Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

AIUTO URGENTE...... __p9hEPQkbj.exe salvatemi...grazie

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi Fede-man » 06/02/06 16:04

ho fatto quello che ho potuto ma non ho scaricato i programmi che mi ha consigliato luke (mancanza di tempo non di fiducia)
adesso vi posto questo log e se per favore potete dirmi se devo scaricarli o cos'altro devo fare.....

eccolo qua

Logfile of HijackThis v1.99.1
Scan saved at 15.58.02, on 06/02/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
E:\fede\Programmi\TeamSpeak\Teamspeak2_RC2\TeamSpeak.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
E:\fede\Programmi\eMule\emule.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - E:\fede\YETISP~1\NUOVAC~1\IEBUTT~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MGA_CD_Install] F:\mgasetup.exe /No_Welcome /Lang:Italiano
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [ccApp] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [iTunesAgent] C:\WINNT\ita.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Programmi\IDA\ida.exe -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://picweb.rfi.it/wpresources/TrainG ... i586-p.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF771D0E-FC37-4C56-9986-A9AB10C883FD}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{E73DD85A-4ADD-400C-A360-56B2DF8DE179}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O20 - Winlogon Notify: debugg - C:\WINNT\SYSTEM32\debugg.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

fate quello che potete grazie
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Sponsor
 

Postdi Dylan666 » 06/02/06 16:10

Ce l'abbiamo quasi fatta ;)
Abbiamo ancora poche cose da fare:

1) cancella il file __p9hEPQkbj.exe

2) cancella il file debugg.dll e se non ci riesci prova da modalità provvisoria

Facci sapere se riesci a cancellare i due file, poi posta un nuovo log ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Fede-man » 06/02/06 20:23

non riesco a eliminare debugg.dll

cosa devo fare????
per il resto è a posto???
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi lucas/s » 06/02/06 20:36

Ciao,prova in questo modo altrimenti si userà altro,riavvia in modalità provvisoria con prompt dei comandi.
Una volta in provvisoria apri una finestra promt(start>esegui>cmd)
e digita
ren C:\WINNT\SYSTEM32\debugg.dll debugg.vir --------->INVIO
cd C:\WINT\SYSTEM32 --------->INVIO
del debugg.vir --------->INVIO
Vedi se risolvi ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi fabrizius » 06/02/06 20:43

fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 07/02/06 01:22

Fede-man ha scritto:non riesco a eliminare debugg.dll


Vai su Start > Esegui e scrivi MSCONFIG
Nella finestra che viene vai in "Esecuzione automatica" e vedi se trovi una voce con quella DLL. Se è così de-seleziona il quadratino che ha vicino e poi resetta. Dopo il riavvio prova a cestinare nuovamente il file
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi lucas/s » 07/02/06 01:27

si forse per capodanno lo elimini :D dylan ha caricare il file è questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
no le chiavi di avvio difficilmente le trovi in msconfig a meno che non venga integrato in windows vista :lol: :lol:
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi Dylan666 » 07/02/06 01:36

Se avessi potuto far procedere l'utente a mano dal registro lo avrei già fatto, non credi?

Fede-man ha scritto:punto 3 dei file trovati non riuscivo a capire quali eliminare perche non so cosa è una chiave


OK, da MSCONFIG non appare (e infatti avevo detto SE, ora scrivo da win ME quindi non posso verificare) ma se col REGEDIT non possiamo operare dimmi tu se conosci un altro metodo user-friendly o una modo di farlo con HijackThis
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi lucas/s » 07/02/06 01:42

finchè non killi il processo che lo ospita winlogon.exe,explorer.exe,csrss.exe ecc ecc il file non si smuove da li,di metodo c'è ne sono molti anche con process explorer basta che metti i processi in suspend oppure ci sono tool appositi,non verificare sprechi solo tempo non c'è in msconfig ma con spybot si se vai in esecuzione automatica sono presenti le voci winlogon
Immagine
ciao
:)
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi Dylan666 » 07/02/06 01:53

Ma il percorso via interfaccia per disabilitare il caricamento della DLL dove sta? services.msc? Ripeto, non sono su ME e non posso controllare...

PS: certo, se la DLL è stata caricata il file non è eliminabile, è ovvio, per questo prima si leva la chiave di avvio da HijackThis e si riavvia. Dato che HT non ci riesce (o la DLL ricrea la chiave) vorrei riuescire a non far caricare la libreria senza dove uccidere il WinLogon... insomma con un metodo meno "improprio" che scommetto che c'è :P
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi lucas/s » 07/02/06 01:56

bho a quest'ora non mi viene in mente :D sicuramente il + rapido è quello di killare il processo prima del riavvio del pc in modo da evitare danni in quanto vai a killare processi vitali per il sistema,i tool fanno questo,oppure si puo provare con la console di ripristino che sicuramente lo elimina ;)
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi Dylan666 » 07/02/06 02:03

Ok, dai facciamo così:

1) apri il task amanger con Ctrl+Alt+Canc

2) termini il processo winlogon.exe

3) cancelli il file debugg.dll

4) usi HijackThis per cancellare la voce con debugg.dll

5) resetti e poi posti un nuovo log
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Fede-man » 07/02/06 12:06

allora...primo : non capisco piu che cosa devo fare perche i vostri discorsi sono incomprensibili a me()

comunque il processo winlogon.exe non c'è sui processi

io uso win 2000

adesso se per favore potete decidervi e farmi una scaletta semplice (dylan lo ha fatto nel suo ultimo messaggio ma non trovo winligon.exe)

comunque da quando ho fatto tutti questi casini non si disconnette piu e non mi da piu problemi

unico neo: da ieri mattina il mio pc frequentemente (parlo di ogni volta che faccio un doppio click col mouse o che carica un programma) si blocca per alcuni secondi emettendo dalla pcu rumori ripetitivi e poco rassicuranti...quando poi mio fratello prova a giocare ovviamente non ci riesce (non e facile giocare quando lo schermo si blocca ogni 10 secondi)

insomma ora non posso neanche ascoltare una canzone che a meta si blocca per 5 secondi e poi riparte

un'altro problema che ho notato ieri e che il mio disco E (il mio disco rigido è diviso in 3 parti C D E) contiene adesso solo una cartella da 300 mb...anche se risulta pieno (5giga liberi su 23) ...le altre cartelle(fra le quali la mia che contiene tutti i miei file, programmi ecc...) non si vedono

se faccio una ricerca non trova la cartella ma un collegamento in C che porta alla mia cartella proprio al suo posto i E...posso arrivarci solo cosi...


capisco di chiedere troppo (o almeno molto) ma penso che questo pc non possa reggere ancora piu di 1 mese o 2...vorrei farlo sopravvivere ancora un po (è un pentium 3 700 Mhz...che pero fa pena perche dimostra 130 Mhz...)grazie di tutto...ciao
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi Dylan666 » 07/02/06 13:14

Premesso che i sintomi di cui parli ora non li vedo collegabili alle operazioni di pulizia che abbiamo fatto (che riguardavano solo due file, non di sistema e che facevano solo spuntare le publicità) prima di imbarcarci in una nuova diagnosi vorrei togliere questa bene/maledetta DLL.

Sul come lascio la parola a lucas/s dato che sono ancora su WindowsME :P
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi lucas/s » 07/02/06 15:07

Io ci provo
scarica Vundo Fix http://www.atribune.org/downloads/VundoFix.exe
salvalo sul desktop

* Doppio click su VundoFix.exe ed estrai i file
* Verrà creata una nuova cartella sul desktop(VundoFix).
* Dopo che hai estratto i file,riavvia il pc in modalità provvisoria
* Quando sei in modalità provvisoria,apri la cartella vundofix e clicca su KillVundo.bat
* A questo punto ti si apre una finestra dos,fai attenzione a quello che ti scrivo

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...

-a questo punto premi invio una volta
-poi vedrai:
Please Type in the filepath as instructed by the forum staff
and then press enter:

-a questo punto digita il percorso seguente(controlla di digitarlo esattamente)
C:\WINNT\SYSTEM32\debugg.dll
-Premi invio,
-poi vedrai:
Please type in the second filepath as instructed by the forum
staff then press enter:

a questo punto digita il percorso seguente come te l'ho messo quindi anche il .*
C:\WINNT\SYSTEM32\ggubed.*

Premi invio continuare con il fix
Apri Hijackthis ed elimina questa riga
O20 - Winlogon Notify: debugg - C:\WINNT\SYSTEM32\debugg.dll

Riavvia il modalità normale
Collegati al forum,apri la cartella vundo fix,all'interno trovi il file vundo fix.txt copia e incolla il contenuto di quel file nella tua risposta
ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi Dylan666 » 07/02/06 17:40

Un tentativo semplice e immediato protrebbe essere questo:

Un Start > Esegui scrivi:

regsvr32 /u debugg.dll

Poi provi a cancellare il file
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Fede-man » 09/02/06 20:22

grazie ci provo...
dylan tranquillo...i sintomi li aveva prima...era solo per descrivere la penosa situazione di questo pc
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "AIUTO URGENTE...... __p9hEPQkbj.exe salvatemi...grazie":

Aiuto urgente!!!
Autore: templare77
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti