| Precedente :: Successivo |
| Autore |
Messaggio |
light
Eroe in grazia degli dei
Registrato: 23/11/07 00:29
Messaggi: 115
Residenza: Provincia Udine
|
 Inviato: 23 Nov 2007 01:00 Oggetto: Win Agent 32 e altri |
 |
|
Ciao a tutti ultimamente mi stanno succedendo un po di cose strane al computer. da un pò di giorni vi ho scoperto è vorrei sottoporvi il problema del mio computer. A parte che siete in gamba e prima di scrivervi o letto tutto e ho imparato molto. (Prima non sapevo neanche che esistesse HijackThis!!).Ho un xp da 80 Gb, libero al 60 % come firewall ho Zonealarm, spybot come spyware e avast come antivurus. Avast mi ha trovato due virus trojan che non avendo disattivato ripristino configurazione di sistema e non avendo fatto lo scan in modalità provvisoria si saranno rigenerati sotto altro nome. Avast ha trovato Win 32 agent -LTS (trj) VPS-071114-0 e Win 32 Trojan-Gen (Other) VPS-07118-2. Uno il 14 e il secondo il 18 11 2007, + un certo Zlob.downloader (questo con SpyBot). Una volta individuati soprattutto i 2 win 32 avast mi dice : cosa vuoi fare? Rinaminarli, cancellarli...o buttarli nel cestino? Buttali nel cestino. Il computer di punto in bianco si BLOCCA e fa il riavvio da solo. Quando gli ho detto di cancellarli (perche ho fatto un'altro scan)non si è bloccato. A parte questo il computer si è rallentato leggermente (Ho fatto un giro con ccleaner), quando apro un qualsiasi documento di word e incollo dalla rete quello che mi serve (notizie, argometi ect..) si impianta tutto e mi dice che l'applicazione non risponde, meglio chiuderla. Inoltre da un mesetto quando apro programmi normalissimi come HP Photosmart essential si apre la finestra di Protezione Esecuzione Programmi che mi dice che il programma per sicurezza non è stato aperto. Nella lista di Prot. Esec. Programmi ci sono a2service.exe, Esplora Risorse, GLB42.tmp, GLB76.tmp, Goldwave, Photosmart di cui dicevo prima e stopdialers che l'ho tirato giù due giorni fa (neanche usato). Non uso Internet Explorar e la sua posta da una vita , al loro posto Mozilla con Foxmail. E' la prima volta che entro in un forum e vi posterei gia il risultato di HijackThis se volete. Se qualcuno mi risponde lo ringrazio enormemente. Per me il mio computer ha un bel po di problemi. Voi cosa ne pensate? Questo il Log
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.25.49, on 22/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\Documents and Settings\Piero\Documenti\A-Programs\Eraser\eraser.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\HijackThis v.2\HiJackThis_v2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Web Accelerator\PBHelper.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKCU\..\Run: [Eraser] C:\Documents and Settings\Piero\Documenti\A-Programs\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Unknown owner - C:\Programmi\a-squared Free\a2service.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 6031 bytes
 |
|
| Top |
|
 |
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 23 Nov 2007 08:07 Oggetto: |
|
|
Segui alla lettera questo post per postare i logs di GMER, Attenzione, è importante farli entrambi!
Se vuoi qui ti puoi presentare a tutto l'Olimpo! |
|
| Top |
|
|
light
Eroe in grazia degli dei
Registrato: 23/11/07 00:29
Messaggi: 115
Residenza: Provincia Udine
|
| Inviato: 24 Nov 2007 22:08 Oggetto: |
|
|
ciao ste_95 grazie di avermi dato il primo input per aiutarmi. Scusa il ritardo per il post di gmer. Adesso 20.45 sta ancora facendo il secondo passaggio. Cosi' ho impararto a usare sia HijackThis che Gmer. Prima di postarteli ti devo dire che ho disinstallato la vecchia versione di Spybot 1.4 e installato la nuova 1.5 con i relativi aggiornamenti. Fatto uno scan in modalità provvisoria disattivando "ripristino configurazione di sistema su tutte le unità" . Resultato : il computer è Ok. E io : impossibile  Stesso discorso per avast sempre seguendo gli stessi parametri. Ho fatto anche uno scan on line con Ewido  Da piangere perche mi ha detto che il mio computer è a posto. Io ho usato ewido freeware ovviamente un bel po di tempo fa e...non mi sono assolutamente trovato bene contento di non usarlo più. Diceva che era sempre tutto a posto. Invece postando il risultato che hai visto di Hijackthis nel sito omonimo mi ha detto che dovevo cancellare...siccome non ciò capito niente sono venuto da Voi di Zeus.
Ecco i risultati del 1 e 2 passaggio:
Gmer 1.txt
e Gmer 2.txt |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 24 Nov 2007 22:36 Oggetto: |
|
|
Benvenuto anche da parte mia light 
| Citazione: | | Da piangere perche mi ha detto che il mio computer è a posto |
è molto raro incontrare qualcuno che si dispiaccia di non avere malware nel Pc 
sono puliti anche entrambi i log di Gmer.
Se proprio vuoi stare tranquillo, fai la scansione on-line con Kaspersky e postaci il risultato  |
|
| Top |
|
|
light
Eroe in grazia degli dei
Registrato: 23/11/07 00:29
Messaggi: 115
Residenza: Provincia Udine
|
| Inviato: 24 Nov 2007 23:12 Oggetto: |
|
|
| Orange ha scritto: | Benvenuto anche da parte mia light
| Citazione: | | Da piangere perche mi ha detto che il mio computer è a posto |
è molto raro incontrare qualcuno che si dispiaccia di non avere malware nel Pc
sono puliti anche entrambi i log di Gmer.
Se proprio vuoi stare tranquillo, fai la scansione on-line con Kaspersky e postaci il risultato |
Ciao Orange grazie del benvenuto e della risposta, un saluto e un benvenuto anche a te. Per quanto riguarda la frase "Da piangere...i think the problem is another. Il problema secondo me è che qualcosa c'è ma non si fa vedere. Purtroppo. Non sono dispiaciuto di non aver nessun file infetto. Anzi dopo la tua risposta sono ancora piu' contento di essere light 
ossia di non aver nessun virus, worm and so on...a parte che tutti i virus che ho trovato erano in C/Documents & Settings.
Per quanto riguarda karpesky volevo fare lo scan anche con lui però io sono on line con Mozilla, devo entrare con Intern explorer che non lo uso minimo da 5 anni? Vabbè se mi dici di si, faremo anche quello.. Come mai avast in modalità normale mi ha trovato i virus mentre in modalità provvisoria no? In più una volta disinstallato il vecchio Spybot sono andato (era un pò che non ci andavo) in registro di sistema per assicurarmi che fosse completamente disinstallato. E trovo una marea di siti rossi (SiteAdvisor conosci no ???) in Hkey_Current_User/Software/Microsoft/Current version/Internet Settings/Zone Maps/Domains. Posso cancellarli? Il valore di questi siti è REG_DWORD 0x00000004(4) A parte che non capisco cosa voglia dire questo REG... |
|
| Top |
|
|
light
Eroe in grazia degli dei
Registrato: 23/11/07 00:29
Messaggi: 115
Residenza: Provincia Udine
|
| Inviato: 25 Nov 2007 00:29 Oggetto: |
 |
|
| Orange ha scritto: | Benvenuto anche da parte mia light
sono puliti anche entrambi i log di Gmer.
Se proprio vuoi stare tranquillo, fai la scansione on-line con Kaspersky e postaci il risultato |
Cara Orange volevo farti un'altra domanda . Perchè se apro alcuni dei programmi su citati tipo Hp Phosmart Essential, Goldwave mi si apre Protezione esecuzione programmi  e mi dice "per facilitare la protezione del computer, il programma e stato chiuso " Poi gli dico Cambia Impostazioni e si apre una finestra che mi da due opzioni 1) Attiva Prot Esec. Program solo per i programmi e i servizi essenziali di windows (se la evidenzio scompare la lista dei programmi famosi) 2) Attiva Prot Esec. Program per tutti i programmi e i servizi tranne quelli selezionati e qui mi fa la lista famosa dove c'e Hp Photosmart Essential...GLB42.tmp e GLB76.tmp . Se spunto uno di questi programmi me lo apre. Quindi non me lo protegge più e allora potrebbe essere preso di mira da quel virus o quei virus o cosa per il quale prima non me lo ha fatto aprire. Sbaglio ?  Se non spunto il programma che c'e nella lista e gli do OK la risposta è : Si è verificato un errore in HPPhotosmart...l'applicazione verrà chiusa. e poi ti dice se vuoi segnalare l'errore on line. Per questo la frase famosa .....perchè mi sembra strano che sia tutto a posto. Poi se è veramente tutto a posto sono l'uomo più contento del pianeta.  Aspetto una tua risposta. Ciao |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
