Precedente :: Successivo |
Autore |
Messaggio |
fabioscarpa Mortale pio

Registrato: 17/06/07 10:05 Messaggi: 17
|
Inviato: 20 Giu 2007 21:52 Oggetto: |
|
|
Questo è il log di Avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\udlvosmj
*******************
Script file located at: \??\C:\ewhuqept.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File c:\windows\system32\zkgjby.exe deleted successfully.
File C:\WINDOWS\system32\zkgjby.dat deleted successfully.
File C:\WINDOWS\system32\zkgjby_nav.dat deleted successfully.
File C:\WINDOWS\system32\zkgjby_navps.dat deleted successfully.
File C:\WINDOWS\Prefetch\ZKGJBY.EXE-24C9CE36.pf deleted successfully.
Could not get size of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|zkgjbyc
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|zkgjbyc failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Per quanto riguarda la versione di Nod32 è la 2.50.32 e cmq si aggiorna ogni volta che mi connetto.
Pensavo che Kaspersky con cui ho fatto la scansione on-line fosse migliore; cmq a proposito di scansione che ho postato in precedenza... mi aveva trovato 7 virus e 10 file infetti... non faccio niente x questi???
aspetto news...
grazie,
FAbio |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 20 Giu 2007 23:03 Oggetto: |
|
|
fabioscarpa ha scritto: | Per quanto riguarda la versione di Nod32 è la 2.50.32 e cmq si aggiorna ogni volta che mi connetto. |
Veramente, va aggiornato il motore di scansione alla 2.70.xx (che sistema diversi buchi) scaricabile dal sito http://www.nod32.it
fabioscarpa ha scritto: | mi aveva trovato 7 virus e 10 file infetti... non faccio niente x questi??? |
Nel mio messaggio precedente ti avevo indicato altri 2 files da cancellare.
Comunque, vediamo nel dettaglio le segnalazioni di Kaspersky:
Citazione: | C:\Documents and Settings\HP_Proprietario\Desktop\mirc\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.602
usi mIRC?
C:\hp\bin\KillWind.exe Infected: not-a-virus:RiskTool.Win32.PsKill.p
hai una stampante HP? questo fa parte dei programmi annessi
C:\Programmi\Philips\Philips SPC315NC Webcam\MioNet\install_MioNet_ver1_6_11.exe/cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows
Fa parte dei programmi della tua webcam
C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe/data0003 Infected: not-a-virus:Dialer.Win32.InterDialer.a
Dialer installato da Interfree. Non è da considerare pericoloso
C:\WINDOWS\system32\HotTVPlayer.dll Infected: not-a-virus:Porn-Downloader.Win32.HotTV.a
Questo ti avevo già segnalato di cancellarlo
C:\WINDOWS\system32\winlogin32.exe Infected: Backdoor.Win32.Bifrose.adz
Questo ti avevo già segnalato di cancellarlo |
|
|
Top |
|
 |
fabioscarpa Mortale pio

Registrato: 17/06/07 10:05 Messaggi: 17
|
Inviato: 20 Giu 2007 23:27 Oggetto: |
|
|
bdoriano ha scritto: | fabioscarpa ha scritto: | Per quanto riguarda la versione di Nod32 è la 2.50.32 e cmq si aggiorna ogni volta che mi connetto. |
Veramente, va aggiornato il motore di scansione alla 2.70.xx (che sistema diversi buchi) scaricabile dal sito http://www.nod32.it
fabioscarpa ha scritto: | mi aveva trovato 7 virus e 10 file infetti... non faccio niente x questi??? |
Nel mio messaggio precedente ti avevo indicato altri 2 files da cancellare.
Comunque, vediamo nel dettaglio le segnalazioni di Kaspersky:
Citazione: | C:\Documents and Settings\HP_Proprietario\Desktop\mirc\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.602
usi mIRC?
C:\hp\bin\KillWind.exe Infected: not-a-virus:RiskTool.Win32.PsKill.p
hai una stampante HP? questo fa parte dei programmi annessi
C:\Programmi\Philips\Philips SPC315NC Webcam\MioNet\install_MioNet_ver1_6_11.exe/cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows
Fa parte dei programmi della tua webcam
C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe/data0003 Infected: not-a-virus:Dialer.Win32.InterDialer.a
Dialer installato da Interfree. Non è da considerare pericoloso
C:\WINDOWS\system32\HotTVPlayer.dll Infected: not-a-virus:Porn-Downloader.Win32.HotTV.a
Questo ti avevo già segnalato di cancellarlo
C:\WINDOWS\system32\winlogin32.exe Infected: Backdoor.Win32.Bifrose.adz
Questo ti avevo già segnalato di cancellarlo |
|
Ok, nod32 aggiornato!
ho cancellato i files che mi hai detto...
poi..
1 - si, uso mirc
2 - ho una stampante hp
3 - ho una webcam philips
4 - dialer...
5 - cancellato
6 - cancellato
l'ultimo log di avenger ti dice niente?
il problema continua a persistere... alcune pagine web non si aprono...
FAbio |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 20 Giu 2007 23:38 Oggetto: |
|
|
Il log di avenger mi dice che ha funzionato quasi tutto.
Rifai un log con hijackthis.
Mi piacerebbe vedere il contenuto del tuo file hosts:
avvia hijackthis
clicca Open the misc tools section
clicca open hosts file manager
Copia qui il contenuto della finestra |
|
Top |
|
 |
fabioscarpa Mortale pio

Registrato: 17/06/07 10:05 Messaggi: 17
|
Inviato: 21 Giu 2007 19:12 Oggetto: |
|
|
bdoriano ha scritto: | Il log di avenger mi dice che ha funzionato quasi tutto.
Rifai un log con hijackthis.
Mi piacerebbe vedere il contenuto del tuo file hosts:
avvia hijackthis
clicca Open the misc tools section
clicca open hosts file manager
Copia qui il contenuto della finestra |
Questo è un nuovo log di hijackthis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.10.36, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\USBIcon.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\HP_Proprietario\Desktop\pulizia\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7ddd93c1-a22b-4fad-a3f8-40aa56377b76} - C:\WINDOWS\system32\ati2oui.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MCI USB Icon] C:\WINDOWS\system32\USBIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB002" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [EEventManager] C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC315NC Webcam
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7173C34-B6EB-40E2-A4B5-E369BFCA7E99}: NameServer = 195.130.224.18,195.130.225.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ati2oui - ati2oui.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - Unknown owner - C:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/HP_PRO~1/IMPOST~1/Temp/msohtml1/01/clip_image001.jpg
--
End of file - 8518 bytes
e questo è il contenuto della finestra hosts file manager:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x
127.0.0.1 localhost
ciao
FAbio |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Giu 2007 20:26 Oggetto: |
|
|
Il file hosts è normale.
Con hijackthis, fixa queste voci:
Citazione: | O2 - BHO: (no name) - {7ddd93c1-a22b-4fad-a3f8-40aa56377b76} - C:\WINDOWS\system32\ati2oui.dll (file missing)
O20 - Winlogon Notify: ati2oui - ati2oui.dll (file missing) |
Hai provato ad aprire quelle pagine con un altro browser (Opera, Firefox o Netscape)?
Puoi fare un esempio pratico di qualche pagina che non riesci ad aprire? |
|
Top |
|
 |
fabioscarpa Mortale pio

Registrato: 17/06/07 10:05 Messaggi: 17
|
Inviato: 21 Giu 2007 20:46 Oggetto: |
|
|
Ho provato anche con Firefox e non funzionano cmq!
Ad esempio:
www.duka.it
www.stucky.it
www.novatekgs.it
e molte altre...
fammi sapere
ciao
FAbio |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Giu 2007 21:33 Oggetto: |
|
|
Ho aperto le pagine senza problemi...
Puoi dirmi che configurazione internet hai?
Sei collegato con un modem usb o un router ethernet?
Hai possibilità di collegare un altro pc per vedere se succede la stessa cosa?
L'ultima verifica che possiamo fare è scaricare questo e fargli fare la scansione completa (prima disabilita momentaneamente l'antivirus).
Salva il log generato su http://www.freefilehosting.net e posta qui il link. |
|
Top |
|
 |
fabioscarpa Mortale pio

Registrato: 17/06/07 10:05 Messaggi: 17
|
Inviato: 25 Giu 2007 09:29 Oggetto: |
|
|
bdoriano ha scritto: | Ho aperto le pagine senza problemi...
Puoi dirmi che configurazione internet hai?
Sei collegato con un modem usb o un router ethernet?
Hai possibilità di collegare un altro pc per vedere se succede la stessa cosa?
L'ultima verifica che possiamo fare è scaricare questo e fargli fare la scansione completa (prima disabilita momentaneamente l'antivirus).
Salva il log generato su http://www.freefilehosting.net e posta qui il link. |
1. ho un adsl 12 mega di tiscali
2. uso un router ethernet della utstarcom ut-300r2u
3. non ho un altro pc per fare la prova.
la cosa strana è che a volte funziona tutto e altre no.
Ieri per esempio le pagine si aprivano, ora ho provato prima di scriverti e non si aprono! ora proverò a fare la scansione...
FAbio |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 25 Giu 2007 20:03 Oggetto: |
|
|
Appena puoi prova a fare una scansione anche con Kaspersky Online... non si sa mai!  |
|
Top |
|
 |
|