Condividi:        

Help: virus o falso allarme???

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Help: virus o falso allarme???

Postdi mok » 19/01/06 23:09

Ciao a tutti, sono nuovo e scrivo per chiedere un aiuto per una segnalazione che l'antivirus AVG plus firewall, mi dice:
nella cartella c\windows\system32, i seguenti file sono "modificati":
Ntoskrnl.exe
User32.dll
Shell32.dll
Questa è segnalata come comunicazione, ma non ho la possibilita di intervanire.
Mi hanno detto che potrebbe essere un virus, ma i processi mi sembrano ok e Ad-Aware mi da pulito, così CWS. Ho provato ad utilizzare HijackThis, ma non ci capisco molto.....
Qualcuno puo darmi una mano?????javascript:emoticon(':(')
Triste
mok
Newbie
 
Post: 3
Iscritto il: 19/01/06 22:18

Sponsor
 

Postdi Luke57 » 20/01/06 08:34

Ciao, AdAware trova un 40% di eventuali processi malevoli,
Qui la guida per l’uso di hijackthis
http://www.pc-facile.com/guide/guida_hijackthis/
qui per scaricarlo:
http://www.pc-facile.com/HijackThis_s267/
Quando scompatti il file zip, metti l’eseguibile in una cartella del disco fisso, né temporanea né desktop, in modo che il programma possa fare l backup di eventuali voci eliminate. Apri il programma, premi " do a system scan and save a logfile", si apre un file di blocco note, selezioni e copi tutto il contenuto, incollandolo poi in un post sul forum, così gli diamo un'occhiata.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Log di haijakThis

Postdi mok » 20/01/06 10:42

ecco il log che ho cercato di decifrare, ma ho proprio bisogno di aiuto!!!!

Logfile of HijackThis v1.99.1
Scan saved at 10.46.37, on 20/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\HSFPWCFG.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Wireless LAN Utility\SiWake.exe
C:\Programmi\Wireless LAN Utility\SiSCFG.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Documents and Settings\Michele\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.3:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O4 - HKLM\..\Run: [HSFPWCFG.EXE] C:\WINDOWS\HSFPWCFG.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: SiWake.lnk = C:\Programmi\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O17 - HKLM\System\CCS\Services\Tcpip\..\{B879486B-5279-42B6-91FD-FE6B9167F8DF}: NameServer = 195.31.190.31
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
mok
Newbie
 
Post: 3
Iscritto il: 19/01/06 22:18

Postdi Luke57 » 20/01/06 19:30

Ciao, non mi sembra che ci siano minacce attive nel tuo log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

log di avg

Postdi mok » 21/01/06 00:41

avg pero mi segnala che i file
Ntoskrnl.exe
User32.dll
Shell32.dll
sono stati modi ficati e quando faccio andare al scansione, al termine se filtro i risultati chiedendo "solo i virus", mi riporta quei tre....
inoltre mi dice che nn riesce ad esaminare questi files anche in modalita provvisoria, con il ripristino disabilitato!!
e da un po che fa cosi ma appena reinstallato avg non dava questo risultato....

non posso correggere i files, ma "consentirne" la "modifica" per non ritrovarmeli come virus. COn la scansione della memoria addirittura miescono tre finestre di rilevamenti!

ti riporto l'elenco delle voci che ho messo e che non riesco a decifrare dal log di avg:

C:\WINDOWS\system32\user32.dll,"Modificato","Modificato"
C:\WINDOWS\system32\shell32.dll,"Modificato","Modificato"
C:\WINDOWS\system32\ntoskrnl.exe,"Modificato","Modificato"

C:\PAGEFILE.SYS,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\LocalService\NTUSER.DAT,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\LocalService\ntuser.dat.LOG,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\Michele\NTUSER.DAT,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\Michele\ntuser.dat.LOG,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\Michele\Dati applicazioni\Microsoft\Excel\XLSTART\PDFMaker.xla,"Con macro","Esaminato"
C:\Documents and Settings\Michele\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\Michele\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\NetworkService\NTUSER.DAT,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\NetworkService\ntuser.dat.LOG,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG,"Impossibile aprire, non controllato. Impossibile accedere al file. Il file è utilizzato da un altro processo.","Non esaminato"
mok
Newbie
 
Post: 3
Iscritto il: 19/01/06 22:18

Postdi Luke57 » 22/01/06 15:24

Prova una scansione on line qui ( tali antivirus hanno una componente euristica più potente):
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi tentatively » 26/01/06 09:45

Buongiorno Luke57, sono niscritto da poco, ho trovato la sua risposta ad un problema simile al mio, quando tento di fare una copia del mio disco "C" (come backup sul disco esterno Conceptronic Gab'n'go) mi appaiono una serie di messaggi che le riporto:
1. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
To: F:\C\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
2. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
To: F:\C\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
3. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\LocalService\NTUSER.DAT
To: F:\C\Documents and Settings\LocalService\NTUSER.DAT
4. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\LocalService\ntuser.dat.LOG
To: F:\C\Documents and Settings\LocalService\ntuser.dat.LOG
5. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\marcello\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
To: F:\C\Documents and Settings\marcello\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
6. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\marcello\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
To: F:\C\Documents and Settings\marcello\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
7. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\marcello\Impostazioni locali\Temp\Perflib_Perfdata_e38.dat
To: F:\C\Documents and Settings\marcello\Impostazioni locali\Temp\Perflib_Perfdata_e38.dat
8. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\marcello\NTUSER.DAT
To: F:\C\Documents and Settings\marcello\NTUSER.DAT
9. Impossibile accedere al file. Il file è utilizzato da un altro processo. (32)
From: C:\Documents and Settings\marcello\ntuser.dat.LOG
To: F:\C\Documents and Settings\marcello\ntuser.dat.LOG

Ogni volta che incontra uno di questi file si apre una finestra con il messaggio.
Può dirmi se è normale e se posso evitare di avere i messaggi.
Grazie.

Tentatively
tentatively
Newbie
 
Post: 1
Iscritto il: 26/01/06 09:36


Torna a Sicurezza e Privacy


Topic correlati a "Help: virus o falso allarme???":


Chi c’è in linea

Visitano il forum: Nessuno e 120 ospiti

cron