Condividi:        

HT è un virus ?!?!?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

HT è un virus ?!?!?

Postdi gimli » 09/02/05 00:26

ciao a tutti, volevo esporre il mio problema.

Da un po' di tempo mi sono accorto che il pc si mette a lavorare (processore + hd) per conto suo, anche quando non ne avrebbe motivo.

ho fatto un giro con msconfig e mi trovo due chiavi per me sospette:
1) nwiz.exe/install
2) rundll32.exe c:\\windows\system32\NvCpl.dll,VvStartup
entrambe in HKLM\software\microsoft\windows\current version\run

a questo punto faccio un po' di ricerche e leggendo qua e là deduco che la cosa + consigliata è fare un log con HT e mandarlo a qualche esperto (voi, per esempio......). detto fatto, dal sito ufficiale scarico l'ultima versione di HT, l'installo, la eseguo e....... sorpresa !!! quando cerca di creare il file di log il mio McAfee dice che il file di log è infetto dal trojan "exploit-mhtredir.gen" e quindi cancellato.......

qualcuno può aiutarmi?

la configurazione è win xp con zone alarm e McAfee 8 tutti aggiornati

grazie a tutti in anticipo
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Sponsor
 

Postdi *~Hayabusa~* » 09/02/05 00:32

Cos'è questo HT?
Ci dai un link da cui prenderlo e magari un link alla pagina su cui hai letto di scaricarlo?


nwiz.exe
Se hai una scheda gravica nvidia..dovrebbe appertenere a lei..

rundll32.exe c:\\windows\system32\NvCpl.dll,VvStartup
Proprio non lo so..
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi Dylan666 » 09/02/05 00:34

1) roba della scheda Nvidia. Sul forum se ne è parlato, bastava cercare:
http://www.liutilities.com/products/win ... rary/nwiz/

2) Forse hai sbagliato a scrivere
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup[/i]http://www.liutilities.com/products/wintaskspro/dlllibrary/nvcpl/
Anche questa roba della scheda video
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi gimli » 09/02/05 00:55

ok, e per il problema con HiJackThis ?
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi *~Hayabusa~* » 09/02/05 01:18

:lol: per HT intendevi HiJackThis?..

La mie richiesta rimane valida, da dove l'hai scaricato, dai sito dello sviluppatore o da qualche altro sito?
Prova a riscaricarlo da questo sito e a provare ancora a salvare un log..
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi gimli » 09/02/05 08:01

*~Hayabusa~* ha scritto::lol: per HT intendevi HiJackThis?..

si, mi sembrava di aver capito che si abbreviasse così....
La mie richiesta rimane valida, da dove l'hai scaricato, dai sito dello sviluppatore o da qualche altro sito?
come già detto dal sito dello sviluppatore
Prova a riscaricarlo da questo sito e a provare ancora a salvare un log..
ehm.....quale sito ????
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi Dylan666 » 09/02/05 12:40

Prima di usare le abbreviazioni il nome lo devi scrivere per steso almeno una volta, altrimenti non si capisce a che ti riferisci...
Ma non riesci a configurare l'antivirus in modo che ignori quel file? O non lo puoi chiudere mentre lo esegui?

gimli ha scritto:
Prova a riscaricarlo da questo sito e a provare ancora a salvare un log..
ehm.....quale sito ????


questo sito si internde QUESTO sito... pc-facile insomma, sezione download ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi gimli » 09/02/05 12:57

Ma non riesci a configurare l'antivirus in modo che ignori quel file? O non lo puoi chiudere mentre lo esegui?

si che posso, il senso della domanda era appunto: secondo voi è normale un alert di quel tipo ? posso tranquillamente chiudere l'antivirus mentre creo il file di log o c'è qualcosa di strano ?
questo sito si internde QUESTO sito... pc-facile insomma, sezione download ;)
ah! pensavo mancasse un link :oops:
stasera proverò a scaricarlo da qui poi vedo, mi rimane il dubbio dell'alert del McAfee......

grazie dell'aiuto
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi Dylan666 » 09/02/05 13:04

gimli ha scritto:
Ma non riesci a configurare l'antivirus in modo che ignori quel file? O non lo puoi chiudere mentre lo esegui?

si che posso, il senso della domanda era appunto: secondo voi è normale un alert di quel tipo ? posso tranquillamente chiudere l'antivirus mentre creo il file di log o c'è qualcosa di strano ?


Guarda secondo me accade semplicemente questo: il log contiene nella lista il nome di un virus che ha individuato sul tuo PC, e il tuo antivirus scatta per il semplice fatto che è nominato lì. Mi è capitato poco tempo fa con il Norton.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi gimli » 09/02/05 14:01

ok, mi fido della tua esperienza, poi vi faccio sapere

ovviamente se può interessare a qualcuno......

Ma il log poi lo posso mandare a voi o mi devo rivolgere ad altri ?
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi Dylan666 » 09/02/05 14:44

Nella guida c'è spiegato se la leggi TUTTA:

http://www.pc-facile.com/guide.php?t=148946
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi gimli » 15/02/05 18:04

vi posto il log di HT, spero qualcuno possa aiutarmi, grazie.

ps: ho fatto il log analyzer online, ma non ci ho capito un granchè

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
E:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Messenger\msmsgs.exe
E:\Programmi\FreePOPs\freepopsd.exe
E:\Programmi\United Devices\UD.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\antonio\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] sys.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Zone Labs Client] "e:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [McRegWiz] c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Firewall] sys.exe
O4 - Startup: FreePOPs.lnk = E:\Programmi\FreePOPs\freepopsd.exe
O4 - Startup: UD Agent.lnk = E:\Programmi\United Devices\UD.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/it.chm::/11449.exe
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promot ... WebSWK.cab
O23 - Service: McAfee.com McShield - Unknown - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi dado » 15/02/05 18:21

gimli ha scritto:ps: ho fatto il log analyzer online, ma non ci ho capito un granchè


Semplicemente devi eliminare le voci segnalate dal log analyzer come sospette, abbastanza sospette, nocive o simili, quelle segnate in rosso tutte, quelle in giallo solo in parte (quelle ad es abbastanza sospette...).

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Dylan666 » 15/02/05 18:22

Non mi piace questo:

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/it.chm::/11449.exe

Comunque non comprendo cosa ci sia da capire nella pagina di analisi. Loro hanno un database delle applicazioni più famose, nocive e non nocive. Quelle segnate in verde sono sicuramente innocue, quelle rosse sicuramente da eliminare.

Quelle gialle il database non le conosce, devi vedere tu se sai cosa sono o no. Viene segnato in giallo il freepops, ma sai che ce lo hai installato tu. Lo stesso dicasi per le voci di Sygate Personal Firewall (sys.exe), Samsung LBP SM (ssmmgr.exe) ecc.

Quello che non conosci lo cerchi su Google, se non lo trovi lo elimini e vedi se il probema scompare. Se elimino cose che ti servivano usi il backup che il programma ha creato quando hai tolto la voce.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi gimli » 15/02/05 18:31

appunto, i dubbi vengono per le segnalate in giallo che non riconosce, mi permetto di chiedere ancora consiglio a voi:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 cosa sarebbe ???

O4 - HKLM\..\Run: [Sygate Personal Firewall] sys.exe mai installato un FW Sygate, uso ZA e sono contentissimo....

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/it.chm::/11449.exe

questo suona male anche a dylan e quindi lo cancellerò senza tema.....

per quelli riportati sopra ?

ho provato su sam spade l'IP misterioso, questa è la risposta: ERROR: IP Range Reserved by IANA.org


....iuuuuutoooooooo
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi Dylan666 » 15/02/05 18:40

127.0.0.1 sarebbe il tuo stesso pc. Se la voce non ce l'hai messa tu toglila, idem dicasi per il Sygate.

Se hai problemi rimetti la prima voce dal backup.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "HT è un virus ?!?!?":

Virus o cosa?
Autore: danibi60
Forum: Sicurezza e Privacy
Risposte: 26

Chi c’è in linea

Visitano il forum: Nessuno e 65 ospiti