Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

quale firewall, antispyware, antivirus per it

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi paok » 23/02/06 19:42

ci ho messo parecchio ma ce l'ho fatta, forse.

seguendo le tue istruzioni, Fabrizius, tramite hijackthis ho fixato questo benedetto wupdmgr.exe .

Prima di fiaxrlo, pero', avevo controllato: nella posizione ........... non c'era nessun wupdmgr.exe (e ho l'opzione per vedere anche i file nascosti).

Non lo vedevo ne' in modalita' normale, ne' in modalita' provvisoria, quindi non ho potuto eliminarlo come dicevi tu.

Comunque lo fixato con hijackthis.

Anti-vir dopo innumerevoli tentativi e' riuscito a fare l'update (a 1 kb per volta).

Il problema e' che le finestrine con i messaggi che suggeriscono di collegarsi a http://www.fix-reg.com per avrei il registro devastato, continuano... indipendentemente dal fatto che consenta ad adaware la connessione di services.exe.


posto l'hijackthis come da tuo suggerimento:
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\SYSTEM32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\msdtc.exe
D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\System32\cisvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\tcpsvcs.exe
D:\WINNT\System32\snmp.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZONELABS\vsmon.exe
D:\WINNT\Explorer.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\inetsrv\inetinfo.exe
D:\WINNT\System32\mqsvc.exe
D:\WINNT\System32\carpserv.exe
D:\Programmi\FaxTalk NetOnHold\Ftnohmgr.exe
D:\WINNT\System32\RunDll32.exe
D:\WINNT\System32\sistray.EXE
D:\WINNT\System32\khooker.exe
D:\PROGRA~2\PHILIP~1\VProperty.exe
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programmi\File comuni\Real\Update_OB\realsched.exe
D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\PROGRA~2\YAHOO!\MESSEN~1\ymsgr_tray.exe
D:\WINNT\System32\cidaemon.exe
D:\WINNT\System32\cidaemon.exe
D:\PROGRA~2\WinZip\winzip32.exe
D:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NetOnHold] D:\Programmi\FaxTalk NetOnHold\Ftnohmgr.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] D:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] D:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [C-Media Mixer] D:\Programmi\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [GDIPatch] D:\PROGRA~2\WMFPATCH\inject.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Yahoo! Pager] D:\PROGRA~2\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~2\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~2\YAHOO!\MESSEN~1\YPAGER.EXE
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promot ... WebSWK.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZONELABS\vsmon.exe


grazie per l'aiuto
paok
Utente Junior
 
Post: 13
Iscritto il: 05/02/06 21:52

Sponsor
 

Postdi fabrizius » 24/02/06 00:59

ciao.....
la prossima volta il log postalo intero :P
ci sono molti processi dubbi nel log,fai cosi:guardaci tu e dimmi i processi che non conosci tra quelli con rispettivo (? giallo) a parte Antivir

log
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi paok » 25/02/06 17:27

ciao,

le voci sospette sono:

D:\Programmi\FaxTalk NetOnHold\Ftnohmgr.exe che e' il programma che gestisce il modem (e che ho fatto analizzare inviando il file dopo aver cliccato sulla clips, da hijackthis)

O4 - HKLM\..\Run: [NetOnHold] D:\Programmi\FaxTalk NetOnHold\Ftnohmgr.exe (come sopra)

O4 - HKLM\..\Run: [C-Media Mixer] D:\Programmi\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup che e' un programmino per sentire file musicali, (e che non ho mai usato, infatti ho appena notato che non funziona)

O4 - HKLM\..\Run: [GDIPatch] D:\PROGRA~2\WMFPATCH\inject.exe che e' una patch per evitare le vunerabilita' di windows riguardo i .wmf (che ho scaricato da un link di grc.com e quindi ne sarei abbastanza sicuro)


altri "sospetti" o "da eliminare non ce ne sono.... se lo ritieni opportuno ri-posto il log comprensivo della parte iniziale che credevo inutile.

ciao e grazie mille per l'interessamento
paok
Utente Junior
 
Post: 13
Iscritto il: 05/02/06 21:52

Postdi fabrizius » 25/02/06 17:44

Ciao,
prego figurati,
tutto rientrato nell'ordine quindi... :D
ok ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi paok » 26/02/06 14:28

a essere onesto non e' proprio tutto a posto.... perche', come dicevo nei post precendenti, continuano ad apparirmi le finestrine di windows con i messaggi che dicono che il mio registro e' pieno di errore e devo collegarmi al sito fix-reg.com per scaricare il programma per riparare il registro.

finestrine che compaiono indifferentemente che io dia il permesso a services.exe di agire da servere o che io non lo dia.

e indifferentemente prima e dopo aver fixato wupdmgr.exe.

...comunque non voglio scocciare nessuno oltremodo.... quindi non preoccuparti piu' di tanto per questo dettaglio e grazie mille per quanto hai fatto fin qui

... se mai qualcuno scoprisse come fare per evitare di essere "vulnerabile" a questi messaggi che sembrano di sistema e invece arrivano dalla rete.... ricordatevi di me!...

grazie mille e ciao
paok
Utente Junior
 
Post: 13
Iscritto il: 05/02/06 21:52

Postdi fabrizius » 26/02/06 15:09

posta un nuovo log allora,intero :P
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 26/02/06 15:26

Prova anche a farti un giro con SmitfraudFix,in questi casi non fa mai male

Decomprimilo
doppio click sul file smitfraudfix.cmd e scegli l'opzione 1
viene generato un rapporto,per ora non postarlo

Adesso:
Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio

Fai di nuovo doppio click su smitfraudfix.cmd e scegli l'opzione 2
altro log,non postarlo

Riavvia e vedi se é cambiata la situazione
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi paok » 04/03/06 13:35

grazie Fabrizius,

ho fatto girare smitfraud, ma non ha rilevato niente da eliminare.

Pero' le finestrine continuano a comparire.

posto il log come da tua indicazione:

Logfile of HijackThis v1.99.1
Scan saved at 13.31.30, on 04/03/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\SYSTEM32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\msdtc.exe
D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\System32\cisvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\tcpsvcs.exe
D:\WINNT\System32\snmp.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZONELABS\vsmon.exe
D:\WINNT\Explorer.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\inetsrv\inetinfo.exe
D:\WINNT\System32\carpserv.exe
D:\WINNT\System32\mqsvc.exe
D:\Programmi\FaxTalk NetOnHold\Ftnohmgr.exe
D:\WINNT\System32\RunDll32.exe
D:\WINNT\System32\sistray.EXE
D:\WINNT\System32\khooker.exe
D:\PROGRA~2\PHILIP~1\VProperty.exe
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programmi\File comuni\Real\Update_OB\realsched.exe
D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
D:\PROGRA~2\YAHOO!\MESSEN~1\ypager.exe
D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\PROGRA~2\WinZip\winzip32.exe
D:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NetOnHold] D:\Programmi\FaxTalk NetOnHold\Ftnohmgr.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] D:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] D:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [C-Media Mixer] D:\Programmi\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [GDIPatch] D:\PROGRA~2\WMFPATCH\inject.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Yahoo! Pager] D:\PROGRA~2\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~2\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~2\YAHOO!\MESSEN~1\YPAGER.EXE
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promot ... WebSWK.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZONELABS\vsmon.exe


...ma non e' possibile che magari queste finestrine pubblicitarie-ingannevoli (perche' mi orientano su chissa' quale danno di sito) arrivino dall'esterno, da computer che hanno letto il mio indirizzo ip in un momento che era giu' il firewall, e adesso mandano in automatico questi messaggi, senza che in effetti ci sia alcun malware sul mio pc?

grazie
ciao
paok
Utente Junior
 
Post: 13
Iscritto il: 05/02/06 21:52

Postdi fabrizius » 04/03/06 13:45

ciao,
segui questa guida e apporta le modifiche indicate

Per Smitfraud una volta scelto l'opzione 2 in mod. provvisoria,lui provvede ad eliminare le infezioni da lui conosciute senza ulteriore intervento,quindi non ti segnala niente da eliminare,quello che esegue viene tutto dettagliato nei log che crea....

Adesso guardo il log
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi paok » 04/03/06 15:17

grazie Fabrizius!

mi hai salvato la vita!

e scusami se sono stato cosi' pigro da non cercare da me quella "guida". Ma chiedere a chi sa gia' le cose e' troppo piu' rapido che incaponirsi a trovare la soluzione da soli...

comunque e' rinfrancante sapere che non c'e' niente di pericoloso sul pc, ma arrivano interamente da fuori....

grazie mille ancora!!

ciao
paok
Utente Junior
 
Post: 13
Iscritto il: 05/02/06 21:52

Postdi fabrizius » 04/03/06 16:38

di niente figurati,quindi ora non hai piu le pubblicità? ok ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi paok » 10/03/06 22:59

si', adesso non compare piu' nessun pop up, grazie mille!
paok
Utente Junior
 
Post: 13
Iscritto il: 05/02/06 21:52

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "quale firewall, antispyware, antivirus per it":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti