| Precedente :: Successivo |
| Autore |
Messaggio |
romier
Comune mortale
Registrato: 04/02/06 16:25
Messaggi: 3
Residenza: BERGAMO
|
 Inviato: 04 Feb 2006 16:39 Oggetto: sysfader |
 |
|
Ho bisogno di un aiuto urgente vi prego.
Non riesco più ad aprire qualsiasi applicazione tranne quelle che trovo sul desktop.
Quando tento di aprire una qualunque applicazione mi dice che l'istruzione ha fatto riferimento ad uno spazio di memoria che non era written cosa posso fare. come titolo c'è:
"SysFader : explorer.exe-Errore di applicazione "
Vi prego aiutatemi. |
|
| Top |
|
 |
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 04 Feb 2006 17:08 Oggetto: |
|
|
In attesa di migliori lumi (e pure numi  ), di sysfader si era parlato in questa discussione |
|
| Top |
|
|
romier
Comune mortale
Registrato: 04/02/06 16:25
Messaggi: 3
Residenza: BERGAMO
|
| Inviato: 04 Feb 2006 17:29 Oggetto: Il mio log file estratto da hijackthis |
|
|
Logfile of HijackThis v1.99.1
Scan saved at 16.23.58, on 04/02/2020
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\TGVFDMsgservice.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Documents and Settings\Ermanno 1988\Documenti\programmi scaricati da internet\bear\BearShare.exe
C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\winlogin.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\CyberLink\Power2Go\Power2GoExpress.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAV.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\Restore\rstrui.exe
C:\WINDOWS\explorer.exe
C:\Programmi\ZipGenius 6\zipgenius.exe
C:\DOCUME~1\ERMANN~1\IMPOST~1\Temp\ZGTemp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 195.158.171.60 www.file-webber.de
O1 - Hosts: 195.158.171.60 file-webber.de
O1 - Hosts: 195.158.171.60 www.p2p-load.de
O1 - Hosts: 195.158.171.60 p2p-load.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet7_22.dll
O2 - BHO: Various Class - {A8BE1DEA-03DC-4DBB-8A14-8637BFADF85C} - C:\WINDOWS\system32\kaboom.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Programmi\Netcraft Toolbar\nctb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TGX2_VFD] "C:\WINDOWS\system32\TGVFDMsgservice.exe"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Ermanno 1988\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\system32\Winx\SYS3.EXE -n
O4 - HKLM\..\Run: [BearShare] "C:\Documents and Settings\Ermanno 1988\Documenti\programmi scaricati da internet\bear\BearShare.exe" /pause
O4 - HKLM\..\Run: [CaAvTray] "C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Winlogun] C:\WINDOWS\system32\winlogin.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\DOCUME~1\ERMANN~1\DOCUME~1\Musica\gabry\MESSEN~1\ypager.exe" -quiet
O4 - HKCU\..\Run: [Solert] C:\Documents and Settings\Ermanno 1988\Dati applicazioni\version\NvsvSys.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CPRun.lnk = C:\Philips\CPRun.exe
O4 - Startup: Power2Go Express.lnk = C:\Programmi\CyberLink\Power2Go\Power2GoExpress.exe
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\Documents and Settings\Ermanno 1988\Documenti\programmi scaricati da internet\mypriv\PopupBlocker\PopupBlocker.dll (file missing)
O9 - Extra 'Tools' menuitem: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\Documents and Settings\Ermanno 1988\Documenti\programmi scaricati da internet\mypriv\PopupBlocker\PopupBlocker.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Connector - {FFB51760-344E-4FFB-BFFF-4B18C7AC1D63} - C:\WINDOWS\system32\Winx\SYS3.EXE (file missing)
O10 - Hijacked Internet access by New.Net
O15 - Trusted Zone: www.all4internet.biz
O15 - Trusted Zone: www.securize.biz
O15 - Trusted Zone: www.seychelle.biz
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D14A6F9-CE15-49B3-96FE-BEC0997D1DE7}: NameServer = 85.37.17.40 85.38.28.85
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Omniquad MyPrivacy - Unknown owner - C:\Documents and Settings\Ermanno 1988\Documenti\programmi scaricati da internet\mypriv\MyPrivacy\mpsvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe |
|
| Top |
|
|
horus
Macchinista
Registrato: 22/03/05 10:48
Messaggi: 2554
Residenza: Sirio e dintorni
|
| Inviato: 06 Feb 2006 10:58 Oggetto: |
|
|
| Hai provato a disabilitare gli effetti grafici di transizione come suggerito nel messaggio citato da ioSOLOio? Ha funzionato? |
|
| Top |
|
|
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 06 Feb 2006 14:53 Oggetto: Re: Il mio log file estratto da hijackthis |
|
|
| romier ha scritto: | Logfile of HijackThis v1.99.1
Scan saved at 16.23.58, on 04/02/2020
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
[...]
|
qualcosa di dubbio c'è...il winlogin.exe mi lascia perplesso, il resto invece dovrebbe essere collegato a un hijackin e kaboom.dll fa parte di un virus..
Ovviamente nel caso, prendi le dovute precauzioni prima di procedere a cancellare.
| Codice: |
C:\WINDOWS\system32\winlogin.exe
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet7_22.dll
O2 - BHO: Various Class - {A8BE1DEA-03DC-4DBB-8A14-8637BFADF85C} - C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O10 - Hijacked Internet access by New.Net
|
poi di seguito, gli indirizzi risultano nella Trusted Zone, li conosci, li hai messi tu ?
| Codice: |
O15 - Trusted Zone: www.all4internet.biz
O15 - Trusted Zone: www.securize.biz
O15 - Trusted Zone: www.seychelle.biz
|
Infine, sbaglio o non vedo traccia di Firewall? [magari mi è sfuggito]
. |
|
| Top |
|
|
horus
Macchinista
Registrato: 22/03/05 10:48
Messaggi: 2554
Residenza: Sirio e dintorni
|
| Inviato: 06 Feb 2006 15:02 Oggetto: |
|
|
| ioSOLOio ha scritto: | | winlogin.exe mi lascia perplesso |
In effetti sembra trattarsi di randex.e |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 06 Feb 2006 17:15 Oggetto: |
 |
|
Allora, praticamente hai una specie di allevamento 
Hai controllato per caso se il firewall di XP è attivo?
Il mio consiglio è, se puoi, di seguire questa procedura: scaricare 3 software, usarli stando ben disconnesso da Internet e poi ripostare un nuovo log di HijackThis. Scaricali a tempo e poi usane uno alla volta
1) scaricarti Ewido e avviarlo dopo aggiornamento. E' gratis per 30 giorni: http://www.ewido.net/en/ Cancella tutto quello che ti propone
2) Scaricati la Suite Regrun Platinum della greatis. Di questa utilizza anche l'opizione Unhackme contro i rootkit. Anche di questa cancella tutto quello che ti propone. http://www.greatis.com/security/download.htm
3) Scaricati Vundofix | Citazione: | doppio click su VundoFix.exe
Metti la spunta nella casella "Run VundoFix as a task"
Adesso riceverai un messaggio che Vundo Fix si chiuderà e aprirà(da solo) in un minuto o anche meno clicca su OK
Una volta che si è riaperto clicca su "Scan for Vundo" finita la scansione clicca su "Remove Vundo"
Riceverai il messaggio se vuoi eliminare i files clicca su Yes
Il desktop scomparirà o diventerà bianco è normale
Finito ti chiederà di riavviare clicca su OK
Al riavvio apri C:\ e dovresti trovare il file vundofix.txt
|
Poi riavvia e posta qui il log c:\vundofix.txt e uno nuovo di HijackThis.
Con solo HijackThis la vedo moooolto dura  , ma se vuoi provare...
Stampati queste informazioni e poi disconnettiti da internet
- Vai nel pannello di controllo\Installazione applicazioni e cerca la voce relativa a New.net. Se la trovi seleziona disinstalla
- Riavvia in modalità provvisoria. Devi disabilitare prima il "Ripristino di Configurazione"
| Citazione: | * Right click the My Computer icon on the Desktop and click on Properties.
* Select the System Restore tab.
* Tick the Turn off System Restore on All Drives box. |
- avvia Hijackthis e premi fix su queste voci:
| Citazione: | O1 - Hosts: 195.158.171.60 www.file-webber.de
O1 - Hosts: 195.158.171.60 file-webber.de
O1 - Hosts: 195.158.171.60 www.p2p-load.de
O1 - Hosts: 195.158.171.60 p2p-load.de
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet7_22.dll
O2 - BHO: Various Class - {A8BE1DEA-03DC-4DBB-8A14-8637BFADF85C} - C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [TGX2_VFD] "C:\WINDOWS\system32\TGVFDMsgservice.exe"
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Ermanno 1988\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\system32\Winx\SYS3.EXE -n
O4 - HKLM\..\Run: [Winlogun] C:\WINDOWS\system32\winlogin.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [Solert] C:\Documents and Settings\Ermanno 1988\Dati applicazioni\version\NvsvSys.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Connector - {FFB51760-344E-4FFB-BFFF-4B18C7AC1D63} - C:\WINDOWS\system32\Winx\SYS3.EXE (file missing)
O10 - Hijacked Internet access by New.Net
O15 - Trusted Zone: www.all4internet.biz
O15 - Trusted Zone: www.securize.biz
O15 - Trusted Zone: www.seychelle.biz |
- Elimina tutti gli exe, e le dll di cui sopra. Dovrai abilitare la visualizzazione dei file nascosti e di sistema | Citazione: | * Click Start.
* Open My Computer.
* Select the Tools menu and click Folder Options.
* Select the View Tab.
* Under the Hidden files and folders heading select Show hidden files and folders.
* Uncheck the Hide protected operating system files (recommended) option.
* Click Yes to confirm.
* Click OK. |
NON eliminare TGVFDMsgservice.exe Su questo non ho informazioni, quindi per ora non eliminarlo. Caricalo su http://virusscan.jotti.org/ e fallo controllare. Ad eliminarlo (ed eventualmente ripristinare la chiave, fai sempre in tempo.
-elimina queste cartelle e tutto il loro contenuto:
| Citazione: | NewDotNet (C:\Programmi\)
sgrunt (C:\Documents and Settings\Ermanno 1988\Dati applicazioni)
Winx (C:\WINDOWS\system32) |
- riavvia in modalità normale, scaricati Deldomains.inf. Cliccaci sopra con il tasto destro e seleziona "Installa".
- Svuota il cestino e la cache di Internet Explorer e poi posta un nuovo log aggiornato. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
