|
| Precedente :: Successivo |
| Autore |
Messaggio |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
 Inviato: 20 Gen 2008 23:08 Oggetto: |
 |
|
| Venere80 ha scritto: |
Adesso ho dovuto reinserire il firewall di Windows perchè con Zone Alarm è un casino, mi blocca tutti gli indirizzi e nonostante abbia letto la guida è un... 
Esiste una guida in semplice? |
Quando il PC è infetto è più difficile configurare qualsiasi firewall, perchè non si sa bene quali siano i processi leciti. Bisogna conoscere bene ciò che si ha installato di lecito nel proprio PC.[/quote]
| Venere80 ha scritto: |
I byte in uscita erano poche centinaia di migliaia,
mentre quelli ricevuti una trentina di milioni. Strano o regolare?
Logicamente non è regolare perchè il PC è infetto. |
| Venere80 ha scritto: |
Due domande 1) durante la connessione con il mio provider, nella casella Stato-Dettagli, l' indirizzo Ip Client a volte è 131.120.14.16. altre volte è 131.120.14.10, oppure 131.120.21.15. Li ho sempre avuti, ma con Zone era impossibile anche autorizzarli.
I due indirizzi che mostra Hijackthis a cosa si riferiscono? |
A quali indirizzi ti riferisci? Comunque gli indirizzi IP è normale che cambino. Posta anche un nuovo log di HJT e segnali in grassetto o in rosso gli indirizzi a cui ti riferisci.
| Venere80 ha scritto: |
2) Nella cartella impostazioni locali\temp che apro da start-esegui, si creano da ieri, da quando ho installato Zone, almeno 80 documenti XML col nome IMT4C e simili. E' normale?  |
Sicuramente no. Aspettiamo di fare tutti i passaggi necessari e poi la configurazione del firewall risulterà più semplice. Comunque, per adesso, rimani connessa a internet per il tempo strettamente necessario. Ovviamente autorizza il firewall in tal senso. Aspetto il log si Systemscan. |
|
| Top |
|
 |
Venere80
Eroe in grazia degli dei
Registrato: 18/07/07 20:28
Messaggi: 92
|
| Inviato: 21 Gen 2008 21:42 Oggetto: |
|
|
Ciao Sante scusa il ritardo, ma siccome mio padre ha messo il cognome nel pc, tutte le volte che scansiono con Suspectfile devo cancellarlo .
Devo chiederti altre cose perchè in primis spero ti siano di aiuto e poi mi piace imparare.
Il mio pc come avrai notato dispone dell' utility "Think Vantage". In questa sezione sono andata a vedere i processi in esecuzione sul computer e ne
ho trovati 4 diversi da tutti gli altri;
il primo ha l' ID 4 , nome sconosciuto.
L' altro, ID 1372, nome C:\WINDOWS\SYSTEM32\WINLOGON.EXE, ed è l' unico tra tutti i processi con Priorità Alta.
Il terzo, ID 244 , nome C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe, Priorità IDLE.
L' ultimo, ID 3784 C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe Priorità (8000 H).
Inoltre 2 processi con lo stesso nome C:\WINDOWS\system32\wbem\wmiprvse.exe, anche se uno con ID 3124 l' altro 3424.
Ecco il report di Suspectfile
http://www.freefilehosting.net/download/3akj1
Grazie mille e speriamo a presto  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 21 Gen 2008 22:53 Oggetto: |
|
|
| Venere80 ha scritto: |
Devo chiederti altre cose perchè in primis spero ti siano di aiuto e poi mi piace imparare.
Il mio pc come avrai notato dispone dell' utility "Think Vantage". In questa sezione sono andata a vedere i processi in esecuzione sul computer e ne
ho trovati 4 diversi da tutti gli altri;
il primo ha l' ID 4 , nome sconosciuto.
L' altro, ID 1372, nome C:\WINDOWS\SYSTEM32\WINLOGON.EXE, ed è l' unico tra tutti i processi con Priorità Alta.
Il terzo, ID 244 , nome C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe, Priorità IDLE.
L' ultimo, ID 3784 C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe Priorità (8000 H).
Inoltre 2 processi con lo stesso nome C:\WINDOWS\system32\wbem\wmiprvse.exe, anche se uno con ID 3124 l' altro 3424. |
Ovviamente non conosco tutti i processi che indichi, tranne quelli dell'antivirus, Winlogon etc; sono comunque tutti normali. Quelli con priorità alta presumo siano proprio indispensabili per il buon fuinzionamento del sistema.
Comunque sia dai un'altra passata con Kaspersky, per avere maggiore certezza che sia tutto a posto. Dopo scaricati anche questo programmino:
Windows Worms Doors Cleaner; utile tool no install per chiudere le seguenti porte/servizi in XP/2K
| Citazione: | * DCOM RPC (port 135)
* RPC Locator (port 445)
* NetBIOS (ports 137/138/139) M
* UPNP (port 5000)
* Messenger service (uses RPC/NetBIOS ports) |
Avvialo; se noti delle voci rosse, clicca col mouse su di esse per correggerle; riavvia il PC; Avvia nuovamente WWDC; le voci devono essere tutte verdi. |
|
| Top |
|
|
Venere80
Eroe in grazia degli dei
Registrato: 18/07/07 20:28
Messaggi: 92
|
| Inviato: 21 Gen 2008 23:00 Oggetto: |
|
|
Gli indirizzi a cui mi riferisco sono questi:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D35CAF2C-A1A6-472A-99A0-2EFDD7E55C40}: NameServer = 131.xxx.xx.xx,131.xxx.xx.xx
Mi spiego meglio. Se non ho capito male questi due numeri sono, uno del server a cui mi connetto, l' altro del mio pc (il client).
Quando però effettuo la connessione, alla voce Stato appare un altro dato riferito al mio server. Ora ho mascherato il numero reale, però 131 è vero,
120 l' ho inventato, mentre le coppie e le terzine di numeri seguenti sono reali.
Per farti capire meglio il numero del server che emerge da Hijackthis è 131.120.79.20 (Grassetto - non mi viene) , durante la connessione è sempre 131.120.191.198.
Io vorrei capire come ricavare questi dati sul mio computer.
Per gli indirizzi del mio pc da quello che mi hai detto non ci sono problemi. Il numero che emerge da Hijackthis è 131.120.21.25 (Grassetto).
Durante le varie connessioni è 131.120.14.16, oppure 131.120.21.15, altre 131.120.14.7. Mai però uguale a quello di Hijackthis.
Altra domanda. Ho notato delle applicazioni in cui aprendo la voce proprietà presentano una data di creazione recente, mentre la data di modifica
è addirittura anteriore. Come è possibile? In C:\WINDOWS\SYSTEM32\DRIVERS c' è questo file Dyienpacujpn (sembra un rootkit).
Ho aperto proprietà ed ho visto che è di Panda Antivirus Online Scan. Però ha data creazione 13 gennaio 2008 e data di modifica 8 giugno 2007.
Posso fidarmi o è un malware camuffato da programma regolare?
Spero di non averti fatto confondere troppo. Un saluto forte. 
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.06.09, on 21/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
c:\programmi\lenovo\system update\suservice.exe
C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programmi\File comuni\Lenovo\Logger\logmon.exe
C:\Programmi\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Programmi\Lenovo\Client Security Solution\cssauth.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\Hijack\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lenovo.com/welcome/thinkpad
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programmi\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PDService.exe] "C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [cssauth] "C:\Programmi\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [AwaySch] C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [ACTray] C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167387531215
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D35CAF2C-A1A6-472A-99A0-2EFDD7E55C40}: NameServer = 131.xxx.xx.xx,131.xxx.xx.xx
O20 - Winlogon Notify: AwayNotify - C:\Programmi\Lenovo\AwayTask\AwayNotify.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS Core Service (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programmi\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 11744 bytes
[/b] |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 21 Gen 2008 23:35 Oggetto: |
|
|
| Venere80 ha scritto: | Gli indirizzi a cui mi riferisco sono questi:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D35CAF2C-A1A6-472A-99A0-2EFDD7E55C40}: NameServer = 131.xxx.xx.xx,131.xxx.xx.xx
Mi spiego meglio. Se non ho capito male questi due numeri sono, uno del server a cui mi connetto, l' altro del mio pc (il client).
Quando però effettuo la connessione, alla voce Stato appare un altro dato riferito al mio server. Ora ho mascherato il numero reale, però 131 è vero,
120 l' ho inventato, mentre le coppie e le terzine di numeri seguenti sono reali.
Per farti capire meglio il numero del server che emerge da Hijackthis è 131.120.79.20 (Grassetto - non mi viene) , durante la connessione è sempre 131.120.191.198.
Io vorrei capire come ricavare questi dati sul mio computer. |
Qui non ti so rispondere; comunque gli indirizzi IP non sono mai uguali. Quindi direi che, se non si è attrezzati, non si può fare facilmente quello che chiedi, perlomeno da parte mia.
| Venere80 ha scritto: |
Per gli indirizzi del mio pc da quello che mi hai detto non ci sono problemi. Il numero che emerge da Hijackthis è 131.120.21.25 (Grassetto).
Durante le varie connessioni è 131.120.14.16, oppure 131.120.21.15, altre 131.120.14.7. Mai però uguale a quello di Hijackthis. |
Ribadisco che gli indirizzo IP cambiano sempre.
| Venere80 ha scritto: |
Altra domanda. Ho notato delle applicazioni in cui aprendo la voce proprietà presentano una data di creazione recente, mentre la data di modifica
è addirittura anteriore. Come è possibile? In C:\WINDOWS\SYSTEM32\DRIVERS c' è questo file Dyienpacujpn (sembra un rootkit).
Ho aperto proprietà ed ho visto che è di Panda Antivirus Online Scan. Però ha data creazione 13 gennaio 2008 e data di modifica 8 giugno 2007.
Posso fidarmi o è un malware camuffato da programma regolare? |
Stai tranquilla è regolare. Comunque, o puoi disinstallare Panda da Installazione applicazioni.
| Venere80 ha scritto: |
Spero di non averti fatto confondere troppo. Un saluto forte. |
Bhe, un po si...  anche perchè non ho molta dimestichezza con queste cose...Procedi con la scansione di Kaspersky..
 |
|
| Top |
|
|
Venere80
Eroe in grazia degli dei
Registrato: 18/07/07 20:28
Messaggi: 92
|
| Inviato: 23 Gen 2008 11:15 Oggetto: |
|
|
Buongiorno carissimo Sante, ieri pomeriggio un problema con il mio provider mi ha impedito di inviarti il report di Kaspersky.
Due sole cose.
1)Come accendo il pc Zone Alarm mi chiede se autorizzare una connessione? E' normale?
2)Ripristino configurazione di sistema è meglio tenerlo con la casella spuntata giusto? Era disattivato, ma ho controllato e la casella è vuota. 
Questo è il log di Kasperky
A presto.
http://www.freefilehosting.net/download/3ambh |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 23 Gen 2008 11:36 Oggetto: |
|
|
| Venere80 ha scritto: |
Due sole cose.
1)Come accendo il pc Zone Alarm mi chiede se autorizzare una connessione? E' normale? |
E' normale se sai di che connessione si tratta. Eventualmente dimmi che cosa dice il messaggio di zone alarm. Se è lecita basta che spunti la casella consenti sempre->consenti e non te lo chiederà più. Cosi fai per gli altri accessi leciti.
| Venere80 ha scritto: |
2)Ripristino configurazione di sistema è meglio tenerlo con la casella spuntata giusto? Era disattivato, ma ho controllato e la casella è vuota. |
Se non riscontri più problemi, cioè sicura che il PC sia pulito, puoi togliere la spunta.
Il log di Kaspersky adesso è pulito....
|
|
| Top |
|
|
Venere80
Eroe in grazia degli dei
Registrato: 18/07/07 20:28
Messaggi: 92
|
| Inviato: 23 Gen 2008 21:26 Oggetto: |
|
|
Caro Sante dovrei essere ad un passo dalla "disinfezione", ma noto ancora cose strane. E' come se una persona sia guarita da un' influenza,
ma abbia ancora raffreddore e tosse. Per esempio ci sono ancora una trentina di file xml in impostazioni locali\temp. Quando accendo il pc,
Norton è disattivato nella barra applicazioni, ma aprendo il file si nota che la protezione è attiva.
Una delle due cose di cui ti avevo accennato ieri è relativa a Zone Alarm. Pur avendolo disattivato, quando accendo il pc si apre una finestra con
il seguente messaggio. ! Avviso di Zone Alarm Security: Programma ripetuto.
Servizio di condivisione in rete Windows Media Player. Player sta cercando di accedere ad Internet (il cavo è staccato).
Identificazione non disponibile in Zone Alarm. Applicazione WMPNETWK.EXE (ce l' ho sempre avuta).
Ip di destinazione 239.255.255.250 port 1900. Il file dovrebbe essere sicuro, perchè l' ho sempre avuto però l' altro giorno il numero era identico, ma apparve l' avviso con il processo Svchost.exe. 
La seconda cosa, sicuramente più importante è quella della chiusura di alcune porte aperte.
Come mi avevi detto, ho scaricato windows worms door cleaner ed ho chiuso due voci in rosso DCOM RPC (porta 135)
e RPC LOcator (porta 445). La voce NetBIOS/RPC ports è disabilitata ed anch' essa è verde.
Le altre due UPNP e NetBIOS porte 137-138-139 hanno un triangolo verde con il punto esclamativo.
Il protocollo UPnP, che corrisponde a quel numero di cui sopra 239.255.255.250, in pratica è il mio router che invia e riceve richieste verso e dai dispositivi in rete. È una procedura normale. (L' ho letto poco fa su un sito, ma io il router non lo uso e dovrebbe essere disconnesso) .
Devo chiuderle entrambe?
Provando a chiudere NetBIOS porte 137-138-139 mi è apparsa questa finestra che ho tradotto:
"Di default, Net Bios sarà disabilitato dal partire in Windows startup, rimarrà attivabile col comando "net start netbt" e
stoppabile con "net stop netbt", questa è la scelta più conveniente.
Net BIOS è disabilitato ma attivabile su richiesta (Ok Button).
Se si vuole disabilitare completamente, affinchè non sia in LAN e non tu non abbia bisogno di share files in reti private."
Abbi pazienza, ma l' informatica è sempre piena di sorprese.
Ti ringrazio ancora.  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 23 Gen 2008 23:27 Oggetto: |
|
|
| Venere80 ha scritto: | Per esempio ci sono ancora una trentina di file xml in impostazioni locali\temp. Quando accendo il pc,
Norton è disattivato nella barra applicazioni, ma aprendo il file si nota che la protezione è attiva. |
Per i file temporanei non ci dovrebbero essere problemi. Li puoi eliminare con ATF Cleaner serve a ripulire la cache di internet.
Avvialo e clicca su Select All e poi su Empty selected. Fai la stessa cosa con Firefox o Opera se li hai installati come browser, dal menu principale di ATF Cleaner. Non ho capito bene invece le impostazioni di Norton. E' disattivato, ma a quali file ti riferisci?
| Venere80 ha scritto: |
Una delle due cose di cui ti avevo accennato ieri è relativa a Zone Alarm. Pur avendolo disattivato, quando accendo il pc si apre una finestra con
il seguente messaggio. ! Avviso di Zone Alarm Security: Programma ripetuto.
Servizio di condivisione in rete Windows Media Player. Player sta cercando di accedere ad Internet (il cavo è staccato).
Identificazione non disponibile in Zone Alarm. Applicazione WMPNETWK.EXE (ce l' ho sempre avuta).
Ip di destinazione 239.255.255.250 port 1900. Il file dovrebbe essere sicuro, perchè l' ho sempre avuto però l' altro giorno il numero era identico, ma apparve l' avviso con il processo Svchost.exe. |
Quando avvii il PC Zone Alarm si attiva ugualmente, anche se prima era stato disattivato. il processo Svchost.exe è lecito quindi stai tranquilla.
| Venere80 ha scritto: |
La seconda cosa, sicuramente più importante è quella della chiusura di alcune porte aperte.
Come mi avevi detto, ho scaricato windows worms door cleaner ed ho chiuso due voci in rosso DCOM RPC (porta 135)
e RPC LOcator (porta 445). La voce NetBIOS/RPC ports è disabilitata ed anch' essa è verde.
Le altre due UPNP e NetBIOS porte 137-138-139 hanno un triangolo verde con il punto esclamativo.
Il protocollo UPnP, che corrisponde a quel numero di cui sopra 239.255.255.250, in pratica è il mio router che invia e riceve richieste verso e dai dispositivi in rete. È una procedura normale. (L' ho letto poco fa su un sito, ma io il router non lo uso e dovrebbe essere disconnesso)
Devo chiuderle entrambe?
Provando a chiudere NetBIOS porte 137-138-139 mi è apparsa questa finestra che ho tradotto:
"Di default, Net Bios sarà disabilitato dal partire in Windows startup, rimarrà attivabile col comando "net start netbt" e
stoppabile con "net stop netbt", questa è la scelta più conveniente.
Net BIOS è disabilitato ma attivabile su richiesta (Ok Button).
Se si vuole disabilitare completamente, affinchè non sia in LAN e non tu non abbia bisogno di share files in reti private." |
Ovviamente se non ti servono queste porte le puoi chiudere tutte come ho fatto io, che sono sempre vulnerabili da parte di malintenzionati. Ovviamente per quanto riguarda la LAN, se pensi che ti possa servire, la puoi sempre riattivare, come da spiegazione da te tradotta[/quote]
Spero di averti delucidata abbastanza. Stai tranquilla che il tuo PC adesso dovrebbe essere pulito. |
|
| Top |
|
|
Venere80
Eroe in grazia degli dei
Registrato: 18/07/07 20:28
Messaggi: 92
|
| Inviato: 24 Gen 2008 21:21 Oggetto: |
|
|
Buonasera Sante 
Sono quasi serena, ma non ho mai pace. Ho scaricato ATF Cleaner e Wise Registry Cleaner con i quali ho pulito un bel po' di roba. Adesso sto scaricando Java 6, però l' ultima rottura è il rapporto tra byte inviati e ricevuti con il mio provider.
Dopo 20 minuti di collegamento ne ho ricevuti 8 milioni contro soli 400.000
inviati e infatti per scaricare ci metto una vita.
Ho controllato in Stato-Dettagli (del provider) e c' è un' alta compressione dei byte inviati, in media del 40% contro il 2% di quelli ricevuti.
Cosa posso fare?
Grazie di tutto ancora. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 24 Gen 2008 22:42 Oggetto: |
|
|
| Venere80 ha scritto: | Buonasera Sante
Sono quasi serena, ma non ho mai pace. Ho scaricato ATF Cleaner e Wise Registry Cleaner con i quali ho pulito un bel po' di roba. Adesso sto scaricando Java 6, però l' ultima rottura è il rapporto tra byte inviati e ricevuti con il mio provider.
Dopo 20 minuti di collegamento ne ho ricevuti 8 milioni contro soli 400.000
inviati e infatti per scaricare ci metto una vita. |
Per quanto ne so io quelli inviati sono sempre meno di quelli ricevuti. Però se tu riscontri differenze notevoli rispetto a prima, potrebbe dipendere dalla compressione dei dati ricevuti e/o inviati dal modem.
| Venere80 ha scritto: |
Ho controllato in Stato-Dettagli (del provider) e c' è un' alta compressione dei byte inviati, in media del 40% contro il 2% di quelli ricevuti.
Cosa posso fare? |
Prova a guardare la proprietà della connessione e controlla se è attiva la compressione dei dati del modem; altrimenti disattivala. Vedi se migliora.
|
|
| Top |
|
|
Venere80
Eroe in grazia degli dei
Registrato: 18/07/07 20:28
Messaggi: 92
|
| Inviato: 27 Gen 2008 20:38 Oggetto: |
|
|
Rieccomi Sante.
Come mi avevi detto tu ho disattivato attiva compressione modem, ma il rapporto tra dati inviati e ricevuti è cambiato di poco. All' inizio leggero miglioramento, ma durante la navigazione la compressione arriva al 14%.
Io questi dati non li ho mai avuti
Deve esserci qualcosa con IE, infatti ho fatto una scansione con Hijackthis ed ho notato alla voce R0 due Main page su Internet Explorer identiche
Ti ho inviato anche la scansione di Hiajckthis.
Due giorni fa si sono inseriti tre controlli active x di Java in C:\Windows\Download software che vorrei sottoporti.
Infatti mentre uno presenta un logo apparentemente normale, gli altri due hanno lo scudo giallo con il punto esclamativo (segno di pericolo vero?).
Uno addirittura ha dimensioni 0 byte.
Grazie mille ancora.
Ecco il log di Hijackthis
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.18.43, on 27/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
c:\programmi\lenovo\system update\suservice.exe
C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programmi\File comuni\Lenovo\Logger\logmon.exe
C:\Programmi\Lenovo\Client Security Solution\cssauth.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programmi\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\Hijack\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lenovo.com/welcome/thinkpad
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programmi\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PDService.exe] "C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [cssauth] "C:\Programmi\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [AwaySch] C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [ACTray] C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167387531215
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D35CAF2C-A1A6-472A-99A0-2EFDD7E55C40}: NameServer = 131.xxx.xx.xx,131.xxx.xx.xx
O20 - Winlogon Notify: AwayNotify - C:\Programmi\Lenovo\AwayTask\AwayNotify.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS Core Service (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programmi\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 11852 bytes |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 28 Gen 2008 21:23 Oggetto: |
|
|
| Venere80 ha scritto: | Rieccomi Sante.
Come mi avevi detto tu ho disattivato attiva compressione modem, ma il rapporto tra dati inviati e ricevuti è cambiato di poco. All' inizio leggero miglioramento, ma durante la navigazione la compressione arriva al 14%.
Io questi dati non li ho mai avuti
Deve esserci qualcosa con IE, infatti ho fatto una scansione con Hijackthis ed ho notato alla voce R0 due Main page su Internet Explorer identiche
Ti ho inviato anche la scansione di Hiajckthis. |
Il log di HJT è pulito; Le voci R0, R1, R2 e R3, di HJT indicano che sono state cambiate le impostazioni di IE, ma nel tuo caso non contengono valori aggiuntivi, quindi ritengo che non sono pericolose. Se vuoi comunque le puoi eliminare con HJT. Per il modem presumo sia ADSL, quindi la compressione dei dati si attiva automaticamente e sinceramente non so a questo punto se si possa disattivare. Forse è stato sempre così e tu non hai fatto caso.
| Venere80 ha scritto: |
Due giorni fa si sono inseriti tre controlli active x di Java in C:\Windows\Download software che vorrei sottoporti.
Infatti mentre uno presenta un logo apparentemente normale, gli altri due hanno lo scudo giallo con il punto esclamativo (segno di pericolo vero?).
Uno addirittura ha dimensioni 0 byte. |
La versione di Java che hai dovrebbe essere l'ultima e quindi non dovrebbe contenere bug. Se vuoi puoi controllare se esiste una versione più recente da http://java.sun.com/javase/downloads/index.jsp. Ovviamente prima disinstalla quella "vecchia" dal tuo PC;
scorri la pagina fino a trovare "Java Runtime Environment (JRE) 6 (o superiore) Update 2 (o superiore);
The Java SE Runtime Environment (JRE) allows end-users to run Java applications." clicca sul pulsante download e scarica ed installa la nuova versione. Riavvia il pc. Di più non so dirti.
|
|
| Top |
|
|
Venere80
Eroe in grazia degli dei
Registrato: 18/07/07 20:28
Messaggi: 92
|
| Inviato: 29 Gen 2008 02:29 Oggetto: |
|
|
Buongiorno Sante.
Il pc va . E' ritornato (quasi) come prima e questo lo devo a te e ti ringrazio a tremila.
Quelli di java erano aggiornamenti, quindi tutto ok.
L' ultima cosa strana è che da due giorni togliendo un cd normale dal portatile, compare una schermata blu e il pc si riavvia.
Ti ringrazio ancora per il prezioso aiuto che mi hai fornito per risolvere i miei problemi e scusami se ti ho fatte troppe domande. Ciao  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 29 Gen 2008 16:10 Oggetto: |
 |
|
| Venere80 ha scritto: |
L' ultima cosa strana è che da due giorni togliendo un cd normale dal portatile, compare una schermata blu e il pc si riavvia. |
Potrebbe essere difettoso il disco. Lo fa anche con altri CD?. Altrimenti, prima di toglierlo, aspetta che si disconnetta.
| Venere80 ha scritto: |
Ti ringrazio ancora per il prezioso aiuto che mi hai fornito per risolvere i miei problemi e scusami se ti ho fatte troppe domande. Ciao |
Non c'è problema, se hai bisogno fai un fischio...
|
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
