Olimpo Informatico

[holifay]

ah, bene

Prova a fare il ping al sito di panda:

Apri la finestra del Dos e digita ping 213.254.17.127 (invio).
Cosa ottieni?


Solo il sito di Panda non ti apre? Prova eventualmente a fare la scansione online sul sito di Kaspersky: http://www.kaspersky.com/virusscanner

[Padrino]

Ola Holifay,

ho fatto il passaggio del ping e questo è quello che mi appare (non sono riuscito a fare un copia/incolla e quindi te lo scrivo...):

Esecuzione di ping 213.254.17.127 con 32 byte di dati:

Risposta da 213.254.17.127: byte=32 durata=123ms TTL=54
Risposta da 213.254.17.127: byte=32 durata=115ms TTL=54
Risposta da 213.254.17.127: byte=32 durata=117ms TTL=54
Risposta da 213.254.17.127: byte=32 durata=119ms TTL=54

Statistiche ping per 213.2543.17.127:
Pacchetti: trasmessi=4, ricevuti=4, persi=0 (0% persi),
minimo=115 ms, massimo=123 ms, medio=118 ms


Ho provato poi a tentare il collegamento con panda, ma niente da fare; mi da sempre "impossibile ..."

Ho provato anche con il nuovo collegamento di Kaspersky, ma idem...

Tieni presente che ho provato anche con il mio pc e anche li il collegamento non me lo da... in comune c'è solo l'antivirus Avast...

N.B.: tanto per tenerti aggiornato ho fatto degli aggiornamenti con windows update (service pack 2, aggiornamenti vari) => ho sbagliato?

Pendo dalle Tue scritture!

Ciao
Padrino

[holifay]

[Padrino]

Ciao Holifay,
come va?
Divago un pò per distogliermi da questa avventura... in positivo comunque!

Porta infinita pazienza, ma devo segnalarti quanto segue:

1) Il collegamento ad internet funziona benissimo.
N.B.: a differenza di mio cugino io mi collego tramite modem analogico e nel riquadro delle icone in basso a DX c'è un'icona contrassegnata da una X rossa e che dice (se ci vado sopra con il puntatore mouse) "Connessione ADSL Nessun Hardware"

2) Esatto il browser non mi permette di accedere al sito di panda e nemmeno su quello kaspersky (sia con Internet Explorer che con Mozilla).

3) Ok, disinstallo l'antivirus, ma quando vado nella gestione Firewall, scopro che non ho nessuna protezione e nemmeno nessuna possibilità d'impostare la protezione base (se cosi vogliamo chiamarla) e il messaggio che mi da è il seguente: "per ragioni di protezione, alcune impostazioni sono regolate da Criteri di gruppo".


Sono sempre a Tua disposizione come cavia... informatica e che avevi capito????

Ciao
Padrino

[Puppybarf]

Interessante questo thread... vi prometto che non vi disturberò, ma mi piace la strada che avete preso per evitare il formattone !

[ilovetoothedog]

Ciao Padrino! Ciao Puppybarf! Ciao Holy!
Sì, veramente interessante questo thread! ad ogni modo confermo che poco fa sono andato sul sito della Panda Software, ( La mia configurazione è Windows XP Home, connessione ADSL Browser Mozilla Firefox ) e non ci sono stati problemi. Anche io seguo questo thread, interessantissimo, e se vi serve una mano, sia tu Padrino che tu Holy, tirate un fischio! Premetto che non sono un esperto, ma cerco di studiarci sopra!
Grazie a tutto il Forum!
Ciao ancora Padrino e benvenuto!

[ilovetoothedog]

Opssssss! Dimenticavo di dirvi che utilizzo Avast! antivirus come antivirus primario, poi AVG come aantivirus on-demand ( Consigliatomi su questo Forum ), ho il Service Pack 2 regolarment installato.
Scusatemi ancor per questa precisazione ( se può tornare utile... )

[holifay]

@per tutti: il thread non è mio: chiunque abbia un suggerimento che ritiene valido può postarlo tranquillamente

@padrino: scusa il ritardo nella risposta: mi era sfuggito il tuo ultimo post.

Il messaggio di XP "Connessione ADSL Nessun Hardware" può dipendere sia da conflitti tra driver (un vecchio driver del modem da disinstallare) sia da problematiche hardware (modem o cavo USB difettosi) sia da qualche ospite indesiderato sul tuo PC, cosa che non abbiamo ancora verificato, mi pare. Dunque è meglio se qui continuiamo a parlare del PC di tuo cugino, mentre per il tuo puoi aprire un altro topic

Invece il firewall disattivato con il messaggio "per ragioni di protezione, alcune impostazioni sono regolate da Criteri di gruppo" è nel PC di tuo cugino e lo vedi dopo l'installazione di SP2? Secondo Microsoft il problema si verifica quando si installa il SP2 in un computer client che si trova in una rete basata su Windows Small Business Server 2003. E' forse il suo caso?

Però potrebbe anche essere stato modificato da qualche malware che "dovremmo" nel frattempo aver eliminato. Prova a ripristinare i criteri di gruppo: premi "start"\ "esegui" e digita gpedit.msc (invio). Adesso espandi "Configurazione computer" sulla sinistra >> "Modelli amministrativi" >> "Rete" >> "Connessioni di rete" >> "Windows firewall" >> "Profilo standard". Controlla ed eventualmente reimposta tutte le voci qui presenti su non configurato

Quando hai fatto prova a vedere se adesso riesci ad attivare il firewall dal "Centro Sicurezza PC" del pannello di controllo.

Se invece l'opzione per riattivare il firewall è disabilitata (grigia) allora premi "Start" \ "Esegui" e digita regedit.exe (invio). Poi naviga nelle chiavi

[Padrino]

Bè cominciamo con il ringraziare tutti quelli che mi stanno "spingendo" in quella che per me è una folle avventura, ma ripeto: "l'ho cominciata perchè credo in Voi tutti"!

Tornando a noi, e analizzando punto per punto ne esce questo:

1) il messaggio del modem ADSL "nessun hardware trovato" non è sul pc mio, ma di quello di mio cugino.
Però ribadisco che per il momento possiamo anche fregarcene dato che mi collego in analogico.
E' chiaro? Sto lavorando solo con il pc di mio cugino.

2) Il messaggio firewall disattivato lo vedo sul pc di mio cugino e non so dirti se c'era anche prima dell'installazione del SP2...
Sul discorso della rete poi... mi fai una domanda che non saprei cosa risponderti... dimmi se c'è una verifica per constatare ciò.

3) Digitando gpedit.msc mi compare un messaggio in cui mi dice "impossibile trovare il file ...."

4) Digitando invece regedit.exe mi compare quanto da te indicato, ma nel primo percorso, non mi compare \Network Connections\

Digitando il secondo percorso mi fermo a \CurrentVersion\ dopo di che \Group Policy Objects\ non c'è...

N.B.: poi comunque dimmi come impostare NC_PersonalFirewallConfig=0 (ricorda che sono un beginner!)

5) Ti allego il log di HijackThis:

e of HijackThis v1.99.1
Scan saved at 21.36.36, on 07/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\LTMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nuovo\Documenti\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WorksFUD] C:\Programmi\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LTMSG] LTMSG.exe 7
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {502BD866-380E-438E-96E5-68DB6B974BF8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143829974383
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A5D5079-54D9-4980-AFEE-298289B04A85}: NameServer = 212.17.192.216 212.17.192.56
O23 - Service: aswUpdSv - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



6) Ti allego anche il log di silentrunners.vbs

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
"mouseElf" = "C:\PROGRA~1\GENIUS~1\mouseElf.exe" ["Genius"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"TkBellExe" = ""C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"WorksFUD" = "C:\Programmi\Microsoft Works\wkfud.exe" ["Microsoft® Corporation"]
"Microsoft Works Portfolio" = "C:\Programmi\Microsoft Works\WksSb.exe /AllUsers" ["Microsoft® Corporation"]
"Microsoft Works Update Detection" = "C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"iKeyWorks" = "C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe" [null data]
"WheelMouse" = "C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe" [null data]
"AdslTaskBar" = "rundll32.exe stmctrl.dll,TaskBar" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"SunJavaUpdateSched" = "C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe" [null data]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" [file not found]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"LTMSG" = "LTMSG.exe 7" ["Agere Systems"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programmi\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Estensione panoramica video del Pannello di controllo"
-> {HKLM...CLSID} = "Estensione panoramica video del Pannello di controllo"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Estensione di icona di HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]


Spero sia corretto...

Sono in attesa di Vs. notizie!!!!

Ciao

[holifay]

[Padrino]

Ciao Holifay,

ti trasmetto quanto segue:

1) Il sistema operativo installato è Windows XP Home Edition!

2) Ti trasmetto il nuovo log (spero sia corretto):

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
"mouseElf" = "C:\PROGRA~1\GENIUS~1\mouseElf.exe" ["Genius"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"TkBellExe" = ""C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"WorksFUD" = "C:\Programmi\Microsoft Works\wkfud.exe" ["Microsoft® Corporation"]
"Microsoft Works Portfolio" = "C:\Programmi\Microsoft Works\WksSb.exe /AllUsers" ["Microsoft® Corporation"]
"Microsoft Works Update Detection" = "C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"iKeyWorks" = "C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe" [null data]
"WheelMouse" = "C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe" [null data]
"AdslTaskBar" = "rundll32.exe stmctrl.dll,TaskBar" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"SunJavaUpdateSched" = "C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe" [null data]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" [file not found]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"LTMSG" = "LTMSG.exe 7" ["Agere Systems"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programmi\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Estensione panoramica video del Pannello di controllo"
-> {HKLM...CLSID} = "Estensione panoramica video del Pannello di controllo"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Estensione di icona di HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programmi\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Estensione dell'icona del file di Outlook"
\InProcServer32\(Default) = "C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programmi\Microsoft Office\Office10\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programmi\Grisoft\AVG Free\avgse.dll" [file not found]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programmi\Grisoft\AVG Free\avgse.dll" [file not found]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programmi\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programmi\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * PFDNNT C:\Documents and Settings\Nuovo\Dati applicazioni\sgrunt\IE4321.exe" [file not found], [MS], [file not found], [file not found], [file not found], [file not found], [file not found], [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programmi\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programmi\Grisoft\AVG Free\avgse.dll" [file not found]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programmi\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programmi\Grisoft\AVG Free\avgse.dll" [file not found]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Nuovo" & "All Users" startup folders:
-------------------------------------------------------

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
"Microsoft Office" -> shortcut to: "C:\Programmi\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Promemoria del Calendario di Microsoft Works" -> shortcut to: "C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Organizzatore ricerche"
\InProcServer32\(Default) = "C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{502BD866-380E-438E-96E5-68DB6B974BF8}\
"ButtonText" = "Alice"
"Exec" = "http://gw.aliceadsl.it/alice" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {HKLM...CLSID} = "Web Browser Applet Control"
\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]

{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Organizzatore ricerche"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programmi\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

aswUpdSv, aswUpdSv, ""C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Antivirus, avast! Antivirus, ""C:\Programmi\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
ewido security suite control, ewido security suite control, "C:\Programmi\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
Machine Debug Manager, MDM, ""C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V5 2KMonitor\Driver = "EBPMON2.DLL" ["SEIKO EPSON CORPORATION"]
HPF00120\Driver = "HPFlpm20.dll" ["Hewlett-Packard Company"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 36 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 24 seconds.
---------- (total run time: 93 seconds)


3) Quando vado in c:\windows\system32\drivers\etc l'unico file simile a quello da te indicato è Imhosts, ma non riesco ad aprirlo.
Per conoscenza: si tratta di un file SAM.


N.B.: ieri ho provato a lanciare una scansione con AVAST e due minuti dopo aveva già trovato il virus "Cavallo di Troia" presente nel PC.
Io l'ho spostato nel cestino come raccomandato dall'antivirus e 5' più tardi si è bloccato tutto!
Ora capisco perchè certe volte si blocca il PC... perchè è ancora infetto!
Accipicchia, ma è normale una cosa del genere?

Resto in attesa di Tue notizie su come procedere.

Grazie e ciao!

[holifay]

Non è che dal log di sysinternals si veda molto di più... Hai ancora qualche traccia di Sgrunt che Killsgrunt non era riuscito ad eliminare (ti dava l'errore 9 Out of Range). Prova allora a scaricare VBRun60sp6.exe e a installarlo e poi riprova ad usare Killsgrunt.bat. Vediamo se adesso va a buon fine. Controlla anche che sia stata cancellata la cartella C:\Documents and Settings\Nuovo\Dati applicazioni\sgrunt

Il firewall si può disabilitare in 3-4 modi, che io sappia

1) dal registro.
2) con le politiche di gruppo (XP Prof).
3) disabilitando il servizio "Windows Firewall".
4) disabilitando completamente il Centro Sicurezza PC (wscsvc).

Dal messaggio "per ragioni di protezione, alcune impostazioni sono regolate da Criteri di gruppo" avevo dedotto che fosse disabilitato dalle Group Policy, che però sono presenti solo in XP Professional Edition. Tu invece hai HE (per questo non trovavi gpedit.msc)...

Dunque prova a vedere se riesci a riabilitarlo con uno di questi sistemi:

1) Dal registro: copia in un file di testo questo e rinominalo con estensione reg poi avvialo e rispondi OK. Prova a vedere se riesci a riabilitarlo, eventualmente dopo il riavvio. Dico prova perchè da quello che ho letto queste chiavi pare abbiano effetto solo se preesistenti al service pack2. Non vorrei però aver capito male

[eratostene]

scusate se mi intrometto, sono un comune mortale che non ci capisce una mazza ma ho visto nel log di hijackthis il riferimento a run32.dll
Questo secondo me potrebbe essere il baco: quando ho eliminato un trojano della malora dopo una battaglia di settimane con il NOD32 (solo perchè allafine gli ho lasciato fare gli affari suoi per prenderlo) mi veniva fuori l'avvertimento che mi mancava questo file. Se vedete il topic "hijackthis funziona" vedete che è con quello che l'ho risolto.
Guarda se ti si forma ca32.exe. anche a me mi rallentava una cifra.
ps: Comunque se il cugino visitasse meno siti erotici avrebbe meno... casini
pps: secondo me prima di postare un log di qualcun'altro... bisognerebbe chiederne il consenso ai sensi della legge sulla privacy....

[holifay]

ciao eratostene

[eratostene]

chiedo scusa ieri sera ero un pò stanco.....

[holifay]

[Padrino]

Ciao Holifay e a tutti gli spettatori!

Vediamo quanto segue:

1) Ho scaricato VBRun6sp6.exe, l'ho eseguito e poi ho fatto una scansione con Killsgrunt.bat.
Ora in effetti la scansione va a termine e alla fine mi compare questo messaggio: "malware sgrunt non rilevato"

2) Ho fatto tutte le procedure per cercare di attivare il Firewall e ti dirò che non posso ancora selezionare attivato o disabilitato, ma si è attivata la funzione "non consentire eccezioni" (ci siamo quasi???)
Nel dos ho fatto quanto detto e mi ha dato risposta OK in entrami i casi.

3) Ti posto il contenuto sei due file Neftw.inf che ho trovato:

[holifay]

non è questione di arrendersi, è che non so più dove guardare

Il file Neftw.inf è quello standard di XP, quindi puoi reimpostare il servizio allo stato predefinito cliccandoci sopra con il destro e selezionando "Installa". Poi riavvia e vedi se è cambiato qualcosa (ma ne dubito).

Però se mi dici che dopo il comando netsh i due messaggi sono stati "OK", allora mi viene il dubbio che in realtà il firewall sia attivo
Hai controllato bene? Comunque in giro per i forum è pieno di utenti che chiedono come disattivarlo definitivamente, tu invece lo avresti già disattivato: e ti lamenti?

Installane un altro e non ci pensare più

Per la scansione Antivirus online prova a collegarti a House call.


Conviene anche che dai una bella pulizia al registro perchè dal log si vedono diversi collegamenti mancanti. Ad esempio quello di Sgrunt che poi l tool non trova più. Prova Regcleaner. Qui una guida: http://www.ilsoftware.it/articoli.asp?ID=260&pag=0

[Padrino]

Ciao Holifay,

buone notizie!
Sono riuscito a collegarmi al sito di Panda e ad effettuare la scansione, ma procediamo per gradi.

1) Ho fatto la procedura "installa" del file Neftw.inf e poi ho riavviato, ma non è cambiato niente...
Tieni presente però quanto segue: quando mi sono collegato al sito consigliato House Call il pc ha cominciato a scaricare dati; dopo un pò è comparso un messaggio in cui Windows Firewall mi diceva che stava bloccando alcuni pop up (o qualcosa del genere) e mi chiedeva se attivare il blocco oppure no.
Questo messaggio mi fa pensare quindi che il firewall sia attivo!
Cosa ne pensi?
Può essere che il virus mi eviti la possibilità di impostazioni?

2) Come hai letto sopra, avevo cominciato la procedura con House Call, ma poco dopo il pc si è bloccato.
Il giorno dopo ho riprovato a collegarmi a panda e voilà: ora si collega!
Ho cominciato la scansione e aveva rilevato e disinfestato 4 virus.
Poi a metà scansione si è bloccato il pc.
Ho rifatto tutto questa sera è il log è il seguente:


Incidente Stato Percorso

Dialer:dialer.rq Non Disinfettato C:\WINDOWS\DOWNLOADED PROGRAM FILES\x18a1684_5824_mau.exe
Adware:adware/clickalchemy Non Disinfettato C:\WINDOWS\INF\alchem.inf
Adware:adware/dollarrevenue Non Disinfettato C:\WINDOWS\keyboard11.dat
Adware:adware/maxifiles Non Disinfettato C:\PROGRAMMI\FILE COMUNI\InetGet
Adware:adware/wupd Non Disinfettato C:\PROGRAMMI\MediaGateway
Dialer:dialer.akd Non Disinfettato HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\TTUNIM
Strumenti indesiderati:application/mywebsearch Non Disinfettato HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
Adware:adware/ucmore Non Disinfettato Registro di sistema di Windows
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Cookies\nuovo@doubleclick[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[.tradedoubler.com/]
Dialer:Dialer.EEO Non Disinfettato C:\WINDOWS\italydldl1.exe
Dialer:Dialer.GQK Non Disinfettato C:\Documents and Settings\Nuovo\Documenti\Hijackthis\backups\backup-20060317-211020-866.inf
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Cookies\nuovo@doubleclick[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[]
Adware:Adware/Ucmore Non Disinfettato C:\UCmore - The Search Accelerator\UCmore Tour.lnk
Adware:Adware/Ucmore Non Disinfettato C:\UCmore - The Search Accelerator\How To Uninstall.lnk
Da beginner, ho visto che ci sono degli spyware e dialer, ma non sono stati debellati...

Poi non contento ho fatto una scansione anche con Kaspersky e il log è il seguente:

KASPERSKY ON-LINE SCANNER REPORT
Friday, April 14, 2006 10:46:07 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 14/04/2006
Kaspersky Anti-Virus database records: 176763


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 43141
Number of viruses found 4
Number of infected objects 4
Number of suspicious objects 0
Duration of the scan process 00:27:34

Infected Object Name Virus Name Last Action
C:\WINDOWS\Downloaded Program Files\x18a1684_5824_mau.exe Infected: Trojan.Win32.Dialer.gu skipped

C:\WINDOWS\italydldl1.exe Infected: Trojan.Win32.Dialer.hh skipped

C:\System Volume Information\_restore{2885666F-FAE8-41E6-BD18-2704149C5310}\RP6\A0004336.exe Infected: Virus.Win32.Parite.b skipped

C:\System Volume Information\_restore{2885666F-FAE8-41E6-BD18-2704149C5310}\RP6\A0004338.exe Infected: Trojan-Downloader.Win32.VB.vz skipped

Scan process completed.



Questo antivirus però non mi permette di eliminare quello che trova...

Ora che si fa????

Attendo Tue preziose notizie.

Ciao
Padrino

[holifay]

Ottimo... si pensavo anche io che fosse già attivo e aspettavo di sentirti per chiedere di postare i processi attivi sul PC. Vediamo adesso se riusciamo a dare una ripulita

- scarica ATFCleaner e salvalo sul desktop
- scarica Killbox e salvalo sul desktop.

cancellazione dei file nella cartella \System Volume Information\_restore
Disabilita il ripristino di configurazione: clicca con il tasto destro sull'icona del Desktop "risorse del computer", dal menù a tendina scegli "proprietà". Metti il flag alla voce "Disabilita ripristino configurazione di sistema" e premi "OK"

Ucmore
# Clicca su Start > Impostazioni > Pannello di controllo.
# Doppio click su Aggiungi /Rimuovi Programmi.
# Seleziona dall'elenco "UCmore Search Accelerator"," IE Menu Extension toolbar" o "UCMore".
# clicca su Cambia/Rimuovi e disinstallalo.
# Cancella se ancora esistente la cartella C:\UCmore - The Search Accelerator\

InetGete MediaGateway
Cancella le cartella InetGet (C:\PROGRAMMI\FILE COMUNI\) e MediaGateway (C:\PROGRAMMI) con tutto il loro contenuto

Rimozione delle chiavi del registro
Cicca su Start\Esegui e digita regedit.exe (Invio).. Naviga fino a queste chiavi ed eliminale: