Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
L'invasione dei popup
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 06 Lug 2007 23:41    Oggetto: L'invasione dei popup Rispondi citando
Ciao a tutti. E' quasi un mese che combatto con fastidiosi popup che si aprono ogni volta che avvio IE o Firefox e la maggior parte riportano nell'url la dicitura riferente all'indirizzo DADA.net. Purtroppo il mio pc è utilizzato anche da altre persone e quindi non ho sempre modo di verificare quale utilizzo se ne faccia e ultimamente sto cercando di far pulizia di tutti quei files nocivi e spyware che continuo a trovare. Utilizzo un antivirus a mio avviso ottimale qual è il NOD e sistematicamente, vista l'attività sul mio pc, controllo sempre con antivirus e Spyware search se vi siano allocate forme di malware o altro, solo che di questi popup non so cosa farmene.
Ho utilizzato HijackThis.exe ma non sono molto pratica nell'individuazione di files benigni da quelli maligni quindi vi pregherei se mi deste una mano a capire dal log che riporto quali voci fixare in modo da eliminare una volta per tutte questi fastidiosi popup pubblicitari.

Logfile of HijackThis v1.99.1
Scan saved at 23:37:43, on 06/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ITE\Smart Guardian\ITESmart.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\GetRight\getright.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\javaw.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.BIN
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Silicon Image\Java SATARaid\SiITray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
E:\Backup\backups\File ricevuti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Programmi\BitDownload\TorrentManager.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmartSpeed] C:\Program Files\Smart-Speed\SmartSpeed2.0.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [Steam] "c:\programmi\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hide IP Platinum] C:\Programmi\Hide IP Platinum\hideippla.exe
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linkprd.exe /res
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: Java SATARaid.lnk = C:\Programmi\Silicon Image\Java SATARaid\run.bat
O4 - Global Startup: NOD32 FiX.lnk = C:\WINDOWS\system32\regedt32.exe
O8 - Extra context menu item: Download with GetRight Pro - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134115198562
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D58FDC0F-6363-449F-96F1-5A001BD5FAC5}: NameServer = 212.216.112.112
O17 - HKLM\System\CS1\Services\Tcpip\..\{75730EB9-6B4E-47A8-92C2-12ACA8578606}: NameServer = 212.216.112.112
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
Top
Profilo Invia messaggio privato
MK66
Moderatore Sistemi Operativi
Moderatore Sistemi Operativi


Registrato: 17/10/06 23:24
Messaggi: 8634
Residenza: dentro una cassa sotto 3 metri di terra...
MessaggioInviato: 07 Lug 2007 00:52    Oggetto: Re: L'invasione dei popup Rispondi citando
Mysteria ha scritto:
Ciao a tutti. E' quasi un mese che combatto con fastidiosi popup che si aprono ogni volta che avvio IE o Firefox e la maggior parte riportano nell'url la dicitura riferente all'indirizzo DADA.net.

Ciao, io non sono in grado di controllare il log di HJT quindi lo lascero' fare a chi sa individuare li dentro tracce di ospiti sgraditi... ma se il problema sono i pop-up, forse si puo' porre rimedio anche senza passare da HJT: hai gia' provato a bloccare i pop-up direttamente da IE e FF?

Mysteria ha scritto:
Purtroppo il mio pc è utilizzato anche da altre persone e quindi non ho sempre modo di verificare quale utilizzo se ne faccia e ultimamente sto cercando di far pulizia di tutti quei files nocivi e spyware che continuo a trovare. Utilizzo un antivirus a mio avviso ottimale qual è il NOD e sistematicamente, vista l'attività sul mio pc, controllo sempre con antivirus e Spyware search se vi siano allocate forme di malware o altro, solo che di questi popup non so cosa farmene.

Per questo, hai gia' provato a logarti tu come Admin e fare in modo che chiunque altro si possa logare solo come utente normale, con permessi limitati, e magari con alcune restrizioni sulle possibilita' di navigazione...

Mysteria ha scritto:
Ho utilizzato HijackThis.exe ma non sono molto pratica nell'individuazione di files benigni da quelli maligni quindi vi pregherei se mi deste una mano a capire dal log che riporto quali voci fixare in modo da eliminare una volta per tutte questi fastidiosi popup pubblicitari.

Qua lascio la parola agli esperti...
Top
Profilo Invia messaggio privato HomePage
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 00:58    Oggetto: Rispondi citando
Citazione:
hai gia' provato a bloccare i pop-up direttamente da IE e FF?


Si già provato ma non ha funzionato, in compenso se ne sono attivate altre nuove Mad

Citazione:
Per questo, hai gia' provato a logarti tu come Admin e fare in modo che chiunque altro si possa logare solo come utente normale, con permessi limitati, e magari con alcune restrizioni sulle possibilita' di navigazione...


Non posso precludere l'uso del pc ad altri utenti perchè seppure di mia proprietà c'è una condivisione di interessi. Rolling Eyes
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Lug 2007 09:16    Oggetto: Rispondi citando
Avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
Citazione:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SmartSpeed] C:\Program Files\Smart-Speed\SmartSpeed2.0.exe <--(questo non spuntarlo se sai cos'è)
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linkprd.exe /res

clicca fix checked
Riavvia il pc, rifai il log di hijackthis e postalo

Per sicurezza, carica il file C:\WINDOWS\system32\javaw.exe su http://www.virustotal.com

Poi esegui anche questi passaggi:
passaggio 1
passaggio 2
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 10:40    Oggetto: Rispondi citando
Ok grazie dell'aiuto ecco il nuovo log:

Logfile of HijackThis v1.99.1
Scan saved at 10:37:28, on 07/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ITE\Smart Guardian\ITESmart.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Winamp\winampa.exe
C:\programmi\steam\steam.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\GetRight\getright.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\javaw.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.BIN
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Silicon Image\Java SATARaid\SiITray.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Backup\backups\File ricevuti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Programmi\BitDownload\TorrentManager.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmartSpeed] C:\Program Files\Smart-Speed\SmartSpeed2.0.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [Steam] "c:\programmi\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hide IP Platinum] C:\Programmi\Hide IP Platinum\hideippla.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: Java SATARaid.lnk = C:\Programmi\Silicon Image\Java SATARaid\run.bat
O4 - Global Startup: NOD32 FiX.lnk = C:\WINDOWS\system32\regedt32.exe
O8 - Extra context menu item: Download with GetRight Pro - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134115198562
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D58FDC0F-6363-449F-96F1-5A001BD5FAC5}: NameServer = 212.216.112.112
O17 - HKLM\System\CS1\Services\Tcpip\..\{75730EB9-6B4E-47A8-92C2-12ACA8578606}: NameServer = 212.216.112.112
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

ora faccio anche il resto consigliato Razz

PS.: Si so cos'è smartspeed Wink ehm... proprio in questo momento si è riaperto un nuovo popup Sad
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 10:51    Oggetto: Rispondi citando
Ed ecco lo scanning del "javaw.exe_"

STATUS: FINISHEDComplete scanning result of "javaw.exe_", received in VirusTotal at 07.07.2007, 10:41:57 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.7.0 07.06.2007 no virus found
AntiVir 7.4.0.39 07.06.2007 no virus found
Authentium 4.93.8 07.07.2007 no virus found
Avast 4.7.997.0 07.06.2007 no virus found
AVG 7.5.0.476 07.06.2007 no virus found
BitDefender 7.2 07.07.2007 no virus found
CAT-QuickHeal 9.00 07.06.2007 no virus found
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.07.2007 no virus found
eSafe 7.0.15.0 07.06.2007 no virus found
eTrust-Vet 30.8.3769 07.07.2007 no virus found
Ewido 4.0 07.07.2007 no virus found
FileAdvisor 1 07.07.2007 no virus found
Fortinet 2.91.0.0 07.07.2007 no virus found
F-Prot 4.3.2.48 07.06.2007 no virus found
F-Secure 6.70.13260.0 07.06.2007 no virus found
Ikarus T3.1.1.8 07.07.2007 no virus found
Kaspersky 4.0.2.24 07.07.2007 no virus found
McAfee 5069 07.06.2007 no virus found
Microsoft 1.2704 07.07.2007 no virus found
NOD32v2 2383 07.06.2007 no virus found
Norman 5.80.02 07.06.2007 no virus found
Panda 9.0.0.4 07.07.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.07.2007 no virus found
Symantec 10 07.07.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 no virus found
VBA32 3.12.0.2 07.07.2007 no virus found
VirusBuster 4.3.23:9 07.06.2007 no virus found
Webwasher-Gateway 6.0.1 07.07.2007 no virus found


Aditional Information
File size: 135168 bytes
MD5: 0efff9a6526b9edbda1bca9b1f6d175a
SHA1: 2b287528ff45182f1d7937288fc775f50b5a81a8

Pulito mi sembra... solo che i popup continuano ad aprirsi.. meno di prima ma ci sono ancora.
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 10:57    Oggetto: Rispondi citando
Ecco il log di Find AWF:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 11:11    Oggetto: Rispondi citando
Ecco i link di GMER:

1. link

2. link

Nel secondo caso al termine della scansione mi ha avvisato che GMER ha riscontrato un malfunzionamento di rootkit. Shocked

Penso non debba fare altro. Comunque volevo aggiungere che allo scanning del NOD molti file non vengono aperti perchè "bloccati" ([4] Il file non può essere aperto. E' in uso esclusivo da parte di un'applicazione o del sistema), fino a poco tempo fa quando avviavo la scansione addirittura il NOD si impuntava e mi toccava spegnere il computer e riavviarlo. Poi ho scoperto che cancellando alcuni di questi file bloccati la scansione riprendeva il suo corso. In ultimo ho fatto l'ultima scansione dell'antivirus proprio ieri sera e il NOD ha rilevato un virus che ha messo in quarantena:

E:\RECYCLER\S-1-5-21-1708537768-854245398-839522115-1003\Dd5.exe »NSIS »ShprRprtHbt.exe »NSIS»ShprRprt.dll - Win32/Adware.HotBar applicazione

Solo che non so se una volta in quarantena possa tornare poi a far danni. Io però non so come accedervi eventualmente per cancellarlo.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Lug 2007 11:25    Oggetto: Rispondi citando
Scarica questo e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Files to delete:
C:\WINDOWS\Prefetch\JFYHDB.EXE-233D0865.pf
C:\WINDOWS\system32\jfyhdb.dat
C:\WINDOWS\system32\jfyhdb.exe
C:\WINDOWS\system32\jfyhdb_nav.dat
C:\WINDOWS\system32\jfyhdb_navps.dat

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | jfyhdb

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato con un log di hijackthis aggiornato.

L'ultima modifica di bdoriano il 07 Lug 2007 11:29, modificato 1 volta
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Lug 2007 11:29    Oggetto: Rispondi citando
Mysteria ha scritto:
Comunque volevo aggiungere che allo scanning del NOD molti file non vengono aperti perchè "bloccati" ([4] Il file non può essere aperto. E' in uso esclusivo da parte di un'applicazione o del sistema)

In teoria, dovrebbero essere solo i files in uso al sistema operativo o a eventuali programmi aperti.
La scansione è consigliabile farla, chiudendo tutte le altre applicazioni.
Mysteria ha scritto:
E:\RECYCLER\S-1-5-21-1708537768-854245398-839522115-1003\Dd5.exe »NSIS »ShprRprtHbt.exe »NSIS»ShprRprt.dll - Win32/Adware.HotBar applicazione

Dovrebbe essere nel cestino, basta svuotarlo.

Adesso, però, risolviamo un problema alla volta, ok? Wink
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 11:38    Oggetto: Rispondi citando
Questo il log di AVENGED:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bxohlwmh

*******************

Script file located at: \??\C:\Documents and Settings\kgrgnbdw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Prefetch\JFYHDB.EXE-233D0865.pf deleted successfully.
File C:\WINDOWS\system32\jfyhdb.dat deleted successfully.
File C:\WINDOWS\system32\jfyhdb.exe deleted successfully.
File C:\WINDOWS\system32\jfyhdb_nav.dat deleted successfully.
File C:\WINDOWS\system32\jfyhdb_navps.dat deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|jfyhdb deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 11:39    Oggetto: Rispondi citando
Questo quello di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:38:58, on 07/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ITE\Smart Guardian\ITESmart.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Winamp\winampa.exe
C:\programmi\steam\steam.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\GetRight\getright.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\javaw.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.BIN
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Silicon Image\Java SATARaid\SiITray.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Backup\backups\File ricevuti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Programmi\BitDownload\TorrentManager.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmartSpeed] C:\Program Files\Smart-Speed\SmartSpeed2.0.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [Steam] "c:\programmi\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hide IP Platinum] C:\Programmi\Hide IP Platinum\hideippla.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: Java SATARaid.lnk = C:\Programmi\Silicon Image\Java SATARaid\run.bat
O4 - Global Startup: NOD32 FiX.lnk = C:\WINDOWS\system32\regedt32.exe
O8 - Extra context menu item: Download with GetRight Pro - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134115198562
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D58FDC0F-6363-449F-96F1-5A001BD5FAC5}: NameServer = 212.216.112.112
O17 - HKLM\System\CS1\Services\Tcpip\..\{75730EB9-6B4E-47A8-92C2-12ACA8578606}: NameServer = 212.216.112.112
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Lug 2007 11:48    Oggetto: Rispondi citando
Ok! Wink
Sembra tutto a posto.
Fai una scansione online con Kaspersky (utilizza IE). Salva la scansione in un file e caricalo su http://www.freefilehosting.net posta qui il link.
Ti consiglio anche di cambiare firewall, Sygate non viene più aggiornato da parecchio tempo. Guarda qui per altri firewall.
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 11:55    Oggetto: Rispondi citando
Grazie mille! Speriamo non debba di nuovo metterci le mani anche se ne dubito Crying or Very sad

Per quanto riguarda la sansione con il NOD di solito chiudo sempre tutti i processi prima di avviarlo ecco perchè quei file che non si aprono mi sembrano strani oltretutto sono file che non adopero da parecchio, forse il problema è che siano obsoleti?

Tra l'altro mi si era formata una cartella di backup con file strani in una sottocartella inutilizzata, l'ho scoperto per caso perchè l'avevo appena aperta e l'ho cancellata.

Per il resto si credo sia tutto a posto e ti ringrazio per il consiglio provvederò subito ad aggiornare il firewall anche se usando fw in parte dovrebbe bastare Wink
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Lug 2007 12:02    Oggetto: Rispondi citando
Mi raccomando, fai la scansione con kaspersky online. Old
Per quanto riguarda i files obsoleti, carica il log di nod32 su http://www.freefilehosting.net e posta qui il link.
Così gli diamo un'occhiata. Read
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 12:20    Oggetto: Rispondi citando
Questo il rapporto con la scansione di NOD fatta ieri:

link

Per quanto riguarda Kaspersky sta ancora terminando lo scan Wink
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Lug 2007 12:29    Oggetto: Rispondi citando
Allora, i seguenti files:
Citazione:
C:\Documents and Settings\Cristina\NTUSER.DAT - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\Cristina\ntuser.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\Cristina\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\Cristina\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - errore durante l'apertura del file (accesso negato) [4]
C:\WINDOWS\system32\config\default - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\default.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\SAM - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\SAM.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\SECURITY - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\software - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\software.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\system - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\system.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\drivers\dtscsi.sys - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\drivers\sptd.sys - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\drivers\sptd3645.sys - errore durante l'apertura del file (il file è bloccato) [4]

Dovrebbero essere in uso del sistema operativo, quindi è normale che siano bloccati.
Gli altri, per la maggior parte, sembrano in uso di Messenger (che probabilmente era avviato).
Durante la prossima scansione con NOD, prova a chiudere anche messenger. Non ti deve comparire l'iconcina nella tray bar (vicino all'orologio, per intenderci). Smile
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 12:33    Oggetto: Rispondi citando
Benissimo, infatti mi sa che mi ero dimenticata proprio msn Embarassed

Grazie ancora per l'aiuto sei stato molto utile e tempestivo Wink

Alla prossima... ehm... speriamo di no Razz
Top
Profilo Invia messaggio privato
Mysteria
Eroe
Eroe


Registrato: 06/07/07 23:29
Messaggi: 50
MessaggioInviato: 07 Lug 2007 14:20    Oggetto: Rispondi citando
Devo aver parlato troppo presto. Crying or Very sad

Ecco il log di Kaspersky:

link
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Lug 2007 15:59    Oggetto: Rispondi
Tranquilla, nulla di grave. Wink

I files presenti nella cartella C:\Programmi\ESET\infected\ sono files che sono stati isolati dal NOD32. Quindi sono da considerare innocui.
Per eliminare i files presenti in C:\System Volume Information\_restore{25F7733D-D704-4EF2-A927-9E881240EF6D}, ti basta disabilitare il ripristino configurazione di sistema e poi riabilitarlo.

Per gli altri 2, fai così:
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Files to delete:
C:\Programmi\BitDownload\minime.exe
C:\Programmi\BitDownload\ZM\minime.exe

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato.

PS: non so se l'hai già fatto ma, se vuoi, puoi presentarti qui. Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi