
|
#6 |
|
Moderatore
Iscritto dal: Feb 2003
Città: Trattative: 206
Messaggi: 28530
|
in windows\system32 non c'è il file che mi hai detto
ho lanciato hijack dalla modalità provvisoria, e selezionato le cose che mi hai detto, poi ho cliccato su "fix" e ho riavviato ecco il nuovo log Logfile of HijackThis v1.98.2 Scan saved at 23.34.41, on 17/11/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AVPersonal\AVGUARD.EXE C:\Programmi\AVPersonal\AVWUPSRV.EXE C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ASUS\Probe\AsusProb.exe C:\WINDOWS\System32\rundll32.exe C:\Programmi\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\wruaclt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\Andrea\Impostazioni locali\Temp\Directory temporanea 6 per hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.it/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [*windows update] wruaclt.exe O4 - HKLM\..\RunServices: [*windows update] wruaclt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [*windows update] wruaclt.exe O4 - Global Startup: LG Sync Manager.lnk = ? O4 - Global Startup: LG SyncManager.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100528848482 O17 - HKLM\System\CCS\Services\Tcpip\..\{F58E14F9-F0DE-467A-8742-8184356E204D}: NameServer = 62.211.69.150 212.48.4.15
__________________
Le mie 206: TRATTATIVE |
|
|
|
|
17-11-2004, 23:40
|
#7 |
|
Moderatore
Iscritto dal: Feb 2003
Città: Trattative: 206
Messaggi: 28530
|
ps. ho disattivato il system restore come mi hai detto, ma all'avvio mi da 2 volte una schermata in cui mi dice che il sistema è stato ripristinato a causa di un errore
__________________
Le mie 206: TRATTATIVE |
|
|
|
|
18-11-2004, 00:15
|
#8 |
|
Moderatore
Iscritto dal: Feb 2003
Città: Trattative: 206
Messaggi: 28530
|
ho seguito le istruzioni trovate sul sito della trend, che ne dici ora del log di hijackthis?
Logfile of HijackThis v1.98.2 Scan saved at 0.09.09, on 18/11/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AVPersonal\AVGUARD.EXE C:\Programmi\AVPersonal\AVWUPSRV.EXE C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ASUS\Probe\AsusProb.exe C:\WINDOWS\System32\rundll32.exe C:\Programmi\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe C:\Documents and Settings\Andrea\Impostazioni locali\Temp\Directory temporanea 8 per hijackthis.zip\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.it/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - Global Startup: LG Sync Manager.lnk = ? O4 - Global Startup: LG SyncManager.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100528848482 ps. grazie per l'aiuto, se possibile ricambierò
__________________
Le mie 206: TRATTATIVE |
|
|
|
|
18-11-2004, 13:13
|
#9 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
ora sembra tutto a posto 
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
22-11-2004, 00:28
|
#10 |
|
Moderatore
Iscritto dal: Feb 2003
Città: Trattative: 206
Messaggi: 28530
|
ho ancora un problemino: ad ogni avvio del sistema, mi compare una schermata in cui mi si avvisa che il sistema è stato ripristinato etc etc. come faccio a farla sparire?
__________________
Le mie 206: TRATTATIVE |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:56.
