Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
RasApi32.dll (Trojan.Win32.Agent.amf)
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 15:17    Oggetto: Rispondi citando

e allora che faccio?
ma va bene il log di hijackthis?
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 15:27    Oggetto: Rispondi citando

Scusatemi,avevate ragione il log era stato copiato solo a metà,ora vi riporto di seguito il log completo,grazie.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.41.08, on 17/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\cartella hijackthis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)

--
End of file - 3215 bytes
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 12:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 17 Nov 2007 15:45    Oggetto: Rispondi citando

ciao david76 e benvenuto anche da parte mia. Smile

il Log HJT mi sembra pulito.
domanda: avevi già fatto i passaggi descritti in quel thread? (quelli di sostituire il file rasapi32.dll infetto con uno pulito, per capirci..)
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 16:12    Oggetto: Rispondi citando

si,solo che ora quando apro alice adsl mi da questo messaggio:impossibile trovare il punto d'ingresso RasfreshKerbCreds della procedura nella libreria di collegamento dinamico rasman.dll
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14252
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 17 Nov 2007 16:42    Oggetto: Rispondi citando

Il problema è dato dal fatto che il file RASAPI32.DLL che hai installato è per XP Service Pack 2, mentre tu hai installato solo il Service Pack 1.

Primo consiglio:
Scarica e installa il service pack 2 prima possibile, mi raccomando!!! Old

Poi, prova questa procedura:
ab12c3 ha scritto:
SOLUZIONE SUGGERITAMI (che ho eseguito):
verificare con una ricerca su C: e sue sottocartelle se cercando il nomefile "rasapi*.*" ne uscivano più ricorrenze; in caso positivo queste dovevano essere "quanto meno" le seguenti:

- rasapi32.dl_ : file di tipo compresso, mi hanno spiegato, da conservare;
- rasapi32.dll : nella cartella c:\windows\sistem32\ ; potenziale file inserito dal virus con lo stesso nome e al posto del file Windows originale;
- rasapixxxx.dll : nella stessa cartella system32; dove xxxx sta per un numero diverso dall'originale "32": io avevo un "rasapi86.dll"
- eventuali altri "rasapi32".

Dunque il rasapi32 corretto era stato rinominato a rasapi86 (per questo motivo le chiamate al file Windows originale andavano a vuoto) e al suo posto c'era un rasapi32 "fasullo" e di DIMENSIONI DIVERSE da quello rinominato "...86" dal virus; gli altri falsi rasapi32 si riconoscevano anche perchè avevano le stesse dimensioni di quello infilato dal virus in system32 !

Gli ulteriori falsi rasapi32, nel mio caso, stavano in 2 sottocartelle di system32, nel cui path comparivano "ntuninstall" e "softwaredownload".

A questo punto, in linea logica bastava cancellare i falsi rasapi32 e rinominare il rasapi86 a rasapi32. Tuttavia, essendo facilmente alcuni di questi file in uso da qualche processo, il modo più certo di eliminarli che mi hanno indicato è:

- fare un riavvio del PC
- andare in modalità manutenzione premendo F8 appena il PC riparte
- dalla schermata che compare scgliere "modalità provvisoria con prompt dei comandi" (alcuni PC danno modo di scegliere subito la modalità DOS, il mio no, ad es.)
- scegliere il sistema operativo con cui si vuole operare in provvisoria nel caso mio solo Windows XP (non ho l'opzione DOS)
- eventualmente riaccertarsi della posizione dei diversi rasapi tramite comando "dir rasapi*.* /s"
- fare erase dei rasapi32.dll nelle varie cartelle in cui compaiono (NON VA FATTO INVECE ERASE DI "rasapi32.dl_")
- fare rename di rasapixxxx in rasapi32 nella sottocartella system32 (nel mio caso era rasapi86, ma può essere un numero diverso ! )
- riavviare il sistema in modalità normale
- nel mio caso le Connessioni di Rete erano nuovamente funzionanti e non ho neppure dovuto ridefinire le connesisoni ai diversi provider, le ho ritrovate intatte come prima del guasto.

Spero sia utile, auguri a tutti --- ab12c3

Se ci sono dei passaggi poco chiari, chiedi pure. Wink
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 17:37    Oggetto: Rispondi citando

Grazie,adesso provo a eseguire i vostri suggerimenti.
Grazie
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14252
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 18 Nov 2007 08:35    Oggetto: Rispondi citando

Una volta che hai finito con quei passaggi, collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 18 Nov 2007 11:15    Oggetto: Rispondi citando

Intanto vorrei ringraziarvi per la vostra disponibilità.Di quei passaggi ho fatto solo il primo,cioè ho scaricato il servicepack2 e l' ho installato.Ora che il problema sembra risolto devo fare lo stesso il secondo passaggio?
Grazie ancora.
Top
Profilo Invia messaggio privato
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 13:41
Messaggi: 1920
Residenza: Italy

MessaggioInviato: 18 Nov 2007 11:22    Oggetto: Rispondi citando

per sicurezza sarebbe bene di si...non è comunque essenziale..come vuoi tu
Top
Profilo Invia messaggio privato HomePage
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 18 Nov 2007 11:52    Oggetto: Rispondi citando

Sinceramente ho provato, ho cliccato F8 all' avvio del computer ho seguito le tue ulteriori indicazioni solo che non ho capito bene il passaggio di rinominazione del file infetto.Scusa la mia ignoranza ma potresti spiegarmelo più semplicemente?Grazie ancora.
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 18 Nov 2007 11:56    Oggetto: Rispondi citando

precisamente la fase del riaccertamento del file.dove digito quel comando?e la fase dell'erase.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14252
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 18 Nov 2007 12:00    Oggetto: Rispondi citando

Se hai installato il Service Pack2 dovrebbe aver sostituito il file infetto.
Quindi, il secondo passaggio non dovrebbe servire. Tanto più, mi pare di capire, che il problema non lo riscontri più. Sbaglio? Razz

Fai la scansione con Kaspersky per un ulteriore controllo. ok? Wink
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 18 Nov 2007 12:10    Oggetto: Rispondi citando

si il problema sembra risolto.Ora il punto è un'altro,in questo momento sono collegato con voi tramite un fisso.Il mio problema era sul portatile.Per effettuare la scansione on line dovrei staccare questo dal modem e attaccare il portatile.Dato che ho la flat e ho due modem di telecom posso attaccarmi contemporaneamente da un'altra presa telefonica e navigare contemporaneamente con due modem separati sia col fisso che col portatile?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14252
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 18 Nov 2007 12:14    Oggetto: Rispondi citando

Non credo proprio che sia possibile. Think
Puoi farlo solo se usi un router e colleghi i 2 pc al router. (da quel che so io)

Per questo genere di informazioni dovrai rivolgerti alla sezione apposita. Razz
Top
Profilo Invia messaggio privato
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 13:41
Messaggi: 1920
Residenza: Italy

MessaggioInviato: 18 Nov 2007 12:17    Oggetto: Rispondi citando

si è evro..

forse se fai passare il 2 pc dal primo che è collegato a internet riesci...
Top
Profilo Invia messaggio privato HomePage
TIGROTTOSOLITARIO
Comune mortale
Comune mortale


Registrato: 19/11/07 10:27
Messaggi: 3
Residenza: foggia

MessaggioInviato: 19 Nov 2007 10:59    Oggetto: Rispondi citando

POVERO COGNATINO , ANCORA NON RISOLVI IL TUO PROBLEMA ? SEI PROPRIO UN COMBINAGUAI Very Happy DOMENICA PORTALO DA TUO PADRE IL PORTATILE CHE L OVEDO UN Pò IO ,SALUTAMI SASI tanti bacini da DORIS ciao ciao.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14252
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 19 Nov 2007 11:07    Oggetto: Rispondi citando

Ciao TIGROTTOSOLITARIO, Ciao

mi pare di capire che conosci david76, per i commenti personali puoi rivolgerti direttamente a lui tramite un (Messaggio Privato).
Per cortesia, non scrivere in maiuscolo, per convenzione equivale a gridare.

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
TIGROTTOSOLITARIO
Comune mortale
Comune mortale


Registrato: 19/11/07 10:27
Messaggi: 3
Residenza: foggia

MessaggioInviato: 20 Nov 2007 16:32    Oggetto: Rispondi

ragazzi state tranquilli , il problema del modem glielo sistemato io ieri sera per telefono, voleva usare il modem del pc fisso mentre sul portatile aveva installato un altro modem che non usava più, e per quanto riguarda i due modem può risolverlo solo con un router in quanto l'adsl dà l'accesso alla rete solo in un modem nell'appartamento e non alle altre prese , e quindi dando il punto d'accesso al router sarà lui stess oche espanderà l'accesso a più pc ,cmq in un altra sessione avrò io un problema da risolvere non riesco a completare l'installazione del service pack 1 di windows mentre s iavvia ad un certo punto non completa l'installazione.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi