Precedente :: Successivo |
Autore |
Messaggio |
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 16 Nov 2007 16:44 Oggetto: |
|
|
Ciao atutti,sono un nuovo arrivato e ho un problema simile,apro alice adsl e mi esce un riquadro con scritto impossibile avviare l'applicazione specificata.RASAPI32.dll non è stato trovato.una nuova installazione dell'applicazione potrebbe risolvere il problema.Cosa devo fare?Ho provato a disinstallare Alice adsl e non me lo disinstalla...aiutooooo
|
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 16 Nov 2007 17:48 Oggetto: |
|
|
Benvenuto!
Fai girare HijackThis come indicato qui, e poi FindAWF come indicato qui.
Se vuoi ti puoi presentarti qui |
|
Top |
|
|
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 17 Nov 2007 12:48 Oggetto: |
|
|
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.41.08, on 17/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\cartella hijackthis\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
ora cosa devo fare? grazie comunque della vostra disponibilità. |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 17 Nov 2007 12:54 Oggetto: |
|
|
Strano che sia così corto..
L'hai fatto da modalità normale usando un account amministratore?
Comunque devi far girare anche FindAWF (l'ho scritto nel post precedente ). |
|
Top |
|
|
ste_95 Dio maturo
Registrato: 03/08/07 13:41 Messaggi: 1920 Residenza: Italy
|
Inviato: 17 Nov 2007 12:54 Oggetto: |
|
|
il log di hijackthis è copiato solo a metà, fai attenzione e ricopialo tutto...
manca inoltre la scansione, come diceva Smjert, con FindAWF |
|
Top |
|
|
ste_95 Dio maturo
Registrato: 03/08/07 13:41 Messaggi: 1920 Residenza: Italy
|
Inviato: 17 Nov 2007 13:02 Oggetto: |
|
|
Smjert ha scritto: | Strano che sia così corto..
L'hai fatto da modalità normale usando un account amministratore?
Comunque devi far girare anche FindAWF (l'ho scritto nel post precedente ). |
OT: Paripost! /OT 8) |
|
Top |
|
|
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 17 Nov 2007 13:03 Oggetto: |
|
|
Questo è invece il log di find awf
Find AWF report by noahdfear ©2006
Version 1.40
bak folders found
~~~~~~~~~~~
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE
Directory di C:\PROGRA~1\APOINT2K\BAK
19/10/2001 13.46 118.784 Apoint.exe
1 File 118.784 byte
2 Directory 8.124.788.736 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE
Directory di C:\PROGRA~1\LAUNCH~1\BAK
29/05/2002 12.53 139.264 QtaET2S.EXE
1 File 139.264 byte
2 Directory 8.124.788.736 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE
Directory di C:\PROGRA~1\MSNMES~1\BAK
0 File 0 byte
2 Directory 8.124.784.640 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE
Directory di C:\VIRUSF~1\BIN\BAK
31/05/2006 10.22 135.168 ZLH.EXE
1 File 135.168 byte
2 Directory 8.124.784.640 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE
Directory di C:\WINDOWS\SYSTEM32\BAK
10/09/2002 13.00 13.312 ctfmon.exe
1 File 13.312 byte
2 Directory 8.124.784.640 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE
Directory di C:\WINDOWS\TEMP\BAK
10/09/2002 13.00 65.024 xzsmaa.exe
1 File 65.024 byte
2 Directory 8.124.784.640 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE
Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK
08/12/2003 17.35 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 8.124.784.640 byte disponibili
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
118784 19 Oct 2001 "C:\Programmi\Apoint2K\bak\Apoint.exe"
139264 29 May 2002 "C:\Programmi\Launch Manager\bak\QtaET2S.EXE"
135168 31 May 2006 "C:\VIRUSfighter\Bin\bak\ZLH.EXE"
13312 10 Sep 2002 "C:\WINDOWS\system32\ctfmon.exe"
13312 10 Sep 2002 "C:\WINDOWS\system32\bak\ctfmon.exe"
65024 10 Sep 2002 "C:\WINDOWS\Temp\bak\xzsmaa.exe"
32768 8 Dec 2003 "C:\Programmi\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe"
end of report |
|
Top |
|
|
ste_95 Dio maturo
Registrato: 03/08/07 13:41 Messaggi: 1920 Residenza: Italy
|
Inviato: 17 Nov 2007 13:09 Oggetto: |
|
|
scarica avenger
aprilo
vai su input script manually
poi sulla lente
copia quanto segue:
Files to delete:
C:\WINDOWS\system32\ctfmon.exe
Files to move:
C:\Programmi\Apoint2K\bak\Apoint.exe | C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\Launch Manager\bak\QtaET2S.EXE | C:\Programmi\Launch Manager\QtaET2S.EXE
C:\VIRUSfighter\Bin\bak\ZLH.EXE | C:\VIRUSfighter\Bin\ZLH.EXE
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
poi vai su done
poi sul semaforino
acconsenti
a questo punto il computer dovrebbe riavviarsi, altrimenti fallo tu
al riavvio posta il contenuto dle blocco note che apparirà...
sappici dire come va
|
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 17 Nov 2007 13:16 Oggetto: |
|
|
NO!
Non eseguire lo script proposto da ste_95!!!
NESSUNO dei files indicati da FindAWF contiene virus.
Il virus di Instant Access si riconosce per la dimensione (tra i 20KB e i 24KB circa) e la data (hanno tutti la stessa data). Nessun file presente nel log soddisfa quelle 2 condizioni.
Non è con la fretta che si risolvono le infezioni. |
|
Top |
|
|
ste_95 Dio maturo
Registrato: 03/08/07 13:41 Messaggi: 1920 Residenza: Italy
|
Inviato: 17 Nov 2007 13:22 Oggetto: |
|
|
pensavo fosse in grado di camuffarsi...
|
|
Top |
|
|
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 17 Nov 2007 15:17 Oggetto: |
|
|
e allora che faccio?
ma va bene il log di hijackthis? |
|
Top |
|
|
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 17 Nov 2007 15:27 Oggetto: |
|
|
Scusatemi,avevate ragione il log era stato copiato solo a metà,ora vi riporto di seguito il log completo,grazie.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.41.08, on 17/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\cartella hijackthis\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
--
End of file - 3215 bytes |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 17 Nov 2007 15:45 Oggetto: |
|
|
ciao david76 e benvenuto anche da parte mia.
il Log HJT mi sembra pulito.
domanda: avevi già fatto i passaggi descritti in quel thread? (quelli di sostituire il file rasapi32.dll infetto con uno pulito, per capirci..) |
|
Top |
|
|
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 17 Nov 2007 16:12 Oggetto: |
|
|
si,solo che ora quando apro alice adsl mi da questo messaggio:impossibile trovare il punto d'ingresso RasfreshKerbCreds della procedura nella libreria di collegamento dinamico rasman.dll |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 17 Nov 2007 16:42 Oggetto: |
|
|
Il problema è dato dal fatto che il file RASAPI32.DLL che hai installato è per XP Service Pack 2, mentre tu hai installato solo il Service Pack 1.
Primo consiglio:
Scarica e installa il service pack 2 prima possibile, mi raccomando!!!
Poi, prova questa procedura:
ab12c3 ha scritto: | SOLUZIONE SUGGERITAMI (che ho eseguito):
verificare con una ricerca su C: e sue sottocartelle se cercando il nomefile "rasapi*.*" ne uscivano più ricorrenze; in caso positivo queste dovevano essere "quanto meno" le seguenti:
- rasapi32.dl_ : file di tipo compresso, mi hanno spiegato, da conservare;
- rasapi32.dll : nella cartella c:\windows\sistem32\ ; potenziale file inserito dal virus con lo stesso nome e al posto del file Windows originale;
- rasapixxxx.dll : nella stessa cartella system32; dove xxxx sta per un numero diverso dall'originale "32": io avevo un "rasapi86.dll"
- eventuali altri "rasapi32".
Dunque il rasapi32 corretto era stato rinominato a rasapi86 (per questo motivo le chiamate al file Windows originale andavano a vuoto) e al suo posto c'era un rasapi32 "fasullo" e di DIMENSIONI DIVERSE da quello rinominato "...86" dal virus; gli altri falsi rasapi32 si riconoscevano anche perchè avevano le stesse dimensioni di quello infilato dal virus in system32 !
Gli ulteriori falsi rasapi32, nel mio caso, stavano in 2 sottocartelle di system32, nel cui path comparivano "ntuninstall" e "softwaredownload".
A questo punto, in linea logica bastava cancellare i falsi rasapi32 e rinominare il rasapi86 a rasapi32. Tuttavia, essendo facilmente alcuni di questi file in uso da qualche processo, il modo più certo di eliminarli che mi hanno indicato è:
- fare un riavvio del PC
- andare in modalità manutenzione premendo F8 appena il PC riparte
- dalla schermata che compare scgliere "modalità provvisoria con prompt dei comandi" (alcuni PC danno modo di scegliere subito la modalità DOS, il mio no, ad es.)
- scegliere il sistema operativo con cui si vuole operare in provvisoria nel caso mio solo Windows XP (non ho l'opzione DOS)
- eventualmente riaccertarsi della posizione dei diversi rasapi tramite comando "dir rasapi*.* /s"
- fare erase dei rasapi32.dll nelle varie cartelle in cui compaiono (NON VA FATTO INVECE ERASE DI "rasapi32.dl_")
- fare rename di rasapixxxx in rasapi32 nella sottocartella system32 (nel mio caso era rasapi86, ma può essere un numero diverso ! )
- riavviare il sistema in modalità normale
- nel mio caso le Connessioni di Rete erano nuovamente funzionanti e non ho neppure dovuto ridefinire le connesisoni ai diversi provider, le ho ritrovate intatte come prima del guasto.
Spero sia utile, auguri a tutti --- ab12c3 |
Se ci sono dei passaggi poco chiari, chiedi pure. |
|
Top |
|
|
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 17 Nov 2007 17:37 Oggetto: |
|
|
Grazie,adesso provo a eseguire i vostri suggerimenti.
|
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 18 Nov 2007 08:35 Oggetto: |
|
|
Una volta che hai finito con quei passaggi, collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato. |
|
Top |
|
|
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 18 Nov 2007 11:15 Oggetto: |
|
|
Intanto vorrei ringraziarvi per la vostra disponibilità.Di quei passaggi ho fatto solo il primo,cioè ho scaricato il servicepack2 e l' ho installato.Ora che il problema sembra risolto devo fare lo stesso il secondo passaggio?
Grazie ancora. |
|
Top |
|
|
ste_95 Dio maturo
Registrato: 03/08/07 13:41 Messaggi: 1920 Residenza: Italy
|
Inviato: 18 Nov 2007 11:22 Oggetto: |
|
|
per sicurezza sarebbe bene di si...non è comunque essenziale..come vuoi tu |
|
Top |
|
|
david76 Mortale devoto
Registrato: 16/11/07 16:36 Messaggi: 17
|
Inviato: 18 Nov 2007 11:52 Oggetto: |
|
|
Sinceramente ho provato, ho cliccato F8 all' avvio del computer ho seguito le tue ulteriori indicazioni solo che non ho capito bene il passaggio di rinominazione del file infetto.Scusa la mia ignoranza ma potresti spiegarmelo più semplicemente?Grazie ancora. |
|
Top |
|
|
|