| Precedente :: Successivo |
| Autore |
Messaggio |
madvero
Amministratore
Registrato: 05/07/05 21:42
Messaggi: 19510
Residenza: Sono brusco con voi solo perchè il tempo è a sfavore. Penso in fretta, quindi parlo in fretta
|
 Inviato: 16 Mar 2007 18:45 Oggetto: |
 |
|
| Cybion ha scritto: | | è più facile a farsi che a leggersi vero ?? |
assolutamente sì.
mi raccomando di disattivare il ripristino configurazione di sistema di windows. |
|
| Top |
|
 |
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 16 Mar 2007 22:15 Oggetto: |
|
|
più tardi applicherò le procedure consigliatemi da Smjert e da madvero..
intanto finalmente è finito lo scan di kaspersky.. di cui posto il log:
Friday, March 16, 2007 8:27:09 PM
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 16/03/2007
Kaspersky Anti-Virus database records: 266348
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
Scan Statistics
Total number of scanned objects 67742
Number of viruses found 1
Number of infected objects 2 / 0
Number of suspicious objects 0
Duration of the scan process 02:59:07
Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\Paramete.evt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\Temp\ZLT051a0.TMP Object is locked skipped
C:\WINDOWS\Temp\ZLT051ad.TMP Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Debug\oakley.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\ModemLog_HSP56 MR.txt Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped
C:\WINDOWS\Internet Logs\LUCILLA.ldb Object is locked skipped
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\avg7\Log\emc.log Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Lucilla\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Lucilla\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Lucilla\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Lucilla\Impostazioni locali\Cronologia\History.IE5\MSHist012007031620070317\index.dat Object is locked skipped
C:\Documents and Settings\Lucilla\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Lucilla\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Lucilla\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Lucilla\Cookies\index.dat Object is locked skipped
C:\Programmi\File comuni\System\com2.exe Object is locked skipped
C:\SDFix\backups\backups.zip/backups/TFTP2688 Infected: Net-Worm.Win32.Lovesan.a skipped
C:\SDFix\backups\backups.zip ZIP: infected - 1 skipped
Scan process completed.
va meglio?
 |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 16 Mar 2007 22:31 Oggetto: |
|
|
| Sì il log è pulito, come puoi vedere i virus trovati stanno nel backup di SDFix quindi non sono pericolosi (sono quelli che hai rimosso). |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 16 Mar 2007 22:31 Oggetto: |
|
|
ciao!
molto!!
quel virus Kaspersky lo trova nella cartella backup di SDFix. Basta eliminare la cartella e il tuo PC è pulito!
scarica CCleaner e dai una pulita generale, ma priva vai su opzioni/avanzate e togli la spunta a "cancella i files temp di windows solo se più vecchi di 48 ore"
ehi Smjert abbiamo postato insieme!!  |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 16 Mar 2007 23:00 Oggetto: |
|
|
Mamma mia ma allora mi stai proprio incollata!
Scherzoo!! :***
Scusate l'OT. |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 16 Mar 2007 23:29 Oggetto: |
|
|
| Smjert ha scritto: | | Mamma mia ma allora mi stai proprio incollata! |
INCOLLATA A CHI??? 
 |
|
| Top |
|
|
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 17 Mar 2007 02:32 Oggetto: |
|
|
mi stavo accingendo ad applicare la strategia di madvero.. quando.. ops.. mi son resa conto che ci son due punti per i quali non so bene quale sia la procedura migliore da applicare:
| madvero ha scritto: |
prima mossa: back up del registro, che non si sa mai.
seconda mossa: disattivazione del ripristino configurazione di sistema.
|
ammetto ancora una volta la mia ignoranza.. ma anche se più o meno so come si dovrebbero fare queste due mosse.. preferirei seguire la procedura migliore consigliata da voi.. 
grazie mille per la pazienza infinita !!
|
|
| Top |
|
|
madvero
Amministratore
Registrato: 05/07/05 21:42
Messaggi: 19510
Residenza: Sono brusco con voi solo perchè il tempo è a sfavore. Penso in fretta, quindi parlo in fretta
|
| Inviato: 17 Mar 2007 14:36 Oggetto: |
|
|
backup registro:
start ->
run ->
regedit ->
file ->
esporta ->
salva.
disattivazione rispristino configurazione di sistema:
sull'icona risorse del computer, tasto destro del mouse ->
proprietà ->
liguetta ripristino configurazione di sistema ->
check su disattiva ripristino configurazione di sistema su tutte le unità. |
|
| Top |
|
|
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 17 Mar 2007 20:58 Oggetto: |
|
|
solo ora ho potuto connettermi.. e quindi ancora non ho applicato la procedura di madvero..
in compenso ho fatto l'accesso come System secondo le indicazioni di Smjert, e in effetti entrando cosi quei programmi che mi dan i messaggi della mancanza delle autorizzazioni da admin funzionano.. lio ho lanciati ma non han cmq trovato nulla..
in compenso ho un nuovo log di hijack che mi ha un po' inquietato, eccolo:
Logfile of HijackThis v1.99.1
Scan saved at 17.26.42, on 17/03/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Hcontrol.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Asus\Asus Hotkey\Hotkey.exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\WINDOWS\ATKOSD.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Lucilla\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S127.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S12E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: ASUS Hotkey.lnk = C:\Programmi\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin5.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: interceptor.dll,c:\progra~1\google\google~1\goec62~1.dll c:\progra~1\google\google~1\goec62~1.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
ho evidenziato in rosso le cose che mi son parse strane.. ma ovvio che aspetto una vostra lettura generale del log.. io ancora non ci capisco moltissimo..
ancora una volta, grazie mille
|
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 17 Mar 2007 21:08 Oggetto: |
|
|
Il log, a parte questa voce (da fixare), è a posto:
| Citazione: | | O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file) |
Ati2evxx.exe è un programma Ati.. |
|
| Top |
|
|
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 18 Mar 2007 02:32 Oggetto: |
|
|
| Smjert ha scritto: | Il log, a parte questa voce (da fixare), è a posto:
| Citazione: | | O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file) |
|
questo l'ho fixato
| Citazione: | | Ati2evxx.exe è un programma Ati.. |
questo l'ho evidenziato pur sapendo che è della Ati, perchè con madvero avevamo notato già C:\WINDOWS\System32\atiptaxx.exe che sembrerebbe appartenere alla Ati ma dal percorso che madvero trova .. poco ortodosso..
e poi proprio quel file (atiptaxx.exe) mi viene continuamente rilevato da a-squared come infetto da Trojan.Dropper.. a ogni scansione viene messo in quarantena.. e a ogni scansione si ripresenta.. 
ho fatto tutta la procedura che mi ha indicato madvero con spybot:
alla scansione non rileva nulla..
in effetti c'erano un paio di voci spuntate in ignora prodotti (alla linguetta PUPS.sbi erano spuntati CDilla e SideStep)..
sui processi.. non so.. ci son cose che.. non so se vanno bene o no..
a esempio che ci sono due svchost.exe.. è normale?
per l'esecuzione automatica, anche lì ci son cose che io trovo strane ma che magari van bene.. sono quelle che appaiono in fondo, alla fine delle applicazioni in esecuzione automatica..
Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
poi c'è la voce Located: Esecuzione automatica (disattivata), Microsoft Office (DISABLED)
command: "C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
file: C:\Programmi\Microsoft Office\Office10\OSA.EXE
size: 83360
MD5: 5bc65464354a9fd3beaa28e18839734a
nella descrizione di spybot viene spiegata con tre voci diverse, una delle quali come possibile malware.. o una cosa simile.. è possibile ???
ultima cosa: quando sono andata a disattivare il ripristino configurazioni di sistema, ho scoperto che.. era già disattivato !!!
ma di certo io non l'ho mai fatto ....
 |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 18 Mar 2007 12:33 Oggetto: |
|
|
Ma attenzione che Ati2evxx.exe (leggitimo) è diverso da atiptaxx.exe (malware per la posizione in cui si trova, perchè se fosse in C:\Programmi\ATI Technologies\ATI Control Panel\ sarebbe legittimo).
Se ti si ripresenta caricalo su questo sito www.virustotal.com (premi Sfoglia, seleziona il file, dai ok, premi Send, aspetta che tutti gli antivirus analizzino il file e poi posta il risultato) così sappiamo esattamente cos'è. |
|
| Top |
|
|
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 18 Mar 2007 16:31 Oggetto: |
|
|
sto facendo la scansione con virustotal..
intanto torno su un punto che avevo notato nel post di stanotte..
| Citazione: | Located: Esecuzione automatica (disattivata), Microsoft Office (DISABLED)
command: "C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
file: C:\Programmi\Microsoft Office\Office10\OSA.EXE
size: 83360
MD5: 5bc65464354a9fd3beaa28e18839734a
|
son andata a rivedere come descrive spybot questa voce, vi posto le tre descrizioni:
Nome file corrente C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
Valore MS Office
Status database di solito non necessario
Nome file Osa.exe, Osa9.exe
Descrizione Spreco di risorse che avvia i componenti condivisi di MS Office [...]
Nome file corrente C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
Valore Microsoft Office
Status database di solito non necessario
Nome file Msoffice.exe
Descrizione Scorciatoia alternativa a Start/Programma [...]
Nome file corrente C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
Status database non necessario: virus, spyware, malware o altro spreco di risorse
Valore Microsoft Office
Nome file MSMSGR.exe
Descrizione aggiunto dal virus GAOBOT.BB
 |
|
| Top |
|
|
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 18 Mar 2007 16:36 Oggetto: |
|
|
ho fatto la scansione sul sito virustotal..
strano.. molto strano.. non viene rilevato assolutamente nulla:
STATUS: FINISHEDComplete scanning result of "atiptaxx.exe", received in VirusTotal at 03.18.2007, 15:21:08 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.3.17.0 03.16.2007 no virus found
AntiVir 7.3.1.43 03.17.2007 no virus found
Authentium 4.93.8 03.17.2007 no virus found
Avast 4.7.936.0 03.16.2007 no virus found
AVG 7.5.0.447 03.17.2007 no virus found
BitDefender 7.2 03.18.2007 no virus found
CAT-QuickHeal 9.00 03.15.2007 no virus found
ClamAV 0.90.1 03.18.2007 no virus found
DrWeb 4.33 03.18.2007 no virus found
eSafe 7.0.14.0 03.16.2007 no virus found
eTrust-Vet 30.6.3486 03.16.2007 no virus found
Ewido 4.0 03.18.2007 no virus found
FileAdvisor 1 03.18.2007 No threat detected
Fortinet 2.85.0.0 03.18.2007 no virus found
F-Prot 4.3.1.45 03.17.2007 no virus found
F-Secure 6.70.13030.0 03.17.2007 no virus found
Ikarus T3.1.1.3 03.18.2007 no virus found
Kaspersky 4.0.2.24 03.18.2007 no virus found
McAfee 4986 03.16.2007 no virus found
Microsoft 1.2306 03.18.2007 no virus found
NOD32v2 2125 03.18.2007 no virus found
Norman 5.80.02 03.16.2007 no virus found
Panda 9.0.0.4 03.18.2007 no virus found
Prevx1 V2 03.18.2007 no virus found
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 no virus found
Symantec 10 03.18.2007 no virus found
TheHacker 6.1.6.076 03.15.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.18.2007 no virus found
VirusBuster 4.3.7:9 03.18.2007 no virus found
Aditional Information
File size: 286720 bytes
MD5: 5e258ab8bf33698a7d2a60fcffd96943
SHA1: 18b11b99ce2d556db870810f6bd9ffb0c3a0f3cc
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=5e258ab8bf33698a7d2a60fcffd96943
eppure a-squared continua a rilevarlo come Trojan-Dropper, lo isola in quarantena, ma alla nuova scansione lo ritrova nuovamente.. un giro vizioso insomma.. |
|
| Top |
|
|
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 19 Mar 2007 15:52 Oggetto: |
|
|
stamattina ho aggiornato AVG free e ho provato a fare una scansione.
in sè non ha trovato nulla, ma mi rileva questo:
C:WINDOWS\System32\drivers\etc\hosts --> Status result changed
è un altro sintomo di cui preoccuparmi o è normale?
grazie  |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 19 Mar 2007 16:30 Oggetto: |
|
|
No, non è normale.
Il file hosts serve per bloccare i siti (mettendo l'url) oppure redirezionare.
Prova a scaricare questo file Hosts, funziona come una blacklist dei siti di adware e spyware.
Ogni un tot riscaricatelo (tipo ogni mese) perchè lo aggiornano continuamente.
Per installarlo:
Decomprimi l'archivio dove vuoi, fai doppioclick su mvps.bat e quando appare la finestra con lo sfondo blu dai invio.
Di solito il file hosts su Windows è vuoto, se supera i 135kb (dice nella guida) potrebbe rallentare un pochino il pc, per evitare questo vai sulla barra di avvio Start->Esegui->digita services.msc, trova la voce Client DNS, fai click sopra con il destro->Proprietà, dove c'è Tipo di avvio: seleziona Manuale, premi poi Applica, Ok, riavvia il pc.
Dimmi poi come va! |
|
| Top |
|
|
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 19 Mar 2007 19:07 Oggetto: |
|
|
| Smjert ha scritto: | | No, non è normale. |
e ti pareva.. ormai non c'è più nulla di normale qua dentro.....
| Citazione: | | Dimmi poi come va! |
ho scaricato quel tool e ti farò sapere appena applico la procedura..
intanto, a una nuova scansione con a-squared.. ecco il risultato:
a-squared Free - Version 2.1
Impostazioni scansione:
Oggetti: Memoria, Tracce, Cookies, C:\, D:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On
Scansione avviata: 19/03/2007 15.18.58
Value: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser --> {01E04581-4EEE-11D0-BFE9-00AA005B4383} rilevati: Trace.Registry.LttLogger v1.0
C:\WINDOWS\system32\atiptaxx.exe rilevati: Trojan-Dropper.Win32.Paradrop.a
C:\Documents and Settings\Lucilla\Documenti\My Received Files\SDFix.zip/SDFix.exe/Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\Lucilla\Desktop\Tool&Utility\SDFix.exe/Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20
C:\SDFix\apps\Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20
Scansionati
Files: 134263
Tracce: 102406
Cookies: 18
Processi: 19
Rilevato
Files: 4
Tracce: 1
Cookies: 0
Processi: 0
Chiavi registro: 0
Fine scansione: 19/03/2007 16.43.39
Tempo scansione: 1.24.41
ogni volta esce qualcosa di nuovo ..... |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 19 Mar 2007 20:10 Oggetto: |
|
|
ciao
io non mi preoccuperei per quei risultati!
alcuni antivirus vogliono "strafare", infatti A-squared ti rileva SDFix come un tool potenzialmente dannoso, ma NON LO é. si tratta di un classico falso positivo.
usi ancora Explorer come browser? cambialo con Firefox o Opera. risolvi molti dei tuoi problemi. |
|
| Top |
|
|
Cybion
Dio maturo
Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora
|
| Inviato: 19 Mar 2007 20:16 Oggetto: |
|
|
| Orange ha scritto: |
usi ancora Explorer come browser? cambialo con Firefox o Opera. risolvi molti dei tuoi problemi. |
ciao Orange!
si di SDfix in a-squared mi ero accorta.. adesso spero di risolvere per quell'host con il tool di Smjert.. e poi non capisco quel GAOBOT rilevato da spybot in Office ( o così mi par di capire..)
per il browser.. in realtà uso sia Explorer che Firefox.. solo che firefox mi da sempre qualche problema nell'aprire certe pagine.. e alla fine rischio di passare a explorer per far prima.. anche se so che sbaglio.. |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 19 Mar 2007 21:38 Oggetto: |
 |
|
per quel Gaobot ho trovato alcuni patch rilasciate dalla Microsoft
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/technet/security/bulletin/MS03-001.asp
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
vedi se funzionano..
prova anche quest'altra applicazione
che dovrebbe rimuoverlo automaticamente.. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
