Olimpo Informatico

[pallina]

Scusate la domanda da ignorante, ma perchè, se Nod32 è scaduto, continua a fare gli aggiornamenti sia in automatico, sia su richiesta? Non dovrebbe disabilitarsi anche quella funzione?

[bdoriano]

Hai verificato che è effettivamente scaduto?
Io ho NOD32, ma non l'ho mai lasciato scadere.
Probabilmente è una scelta di convenienza del produttore per mantenere aggiornato l'antivirus nel caso tu decida di rinnovarlo...
A proposito di NOD32, che motore di scansione hai?
Per verificarlo:
- avvia il control center
- Strumenti di sistema nod32
- Informazioni
- sulla destra, verifica Informazioni sui componenti installati - versione: 2.xx.xx?

[pallina]

Posto tutto quello che mi dice nelle informazioni:

VErsione di prova
Giorni rimasti: 16715498

Informazioni sul sistema NOD32 installato
Versione: 2340 (20070620)
Data: mercoledì 20 giugno 2007
Build database antivirus: 10081

Informazioni su altri supporti dello scanner
Versione modulo euristica estesa: 1.061 (20070610)
Build modulo euristica estesa: 1157
Versione filtro Internet: 1.002 (20040708)
Build filtro Internet: 1013
Versione modulo supporto archivi: 1.053 (20070524)
Build modulo supporto archivi: 1189

Informazioni sui componenti installati
NOD32 per Windows NT/2000/XP/2003 - base
Versione: 2.50.32
NOD32 per Windows NT/2000/XP/2003 - supporto Internet
Versione: 2.50.32
NOD32 per Windows NT/2000/XP/2003 - componente standard
Versione: 2.50.32

Informazioni sistema operativo
Piattaforma: Windows XP
Versione: 5.1.2600 Service Pack 2
Versione dei controlli comuni: 5.82.2900
RAM: 512 MB
Processore: AMD Sempron(tm) Processor 2600+ (1607 MHz)

[bdoriano]

[pallina]

wow pare che stia andando. Grazie infinite!!!
Invece, se vi va di controllarlo, posto il log di hijackthis dell'altro computer, quello a cui Zonealarm segnalava IExplore32.exe.
Ho gia cercato il file indicato da Orange (quello su: Start/Esegui....) ma non l'ho trovato.

Logfile of HijackThis v1.99.1
Scan saved at 12.50.10, on 20/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\NETGEAR\WG311v3\wlancfg5.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\user\Desktop\614154848.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - Startup: imfe.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .tif: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Orange]

qualcosina in effetti c'è..

scarica VirIT, aggiornalo e fai lo scan completo

disattiva il ripristino
avvia in mod. provvisoria
avvia HiJack e fissa questi (se ancora presenti)

O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\user\Desktop\614154848.dll (file missing)
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - Startup: imfe.exe

trova e cancella:
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe

dai una ripulita anche a questo PC con CCleaner e Eusing Free..
rifai il log HJT e mettilo qui per un'ulteriore controllo

[pallina]

nooo, vi prego spiegatevi in italiano. Il ripristino si disattiva semplicemente con: Pannello di controllo/Sistema/Ripristino configurazione di sistema/Disattiva ripristino su tutte le unità o devo fare qualche altra cosa?

[bdoriano]

Qui trovi tutte le indicazioni che ti servono.

[pallina]

Fatto, anzi no! 2 voci continuano a comparire nel log di hijackthis, anche se le ho fissate e per ben 3 volte. A voi la soluzione dell'arcano. Tra l'altro Zone alarm mi segnala che igfxsvc vuole avere accesso: io nego, nego sempre! Credo che ZA sia troppo complicato per me! Inoltre da qualche giorno se clicco sulla casella "Ulteriori informazioni" non si apre più la pagina di ZA che riguarda il file in esame, ma solo la mia Home page

[Orange]

hai fatto lo scan con VirIt come ti avevo suggerito?
metti il risultato qui

[pallina]

Allora, prima non avevo fatto lo scan con VirIt, per cui l'ho istallato, ho fatto la scansione. Ha trovato 9 virus, due dei quali erano nei files C:\WINDOWS\csrs.dll e C:\WINDOWS\csrs.exe. Mi ha chiesto se poteva metterli in quarantena. Ho cercato informazioni e ho trovato che il file di sistema era csrss (2 s finali) e ho cliccato SI. Quando ho riavviato il computer, windows era scomparso: c'è lo sfondo del desktop, parte automaticamente il salvaschermo, accedo al task manager con CTRL+ALT+CANC, ma non c'è più un'icona, il tasto Start e tutta la barra delle icone di avvio, TUTTO sparito; il mouse gira e clicca a vuoto.E' strano, credo che a questo punto mi toccherà far re-istallare XP!

[Orange]

è rognosetto questo iexplore32..
aspetta formattare. prova a fare queste operazioni:

dal task manager scegli: file -> nuova operazione --> digita regedit -->invio
trova questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
che valori vedi?

[pallina]

Se per valori intendi ciò che compare a destra, ho:
(predefinito) Reg_SZ (valore non impostato)
Debugger Reg_SZ C:\WINDOWS\w32dbg.exe

[Orange]

eccolo. (ma non compare C:\windows\iexplore_32.exe?)

avvia in mod. provvisoria
trova sempre quella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
clic con destro su explorer.exe seleziona l'opzione autorizzazioni, seleziona il tuo account e spunta la casella controllo completo nella colonna consenti.
poi clic con destro sulla chiave e scegli elimina

al riavvio le icone dovrebbero riapparire
se così non fosse: apri task manager file -> nuova operazione --> digita explorer.exe -->invio

dimmi com'è andata

[pallina]

Ci sono fino quì:
poi clic con destro sulla chiave e scegli elimina
Qual è la chiave? Su cosa devo fare click col destro?

Tra l'altro entro in modalità provvisoria come Administrator o User (scelgo sempre questo)?
Mi ritrovo con una lista di 6 utenti/gruppi da selezionare, come faccio ad essere sicura di aver preso quello giusto?

[Orange]

[pallina]

Per Orange:
Ti mando in MP la foto di quello che appare sullo schermo del mio PC.
Scusami, puoi anche chiamarmi cretina, ma ho una paura incredibile di capire male le tue istruzioni: e se cancello una voce di registro sbagliata?
Lì vedi 5 utenti, ci manca un gruppo che si chiama Users (c'è anche il codice). A questo punto clicco su OK, altrimenti non posso fare niente, poi elimino la voce che è indicata dalla freccetta del mouse?

[Orange]

1. forse era meglio se mettevi qui l'immagine (ottenevi una risposta molto prima )
2. in condizioni "normali" la sottochiave explorer.exe NON esiste in quella posizione nel registro, perciò non c'è pericolo che elimini quella sbagliata.
3. prova con Administrators e Users , assicurati che le caselle controllo completo sono spuntate (per sicurezza su entrambi) clic Applica
poi clic con destro sull'explorer.exe indicata da te con freccetta e scegli Elimina


EDIT: mi sono accorta ora anche dell'altra chiave che non ci dev'essere: iexplore.exe (un'pò più sotto di explorer.exe).
elimina anche quella.

[pallina]

Allora: sul fronte Windows parrebbe che tutto sia tornaro a posto.
Ho fatto quello che dovevo e questo è il log di Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22.11.45, on 20/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Eset\nod32krn.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\NETGEAR\WG311v3\wlancfg5.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .tif: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vi sto facendo impazzire, eh (io, non i virus!!!)

[bdoriano]

Il log sembra ok.

Facciamo la prova del 9?
Carica gmer anche su questo pc e scompattalo in una sua cartella non temporanea.
Avvialo
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.

Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.