Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Ansioso di connettersi

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Postdi Dies » 24/10/04 00:25

Dunque, per rimuovere il virus, che poi n realtà dovrebbe essere un worm, ho trovato questo:

I-Worm.Magistr.a manual removal:
Kill processes:
accstat.exe, actmovie.exe, extrac32.exe, helloapp.exe, hypertrm.exe, locproxy.exe

Delete files:
accstat.exe, actmovie.exe, extrac32.exe, helloapp.exe, hypertrm.exe, locproxy.exe

Di tutti questi file io ne avevo solo tre (i primi due e l'ultimo) e solo Accstat era un programma che girava sul pc.

Sul sito della symantec si trova questo:
http://www.symantec.com/region/it/techs ... 76@mm.html

Ma:

1 Non sono riuscito, a fare alcunchè con la procedura da loro indicata.

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Sponsor
 

Postdi Dies » 24/10/04 01:00

Sergio, io ti metto il log di hijackThis, se hai tempo, modo e voglia di dare un'occhiata...
Grazie

D

Logfile of HijackThis v1.98.2
Scan saved at 2.00.03, on 24/10/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.passport.net/uilogin.srf?id=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Difesa\Spybot\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Difesa\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Difesa\Spybot\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Postdi Dylan666 » 25/10/04 11:18

Non puoi disattivare il ripristino conf. di sis. dato che nel 98 non c'è e la chiave pare sicura (infatti nessun programma che hai usato te l'ha segnalata)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dies » 28/10/04 21:39

Il problema non è ancora risolto: solita mascherina di connessione, record di avvio di Norton modificato, spybot che non trova nessun aggiornamento (nemmeno quelli delle lingue che gli ho chiesto di segnalare). Sapete che consigliarmi?

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Postdi Dylan666 » 28/10/04 21:54

Quando appare la mascherina cerca di capire il nome del processo nella finestra di CTRL+Alt+Canc...
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dies » 29/10/04 08:47

E' Rnaapp.exe.

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Postdi Dylan666 » 29/10/04 09:40

http://www.liutilities.com/products/win ... ry/rnaapp/

Quello è l'exe che normalmente lancia le connessioni di Windows: siamo sicuri che non ce ne sia una di troppo fra le connessioni remote del pannello di controllo?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dies » 29/10/04 10:18

http://www.modemhelp.net/newsletter/dun/combatrnaapp.shtml

Però sembra possa dare problemi. Non ci sono connessioni di troppo: una sola.

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Postdi Dylan666 » 29/10/04 10:27

No, io non lo userei...
Ma la finestrella che ti appare è quella classica di Windows? Altrimenti ci deve essere qualche altro nome strano oltre a Rnaapp
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dies » 29/10/04 17:06

La finestrella è quella solita.

Con process explorer ho potuto vedere come funziona la cosa: Rnaapp parte come se fosse lanciato da un programma. Se lo chiudo, ricompare; se chiudo il programma, lui si infiltra sotto un altro programma (lo fa con True vector di Zone Alarm, con CCapp di Norton), se riesco a chiuderlo abbastanza volte, allora scompare per un attimo e termina anche Tapistrv. Poi ricompare, indipendente da altri programmi; e se lo chiudo ancora, si reinsedia sotto un programma, dal quale non riesco più a cancellarlo. Se lo termino, ne ripartono due, se li termino, ne ripartono tre... Inoltre se non do l'ok per la connessione, e cerco di connettermi autonomamente, mi vengono chiusi o resi inutili i browser (IE e Mozilla).
In esecuzione automatica avevo due LoadPowerProffile (identici, per me). Insospettito, li ho disabilitati entrambi, e, all'avvio successivo, è successo un casino: Spybot resident e Startup monitor continuavano ad avvisarmi della modifica che consentiva l'avvio di LoadPowerProfile. Negavo l'autorizzazzione e i messaggi ricomparivano a valanga. Ho dovuto cedere e consentire l'avvio. Adesso nella lista dei programmi ci sono tre LoadPowerProfile.

Che faccio?

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Postdi Dies » 01/11/04 13:04

Devo dedurre che non mi resta altra possibilità che un formattone?

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Postdi Dies » 03/11/04 21:44

Trovato, forse! Pest Patrol mi segnala la presenza del Linkgrabber 99, che sta in HKEY_USERS\.default\software\microsoft\windows\currentversion\internet settings\zonemap\domains\mywebsearch.net

In zonemap, inoltre c'è una innumerevole serie di chiavi che sembano collegate a siti porno. Io ho già cancellato, manualmente, l'intera cartella zonemap, e questa si è ricreata da sola. Istruzioni, consigli?

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Postdi Dies » 06/11/04 22:54

Dunque, non ho capito se non ricevo risposte perché nessuno sa cosa dirmi o perché avete deciso che ho rotto troppo le scatole.
Ad ogni modo, scrivo ancora. Non so come eliminare Linkgrabber 99, inoltre in Temp c'è e ricompare un file che posso elimanre solo dalla modalità provvisoria, che si chiama Zlt00279.tmp o numeri vari.

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Postdi Dylan666 » 07/11/04 13:05

Sinceramente ho finito le idee.. e il fatto che contini a avere spyware su spyware mi sconforta...
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dies » 07/11/04 13:59

Capito. Il file, comunque, è un file generato da ZoneAlarm. Figurati quanto sono sconfortato io, Dylan.
Quindi, a vostro parere, non mi resta alternativa ad un formattone?

D
Dies
Utente Junior
 
Post: 61
Iscritto il: 09/10/04 14:31

Precedente

Torna a Software Windows


Topic correlati a "Ansioso di connettersi":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti