Condividi:        

File sospetti ...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

File sospetti ...

Postdi lebowskj » 28/02/05 11:39

Quesito :
All'ingresso in internet ZoneAlarm mi segnala due file che richiedo l'accesso "languard.exe" e a volte "idev.exe".

Cosa devo fare? permetto il loro accesso o sono pericolosi?

Utilizzo una linea ADSL-Libero e come antivirus Norton.

Grazie
lebowskj
Utente Junior
 
Post: 20
Iscritto il: 28/02/05 11:29

Sponsor
 

Postdi gimli » 28/02/05 12:21

dunque, cercando con goggle troviamo:

languard.exe = adware http://startup.iamnotageek.com/srch-LanGuard.html

non permettere l'accesso, anzi rimuovilo !!!

per quanto riguarda l'altra chiamata non sono sicuro, fai un file di log con hijackthis e poi postalo qui che controlliamo

ti consiglio anche di fare un check con spybot search&destroy

fammi sapere
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi lebowskj » 28/02/05 12:46

Per prima cosa ti ringrazio e poi ecco di seguito il Logfile come mi hai consigliato.
Considera che languard.exe l'ho eliminato e che uso Ad-aware SE personal anzicchè Spybot (dovrebbe essere lo stesso).
Fammi sapere se riscontri problemi


Logfile of HijackThis v1.99.1
Scan saved at 12.40.36, on 28/02/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\2FT0D\7DWW8FN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\FMCTRL.EXE
C:\PROGRAMMI\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\HPZTSB06.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\WAVDRIVER.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMMI\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMMI\STOPDIALERS\STOPDIALERS.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kataweb.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\SYSTEM\LAJNIPTP.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Q3dctlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb06.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
O4 - HKLM\..\Run: [idev] C:\WINDOWS\idev.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing)
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing) (HKLM)
lebowskj
Utente Junior
 
Post: 20
Iscritto il: 28/02/05 11:29

Postdi gimli » 28/02/05 13:01

ok, ecco le chiamate dubbie:

sospette:
C:\WINDOWS\SYSTEM\HPZTSB06.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kataweb.it/ (a meno che tu non abbia scelto kataweb come pagina iniziale)
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\SYSTEM\LAJNIPTP.DLL

queste invece le sconosciute, se non sono programmi che conosci dovresti eliminarle

C:\WINDOWS\DOWNLOADED PROGRAM FILES\2FT0D\7DWW8FN.EXE
C:\WINDOWS\WAVDRIVER.EXE
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
O4 - HKLM\..\Run: [idev] C:\WINDOWS\idev.exe

la cosa che ti consiglio è quella di rifare lo scan con hijack, eliminare tutte le voci indicate, comunque hijack fà un backup delle chiavi, riavvii e controlli, se qualcosa non funziona le ripristini una ad una fino a che non torna tutto a posto, ma di solito quelle segnalate sono dannose o inutili, quindi non dovresti avere problemi.

In ogni caso fammi sapere come è andata

ciao
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi lebowskj » 28/02/05 14:13

Ho fatto come mi hai consigliato, non ci sono problemi, anche al riavvio di Windows, dovrebbe essere tutto ok.
Un unico problema non riesco a trovarlo per eliminarlo il seguente file:

C:\WINDOWS\DOWNLOADED PROGRAM FILES\2FT0D\7DWW8FN.EXE

;) grazie di nuovo
lebowskj
Utente Junior
 
Post: 20
Iscritto il: 28/02/05 11:29

Postdi gimli » 28/02/05 14:25

potrebbe essere un file con attributo nascosto, prova a fare un cerca da start - cerca, oppure potrebbe essere stato già cancellato se hai impostato di svuotare automaticamente la cartella, anche se mi sembra strano.

per dubbi o problemi posta tranquillamente

ciao
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58


Torna a Sicurezza e Privacy


Topic correlati a "File sospetti ...":


Chi c’è in linea

Visitano il forum: Nessuno e 24 ospiti