|
| Precedente :: Successivo |
| Autore |
Messaggio |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
 Inviato: 18 Mar 2008 14:29 Oggetto: |
 |
|
OK, inserisco solo i file trovati infetti da backdoor e trojan e non quelli eventualmente "sospetti", per esempio nella posta di Outlook, dove puoi procedere manualmente; se qualcosa l'hai già eliminata manualmente non la includere nello script;
| chemicalbit ha scritto: |
ma sì, proviamo The Avenger , non l'ho mai usato. (autorisposta: e ti lamenti di non essere mai stato in situazione di averne mai avuto bisogno?  ) |
Bene, immagino che hai scaricato The Avenger;
Avvialo e clicca su OK
all'interno del box bianco
Inserisci queste righe: (attenzione a non lasciare interlinee inutili, perchè la nuova versione di Avenger non le sopporta);
| Citazione: | files to delete:
C:\Documents and Settings\giorgio\Documenti\frominte\!da guard vecchi\#Nuovi05\Delete arbitrary files using Help and Support Center [MSRC 1198dg].htm
C:\Documents and Settings\giorgio\Documenti\frominte\!da guardare\!NUOVI\erunt-setup.exe
C:\Documents and Settings\giorgio\Documenti\gfdsa\1\Vip Mania.htm
C:\Programmi\Common Files\GTK\2.0\uninst.exe
C:\WINDOWS\system32\qsws\abo3ramconfit
C:\WINDOWS\system32\qsws\gt.x
C:\WINDOWS\system32\qsws\w.e
C:\Documents and Settings\amministratore\Documenti\avwinntp.exe
C:\Documents and Settings\$user3\Documenti\frominte\!da guardare\!NUOVIbis\avwinsfx.exe
C:\Programmi\mIRC\mirc.exe |
Clicca su Execute
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, si dovrebbe aprire il blocco note con il risultato, altrimenti lo trovi su C:\Avenger.txt, che incollerai quì...
Dimmi se riscontri ancora problemi...
| chemicalbit ha scritto: |
Ah, visto che -non so perché, e stranamente per me- in questo messaggio sto abbondando di faccine, non posso non mettere anche questa:
 grazie di tutto. |
Figurati....per così poco... |
|
| Top |
|
 |
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 18 Mar 2008 19:42 Oggetto: |
|
|
| Sante62 ha scritto: | | OK, inserisco solo i file trovati infetti da backdoor e trojan e non quelli eventualmente "sospetti", per esempio nella posta di Outlook, dove puoi procedere manualmente; |
una delle due email pensodi poterla identificare, l'altra non so.
Vedo poi comunque.
Poi, lo so che sono un paziente-infettato rompiscatole  , ma , se non ho problemi a cancellare file d'installazione di programmi (come erunt), che al limite mi riscarico (tanto sono mesi che non ho avuto tempo di provarlo ...)
sono invece un po' ... riluttante a cancellare
C:\Programmi\Common Files\GTK\2.0\uninst.exe
e
C:\Programmi\mIRC\mirc.exe
Sono sicuramente malware ?
Se cancello prima gli altri e poi vedo come va, è grave?
| chemicalbit ha scritto: |
Ah, visto che -non so perché, e stranamente per me- in questo messaggio sto abbondando di faccine, non posso non mettere anche questa:
grazie di tutto. |
Figurati....per così poco... [/quote] E' perché non avevi ancora visto questa mia ultima domanda ....  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 18 Mar 2008 20:41 Oggetto: |
|
|
| chemicalbit ha scritto: |
sono invece un po' ... riluttante a cancellare
C:\Programmi\Common Files\GTK\2.0\uninst.exe
e
C:\Programmi\mIRC\mirc.exe
Sono sicuramente malware ?
Se cancello prima gli altri e poi vedo come va, è grave?
|
Non è grave, però possono contenere del codice maligno, in particolare il mirc.exe se non si è scaricato dal sito ufficiale;
ovviamente decidi tu...
| chemicalbit ha scritto: |
E' perché non avevi ancora visto questa mia ultima domanda .... |
Vale sempre la stessa cosa... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 18 Mar 2008 23:18 Oggetto: |
|
|
| Sante62 ha scritto: | | chemicalbit ha scritto: |
sono invece un po' ... riluttante a cancellare
C:\Programmi\Common Files\GTK\2.0\uninst.exe
e
C:\Programmi\mIRC\mirc.exe
Sono sicuramente malware ?
Se cancello prima gli altri e poi vedo come va, è grave?
|
Non è grave, però possono contenere del codice maligno, in particolare il mirc.exe se non si è scaricato dal sito ufficiale;
ovviamente decidi tu... |
Scaricato dal sito ufficiale
(per quello mi sembra strano ... fosse un virus, capirei,
ma siccome indica un trojan, anzi una backdoor ... (però sono in 7/32 di virustotal a dirlo ...) ah forse ho capito, mIRC ha anche un (mini) server IRC, forse è quello che insospettisce.
Innanzitutto una cosa che mi sono sempre dimenticato di scriverti:
con task manager non vedevo in esecuzione nessuno dei file trovati infetti da kaspersky o da bitdefender o da virustotal.
| Sante62 ha scritto: | Bene, immagino che hai scaricato The Avenger;
Avvialo e clicca su OK (...)
Al termine dell'operazione, si dovrebbe aprire il blocco note con il risultato, altrimenti lo trovi su C:\Avenger.txt, che incollerai quì... |
Eccolo (come dicevo non ho cancellato due dei file che mi hai elencato) | Codice: | Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\Documents and Settings\giorgio\Documenti\frominte\!da guard vecchi\#Nuovi05\Delete arbitrary files using Help and Support Center [MSRC 1198dg].htm" deleted successfully.
File "C:\Documents and Settings\giorgio\Documenti\frominte\!da guardare\!NUOVI\erunt-setup.exe" deleted successfully.
File "C:\Documents and Settings\giorgio\Documenti\gfdsa\1\Vip Mania.htm" deleted successfully.
File "C:\WINDOWS\system32\qsws\abo3ramconfit" deleted successfully.
File "C:\WINDOWS\system32\qsws\gt.x" deleted successfully.
File "C:\WINDOWS\system32\qsws\w.e" deleted successfully.
File "C:\Documents and Settings\amministratore\Documenti\avwinntp.exe" deleted successfully.
File "C:\Documents and Settings\giorgio\Documenti\frominte\!da guardare\!NUOVIbis\avwinsfx.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate. |
Mi pare sia andato tutto OK.
Ho visto che non hai indicato
C:\WINDOWS\system32\qsws\knlps.sys
C:\WINDOWS\system32\qsws\knlps.exe
C:\WINDOWS\system32\qsws\ger.exe
e gli altri di quella directory.
Per quelli ho seguito quanto mi avevi scritto : l'ho eleiminata da modalità provvisoria (a dirla tutta, non essendosicurissimo mi sono fatto un backup in uno zip con pasword, come ho visto che fa anche Avenger ...)
Questa eliminazione della cartella l'ho fatta dopo aver fatto girare lo script di Avenger (dovevo cancellarla prima, quella cartella?)
(Ah, a proposito, the Avenger l'ho fatto girare da modalità normale, non rpovvisoria, è giusto?)
| Sante62 ha scritto: | | Dimmi se riscontri ancora problemi... |
A parte gli alcuni annosi problemi -che però mi sa che dipendono da pasticci di Windows e non speravo che si risolvessero così- che sono rimasti
il file C:\Documents and Settings\giorgio\Impostazioni locali\Temp\lpt4.exe è sempre lì, e non riesco a cancellarlo.
Se ci provo, prima mi chiede regolarmente "spostare 'lpt4.exe' nel cestino? Sì/No". Ma se clicko sì mi dice "Impossibile elliminare lpt4: Impossibile trovar eil file specificato. Verificare che ..."
(tra l'altro nel messaggio d'errore è senza .exe . Mi sa che crea problemi il fatto che lpt4 è un nome di file di sistema riservato perle porte parallele).
ah, il file è di 78 kb, attributi = sola lettura,nascosto, archivio.
Se faccio tasto destro , proprietà, ho delle schede in più (carattere, memoria, ecc.) tipiche del proprietà dei programmi DOS.
Posto un nuovolog di HijackThis.
(non è cambiato molto è cambiato il nome del file proprio di Hijackthis , ma quello è ... colpa mia, e si sono aggiunti (te li segno in blu) due O9 (entrambi "file missing") e due O16 , che immagino siano relativi alle scansioni on line di kaspersky e bitdefender. | Citazione: | Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.52.58, on 18/03/2008
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\TrendMicro\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Alice - {7AF1307C-089B-476F-9CBB-F615DCF473A8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{585D785F-5FFD-4EBA-BB77-7874F74E9D8E}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 5937 bytes
|
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 19 Mar 2008 00:24 Oggetto: |
|
|
| chemicalbit ha scritto: |
Innanzitutto una cosa che mi sono sempre dimenticato di scriverti:
con task manager non vedevo in esecuzione nessuno dei file trovati infetti da kaspersky o da bitdefender o da virustotal. |
Direi meglio così, no?; altrimenti avresti avuto problemi maggiori col PC;
| chemicalbit ha scritto: |
Ho visto che non hai indicato
C:\WINDOWS\system32\qsws\knlps.sys
C:\WINDOWS\system32\qsws\knlps.exe
C:\WINDOWS\system32\qsws\ger.exe
e gli altri di quella directory.
Questa eliminazione della cartella l'ho fatta dopo aver fatto girare lo script di Avenger (dovevo cancellarla prima, quella cartella?) |
No, altrimenti non avrebbe trovato gli altri file indicati nello script;
per quei file che non ho indicato, è perchè mi sono sfuggiti in quanto non presenti nei log di BitDefender e Kaspersky; ma se hai eliminato tutta la cartella non ci sono problemi...
| chemicalbit ha scritto: |
(Ah, a proposito, the Avenger l'ho fatto girare da modalità normale, non rpovvisoria, è giusto?) |
Giusto...
| chemicalbit ha scritto: |
A parte gli alcuni annosi problemi -che però mi sa che dipendono da pasticci di Windows e non speravo che si risolvessero così- che sono rimasti |
che tipo di problemi e/o pasticci?
| chemicalbit ha scritto: |
il file C:\Documents and Settings\giorgio\Impostazioni locali\Temp\lpt4.exe è sempre lì, e non riesco a cancellarlo.
ah, il file è di 78 kb, attributi = sola lettura,nascosto, archivio.
Se faccio tasto destro , proprietà, ho delle schede in più (carattere, memoria, ecc.) tipiche del proprietà dei programmi DOS. |
Hai provato a togliere gli attributi, prima di tentare la cancellazione?
magari anche da modalità provvisoria?
Altra cosa, guarda nei servizi di Windows se ne trovi qualcuno che ti sembra sospetto, che magari deve essere disattivato prima di poter eliminare lpt4.exe; puoi anche scaricare GetServices(non ho però il link sotto mano, dovresti fare una ricerca) e caricare il log su freefilehosting, che gli do un'occhiata anche io.
Per il log di HJT non vedo ulteriori problemi...
Vai su start->esegui e nella casellina digita:
control userpasswords2 e premi invio;
guarda se fra gli account ce ne qualcuno con nome casuale o che non conosci; |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 19 Mar 2008 00:53 Oggetto: |
|
|
| Sante62 ha scritto: | | chemicalbit ha scritto: |
Innanzitutto una cosa che mi sono sempre dimenticato di scriverti:
con task manager non vedevo in esecuzione nessuno dei file trovati infetti da kaspersky o da bitdefender o da virustotal. |
Direi meglio così, no?; altrimenti avresti avuto problemi maggiori col PC; |
ma io "speravo" di trovare qualcos in memoria, poter fermare il processo, e poter poi cancellare quel file.
| Sante62 ha scritto: | | chemicalbit ha scritto: |
A parte gli alcuni annosi problemi -che però mi sa che dipendono da pasticci di Windows e non speravo che si risolvessero così- che sono rimasti |
che tipo di problemi e/o pasticci? |
In breve:
Lentezza all'avvio e alla chiusura
(e oltre alla lentezza:
all'apertura mi si apre sempre una sottocartella "c:\progammi\Microsoft" che avevo creato io tempo fa e che contiene una sottocartella in cui ho messo un visualizzatore di powerpoint scaricato dal sito Microsoft
Alla chiusura a volte ho un errore di explorer.exe che non termina).
Ne avevo parlato qui, prima parte del messaggio .
Inoltre, che mi ero dimanticato di dire prima:
a volte passando da una finestra all'altra, mi accorgo che nella barra delle applicazioni -dove non ho la funzione raggruppa pulsanti attiva- alcune finestre non sono più indicate (mentre nella finestrra che si apre premendo alt+tab sì). Caso tipico ho nella barra 2 finestre di Firefox e dopo un po' "Ma io non ero anche" -ad es.- "sull'Olimpo Informatico?!" Alt+Tab "Essì, eccola qui la 3 finestra di Firefox" prevengo la domanda "Ma non fai prima aprendo più schede in una sola finestra?" : in ognuna ha varie schede. Qualche volta, più raramente, mi è capitato con altre applicazioni.
| Sante62 ha scritto: | | chemicalbit ha scritto: |
il file C:\Documents and Settings\giorgio\Impostazioni locali\Temp\lpt4.exe è sempre lì, e non riesco a cancellarlo.
ah, il file è di 78 kb, attributi = sola lettura,nascosto, archivio.
Se faccio tasto destro , proprietà, ho delle schede in più (carattere, memoria, ecc.) tipiche del proprietà dei programmi DOS. |
Hai provato a togliere gli attributi, prima di tentare la cancellazione?
magari anche da modalità provvisoria? |
Provo.
Aspettavo il via libera, visto che prima invece i malware dovevo conservarlo.
| Sante62 ha scritto: | | Altra cosa, guarda nei servizi di Windows se ne trovi qualcuno che ti sembra sospetto, che magari deve essere disattivato prima di poter eliminare lpt4.exe; puoi anche scaricare GetServices(non ho però il link sotto mano, dovresti fare una ricerca) e caricare il log su freefilehosting, che gli do un'occhiata anche io. |
Ok lo cerco. (Altrimenti : start -> servizi di amministrazione -> servizi , giusto?)
| Sante62 ha scritto: | Vai su start->esegui e nella casellina digita:
control userpasswords2 e premi invio;
guarda se fra gli account ce ne qualcuno con nome casuale o che non conosci; |
Non conoscevo questa interfaccia per la gestione degli account. (io disolito ne vedo un altra. Sarà perché ho windows Home edition?). Questa ha molte più opzioni.
Tutto a posto.
(a parte un utente "administrator", che vedo solo in modalità provvisoria, ed è sempre esistito e penso sia normale, leggendo anche in altre discussioni).
---------
EDIT: trovato GetServices, è questo su bleepingcomputer, vero? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 19 Mar 2008 01:57 Oggetto: |
|
|
| chemicalbit ha scritto: |
Lentezza all'avvio e alla chiusura
(e oltre alla lentezza:
all'apertura mi si apre sempre una sottocartella "c:\progammi\Microsoft" che avevo creato io tempo fa e che contiene una sottocartella in cui ho messo un visualizzatore di powerpoint scaricato dal sito Microsoft |
La lentezza dipende da molteplici fattori;
intanto puoi eliminare qualche programma inutile che si carica all'avvio;
quindi avvia HJT e fixa queste righe:
| Citazione: | O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: Alice - {7AF1307C-089B-476F-9CBB-F615DCF473A8} - http://gw.aliceadsl.it/alice (file missing) (HKCU) |
poi, la deframmentazione, la pulizia della cache di internet, un controllo degli errori del disco fisso (chkdsk) e la deframmentazione del disco;
ovviamente dipende anche come sicuramente sai, dalla RAM disponibile, velocità processore, spazio libero su hard disk;
| chemicalbit ha scritto: |
Alla chiusura a volte ho un errore di explorer.exe che non termina). |
Ricordi qual'è l'ultima cosa che hai fatto prima che iniziasse a maniferstarsi il problema ?
Che programmi hai in esecuzione prima della chiusura?
Prova a vedere se con un punto di ripristino riesci a risolvere
| chemicalbit ha scritto: |
Inoltre, che mi ero dimanticato di dire prima:
a volte passando da una finestra all'altra, mi accorgo che nella barra delle applicazioni -dove non ho la funzione raggruppa pulsanti attiva- alcune finestre non sono più indicate (mentre nella finestrra che si apre premendo alt+tab sì). Caso tipico ho nella barra 2 finestre di Firefox e dopo un po' "Ma io non ero anche" -ad es.- "sull'Olimpo Informatico?!" Alt+Tab "Essì, eccola qui la 3 finestra di Firefox" prevengo la domanda "Ma non fai prima aprendo più schede in una sola finestra?" : in ognuna ha varie schede. Qualche volta, più raramente, mi è capitato con altre applicazioni. |
Qui non riesco purtroppo a focalizzare; se non con riparazioni generiche indicate.
| chemicalbit ha scritto: |
Ok lo cerco. (Altrimenti : start -> servizi di amministrazione -> servizi , giusto?) |
Giusto...
| chemicalbit ha scritto: |
EDIT: trovato GetServices, è questo su bleepingcomputer, vero? |
Si, avvia il file .bat;
si aprirà il blocco note con il risultato...
se non ho visto male, non hai il Service Pack 2;
se è così aggiornalo urgentemente da Windows Update
Edit: I problemi che riscontri dipendono anche da questo... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 19 Mar 2008 11:15 Oggetto: |
|
|
| Sante62 ha scritto: | | chemicalbit ha scritto: |
il file C:\Documents and Settings\giorgio\Impostazioni locali\Temp\lpt4.exe è sempre lì, e non riesco a cancellarlo.
ah, il file è di 78 kb, attributi = sola lettura,nascosto, archivio.
Se faccio tasto destro , proprietà, ho delle schede in più (carattere, memoria, ecc.) tipiche del proprietà dei programmi DOS. |
Hai provato a togliere gli attributi, prima di tentare la cancellazione?
magari anche da modalità provvisoria? |
Forse ho risolto, e anche capito il perché della difficoltà.
Neanche da modalità provvisoria -ovviamente come amministratore- riuscivo a rinominarlo (prima c'ero riuscito,ma con UNLocker) , né a cambiare gli attributi.
Ho fatto tasto destro -> proprietà -> scheda protezione.
Mi è uscito un messaggio d'errore in cui (riassumendo; poi posterò degli screenshot) mi si diceva che non potevo visualizzare le impostazioni, bla bla ... ma che avevo i poteri per diventarne proprietario).
Clickato su OK, mi si è aperta la scheda, e aprendo le proprietà avanzate ho visto che non c'era nessun proprietario associato. Gli ho assegnato come proprietario il mio utente ammistratore, e gli ho dato tutti i permessi, e l'ho rinominato (da lpt4.exe a FOOlpt4.virus).
Lo sto uplodando su VirusTotal.
| Codice: | File FOOlpt4.virus ricevuto il 2008.03.19 09:44:12 (CET)
Stato corrente: finito
Risultato: 21/32 (65.63%)
AhnLab-V3 2008.3.19.1 2008.03.19 Win-Trojan/Agent.76961
AntiVir 7.6.0.75 2008.03.19 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.19 W32/Backdoor.ODR
Avast 4.7.1098.0 2008.03.19 Win32:Small-BTS
AVG 7.5.0.516 2008.03.18 Generic2.DNZ
BitDefender 7.2 2008.03.19 Trojan.Agent.ZN
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.19 Trojan.Agent-8397
DrWeb 4.44.0.09170 2008.03.19 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5626 2008.03.19 -
Ewido 4.0 2008.03.18 -
F-Prot 4.4.2.54 2008.03.19 W32/Backdoor.ODR
F-Secure 6.70.13260.0 2008.03.19 Trojan.Win32.Agent.zn
FileAdvisor 1 2008.03.19 -
Fortinet 3.14.0.0 2008.03.19 -
Ikarus T3.1.1.20 2008.03.19 Trojan.Win32.Agent.rk
Kaspersky 7.0.0.125 2008.03.19 Trojan.Win32.Agent.zn
McAfee 5254 2008.03.18 Spy-Agent.bf.dldr
Microsoft 1.3301 2008.03.19 -
NOD32v2 2958 2008.03.18 probably a variant of Win32/Agent
Norman 5.80.02 2008.03.18 W32/Agent.AMDA
Panda 9.0.0.4 2008.03.18 Trj/Agent.HRW
Prevx1 V2 2008.03.19 -
Rising 20.36.21.00 2008.03.19 Trojan.MNless.hqh
Sophos 4.27.0 2008.03.19 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.19 Trojan.LinkOptimizer
TheHacker 6.2.92.249 2008.03.18 Trojan/Agent.zn
VBA32 3.12.6.3 2008.03.17 Trojan.Win32.Agent.zn
VirusBuster 4.3.26:9 2008.03.18 Trojan.Agent.XJO
Webwasher-Gateway 6.6.2 2008.03.19 Trojan.Crypt.XPACK.Gen
Informazioni addizionali
File size: 79810 bytes
MD5: 5b96579274fa7a92d6eb9a7d99c85749
SHA1: ae325e82cbc35dcfbb4e27ded7b6dfeaffc925b7
PEiD: - |
Cancellato! 
L'ultima modifica di chemicalbit il 21 Mar 2008 20:21, modificato 1 volta |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 19 Mar 2008 14:14 Oggetto: |
|
|
Ottimo! 
Procedi con l'aggiornamento al Service Pack più recente, e dovremmo aver terminato... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 19 Mar 2008 20:37 Oggetto: |
|
|
| Sante62 ha scritto: | | Altra cosa, guarda nei servizi di Windows se ne trovi qualcuno che ti sembra sospetto, che magari deve essere disattivato prima di poter eliminare lpt4.exe; puoi anche scaricare GetServices(non ho però il link sotto mano, dovresti fare una ricerca) e caricare il log su freefilehosting, che gli do un'occhiata anche io. |
Ecco il log di GetServices.
A "naso" mio non sento nulla di sospetto,
ma sono ... odori a cui non sono abituato. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 20 Mar 2008 02:14 Oggetto: |
|
|
| Neanche io vedo nulla di sospetto nel log.... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 21 Mar 2008 20:41 Oggetto: |
|
|
| chemicalbit ha scritto: | Forse ho risolto, e anche capito il perché della difficoltà.
Neanche da modalità provvisoria -ovviamente come amministratore- riuscivo a rinominarlo (prima c'ero riuscito,ma con UNLocker) , né a cambiare gli attributi.
Ho fatto tasto destro -> proprietà -> scheda protezione.
Mi è uscito un messaggio d'errore in cui (riassumendo; poi posterò degli screenshot) |
Ecco gli screeshot.
| chemicalbit ha scritto: | | mi si diceva che non potevo visualizzare le impostazioni, bla bla ... ma che avevo i poteri per diventarne proprietario. |
Devo aver sbalgiato qualcosa,
forse la finestra con il messaggio d'avviso si è chiusa mentre facevolo sceeenshot.
comunque diceva ""L'utente non è autorizzato a visualizzare le impostazioni relative alle autorizzazioni ...." e poi non ricordo più bene ma qualosa tipo "relative alle protezioni" oppure "ai permessi". E poi diceva qualcosa tipo "ma è possibile ottenere la proprietà del file".
| chemicalbit ha scritto: | | Clickato su OK, mi si è aperta la scheda, |
| chemicalbit ha scritto: | | e aprendo le proprietà avanzate ho visto che non c'era nessun proprietario associato. |
| chemicalbit ha scritto: | | Gli ho assegnato come proprietario il mio utente ammistratore, e gli ho dato tutti i permessi, e l'ho rinominato (da lpt4.exe a FOOlpt4.virus). |
 |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 21 Mar 2008 23:12 Oggetto: |
|
|
Da quanto ho capito non avevi quindi le autorizzazioni necessarie....
Ora l'hai rinominato, ma sei riuscito ad eliminarlo? |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 22 Mar 2008 00:44 Oggetto: |
 |
|
Sì, sì.
Poi si è cancellato senza problemi. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
