Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Un PERICOLOSO INTRUSO in ACCESSO REMOTO

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi gbolla » 19/03/06 10:23

Ciao a tutti,
purtroppo ho visto che non avete dato seguito al problema di porcelin che sfortunatamente è anche il mio.
Ho win98 e sono arrivato allo stesso punto dello sfortunato porcelain: vi allego il risultato del programmino RegSrch

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "ibm00001" 3/19/06 10:10:26 AM

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Shell"="\"C:\\WINDOWS\\SYSTEM\\ibm00001.exe\""


Ho provato ad eliminarlo dal registro con regedit, ma non riesco perchè ogni volta mi ricompare: ogni volta che riavvio la macchina mi compare il messaggio "Impossibile trovare file ibm00001.exe ecc..."

Potete per favore aiutarmi/ci a risolvere questo problema?
Grazie mille.
Ciao

Bolla
gbolla
Utente Junior
 
Post: 23
Iscritto il: 19/03/06 10:13

Sponsor
 

Postdi fabrizius » 19/03/06 10:54

ciao,per eliminare quell'errore all'avvio vai nel registro di sistema(start--->>esegui,digita regedit e premi invio)
Nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon fai doppio click sul valore "shell" e cancella tutto quello che segue explorer.exe,tra cui anche ibm00001.exe
PS:prima di modificare il registro fai una copia di back up di quest'ultimo
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 19/03/06 11:17

Ho visto ora che sei su WIN98,allora fai cosi,vai nel file system.ini
(C:\WINDOWS\system.ini)rubrica BOOT vedi che dovresti avere ibm00001.exe vicinissimo ad explorer.exe,bisogna eliminarlo

Riavvia e vedi se il problema é risolto o persiste
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi gbolla » 21/03/06 17:39

Problema risolto.
ti ringrazio infinitamente
Ciao

Bolla
gbolla
Utente Junior
 
Post: 23
Iscritto il: 19/03/06 10:13

Postdi fabrizius » 21/03/06 22:50

ok ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Qualche difficoltà...

Postdi Kiaretta » 24/04/06 07:55

Come gbolla ho avuto un problema con questo dannato file ibm0001.exe, solo che ancora non sono riuscita a eliminarlo.
Sono un po' una frana in queste cose e non vorrei combinare un macello visto che ho il pc semi-nuovo...
Anche a me esce il messaggio "Impossibile trovare il file..." all'accensione del pc. Come da indicazioni, sono entrata nel registro di sistema fino nella cartella Winlogon. Ora, fabrizius, dicevi
fabrizius ha scritto:fai doppio click sul valore "shell" e cancella tutto quello che segue explorer.exe,tra cui anche ibm00001.exe


Ecco qui il problema che non capisco. Se io clicco due volte su "Shell" mi si apre una finestra di Modifica Stringa con esattamente scritto "explorer.exe (uno spazio lunghissimo) C:\Programmi\File Comuni\ecc. (tutto il percorso che termina con ibm0001.exe"
Io quindi, da quello che ho capito devo praticamente cancellare il percorso del file e lasciare scritto nella stringa solo "explorer.exe" esatto???

Poi tu consigliavi di fare una copia di back up prima di modificare il registro ma non so come si fa. Potresti aiutarmi anche in questo?

:oops:
Grazie mille per l'aiuto! Ti costruirò un monumento!!!

Kia
Kiaretta
Utente Junior
 
Post: 38
Iscritto il: 24/04/06 07:39

Postdi Luke57 » 24/04/06 08:08

Ciao, per la copia del registro di sistema devi fare così:
apri l'editor del registro>file>esporta>assicurati che sia spuntata la voce Tutto nell'opzione Intervallo di esportazione, dai un nome al file .reg tipo "salvataggio registro", lo salvi in una cartella del disco fisso ( ci vorrà un pò, trattandosi di un file di almeno 16MB). Per ripristinare la situazione del registro prima delle modifiche, bastterà fare doppio click su tale file.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Alexsandra » 24/04/06 08:23

Avatar utente
Alexsandra
Utente Senior
 
Post: 2358
Iscritto il: 09/01/06 20:31

Postdi Kiaretta » 24/04/06 08:24

Grazie mille, comincerò a fare il back up così non rischio di combinare poi un casino! :D
Kiaretta
Utente Junior
 
Post: 38
Iscritto il: 24/04/06 07:39

Re: Qualche difficoltà...

Postdi fabrizius » 24/04/06 10:28

Kiaretta ha scritto:Come gbolla ho avuto un problema con questo dannato file ibm0001.exe, solo che ancora non sono riuscita a eliminarlo.
Sono un po' una frana in queste cose e non vorrei combinare un macello visto che ho il pc semi-nuovo...
Anche a me esce il messaggio "Impossibile trovare il file..." all'accensione del pc. Come da indicazioni, sono entrata nel registro di sistema fino nella cartella Winlogon. Ora, fabrizius, dicevi
fabrizius ha scritto:fai doppio click sul valore "shell" e cancella tutto quello che segue explorer.exe,tra cui anche ibm00001.exe


Ecco qui il problema che non capisco. Se io clicco due volte su "Shell" mi si apre una finestra di Modifica Stringa con esattamente scritto "explorer.exe (uno spazio lunghissimo) C:\Programmi\File Comuni\ecc. (tutto il percorso che termina con ibm0001.exe"
Io quindi, da quello che ho capito devo praticamente cancellare il percorso del file e lasciare scritto nella stringa solo "explorer.exe" esatto???

Poi tu consigliavi di fare una copia di back up prima di modificare il registro ma non so come si fa. Potresti aiutarmi anche in questo?

:oops:
Grazie mille per l'aiuto! Ti costruirò un monumento!!!

Kia


Giusto....
PS:comunque assicurati anche che non sia ancora presente nel sistema,o facendo uno scan con Ewido o postando un log hijackthis ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Re: Qualche difficoltà...

Postdi Kiaretta » 24/04/06 11:11

fabrizius ha scritto:comunque assicurati anche che non sia ancora presente nel sistema,o facendo uno scan con Ewido o postando un log hijackthis ;)


Qui ritorna la mia grande ignoranza in materia. Cosa sarebbe un log hijackthis?

Come antivirus ho AVG, che mi ha bloccato l'ibm0001.exe nei Virus Vault perchè probabilmente non riesce ad eliminarlo. Qui vuol dire che è ancora presente?
Kiaretta
Utente Junior
 
Post: 38
Iscritto il: 24/04/06 07:39

Postdi Luke57 » 24/04/06 11:27

Ciao, hijackthis è un programma che serve a verificare molte chiavi di registro del computer, nelle quali si possono annidare eventuali infezioni . Nel tuo caso potresti controllare se il file in questione si trova alla voce 04 ( programmi caricati in avvio dal sistema operativo)
In altre parolo, qui lo scarichi (versione 1.99.1)
http://www.pc-facile.com/HijackThis_s267/
trovi anche un link per una guida al programma (molto utile)
Se non hai tempo per leggere la guida ;) , scompatti il file .zip, metti l'eseguibile (.exe) in una cartella del dsco fisso appositamente dedicata, tipo C\HJT, in modo che il programma possa fare un backup delle voci eventualmente rimosse.
Clicchi sull'eseguibile, premi " do a system scan and save a log file", attendi l'elaborazione di un file di testo con un elenco di voci, selezioni e copi tutto il contenuto, lo incolli in un post per la sua valutazione.
Altrimenti lo puoi far analizzare qui:
http://www.hijackthis.de/
ce lo incolli e poi premi analizza
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: Qualche difficoltà...

Postdi fabrizius » 24/04/06 11:29

Kiaretta ha scritto:Qui ritorna la mia grande ignoranza in materia. Cosa sarebbe un log hijackthis?


Guarda questa guida per hijackthis
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Kiaretta » 24/04/06 12:29

Ok, allora, forse ce la posso fare... Ho letto un po' la guida e almeno ho capito un po' cosa sto trattando...

Il log è questo:
Logfile of HijackThis v1.99.1
Scan saved at 13.01.36, on 24/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\MyService\RIOService.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Program Files\Acer\Acer eMode\AspireService.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\mioengine.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Chiara\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Aspire Schedule] C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode\AspireService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Alaunch] C:\Windows\alaunch.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [MyDailyVideo] C:\Programmi\My Video Daily\MyVideoDaily.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: My 190.it.lnk = C:\Documents and Settings\Chiara\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/c ... /kt4_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/c ... dot8_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/c ... ltt3_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/c ... /ht1_x.cab
O16 - DPF: Yahoo! Pinochle - http://download.games.yahoo.com/games/c ... /ut2_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/c ... /pt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... pote_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: Yahoo! Scopa - http://download.games.yahoo.com/games/c ... sct5_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8358984750
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F4087B3-0179-406E-868F-7A6D6BA1B7FD}: NameServer = 85.37.17.40 85.38.28.85
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: RIOService - TODO: <Company name> - C:\MyService\RIOService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe



Successivamente ho provato a fare l'analisi al link (http://www.hijackthis.de/) che mi ha dato luke. Eccone i risultati:

1) Alcuni processi che segnala come sconosciuti sono quelli della console acer (ho un particolare modello di pc della acer) e non dovrebbero essere nocivi.
2) C:\MyService\RIOService.exe -------> questo non so cosa sia
3) C:\SCANJET\PrecisionScanLT\hppwrsav.exe -------> penso faccia parte del software dello scanner (in effetti mi ha dato qualche problema ultimamente)
4) C:\WINDOWS\system32\mioengine.exe -------> altra cosa che non so da dove sbuchi
5) F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe" -------> il famoso e ormai odioso file ibm
6) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE -------> dovrebbe riguardare il software dell'audio! ma non capisco perchè me lo dia come file pericoloso da eliminare!
7) O4 - Startup: My 190.it.lnk = C:\Documents and Settings\Chiara\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio -------> eheh questa una gran bella scoperta! da parecchio mi trovavo sempre nei documenti recenti questa serie di numeri "69GWEU9386MTAR08" ma non ho mai capito da dove arrivassero, ne riuscivo a trovarne la sorgente. ora vedo che è probabilmente collegata al programmino del 190 che provvedo a disinstallare subito...
8 ) O17 - HKLM\System\CCS\Services\Tcpip\..\{8F4087B3-0179-406E-868F-7A6D6BA1B7FD}: NameServer = 85.37.17.40 85.38.28.85 -------> indirizzi ip anche? mi consigliano di eliminarlo se non conosco questo indirizzo... ma come faccio a sapere da dove arriva???
9) O23 - Service: RIOService - TODO: - C:\MyService\RIOService.exe -------> probabilmente collegato al file nel punto 2)...

Ok, ecco fatto... questo è tutto quello che non ho capito.
Sulla guida ho anche trovato scritto "Un'altro indizio è la descrizione dopo la sigla BHO. Se vedete scritto BHO (no name) non è un buon segno." Se non sbaglio, nel log ne ho trovati ben tre con BHO.

Intanto vi ringrazio ancora per tutto l'aiuto che mi state dando! Pensavo di essere piuttosto ferrata con l'informatica, ma mi sto accorgendo che ci sono mooooolte cose che ancora mi mancano... ;)
Kiaretta
Utente Junior
 
Post: 38
Iscritto il: 24/04/06 07:39

Postdi Luke57 » 24/04/06 12:45

Per rio service vedi qui:
http://www.wininizio.it/forum/index.php?showtopic=16016
Per mioengine.exe vedi qui:
http://www.hwupgrade.it/forum/archive/i ... 59042.html

Con hijackthis, premi “do a system scan only”, cerchi e spunti la voce seguente
F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe" -------> il famoso e ormai odioso file ibm
Premi fix checked
Controlla di non avere il file famigerato qui:
C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe
Complimenti per i ragonamenti che hai fatto ;) (la voce 017 è la connessione che utilizzi), i tuoi tre BHO sono legittimi (java, norton, acrobat).
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Kiaretta » 24/04/06 13:52

Ma il file F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe" lo elimino con sicurezza?

Mi spiego meglio, sopra fabrizius diceva semplicemente di andare in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon" ed elimare tutto quello che segue "explorer.exe", tra cui anche ibm00001.exe.
Con hijackthis elimino tutto il file? Non è che magari comporta il non funzionamento di qualcosa essendo un explore.exe?

Chiedo semplicemente però voglio far tutto in sicurezza... non sembra, ma per una come me che fino a stamattina non sapeva cos'era un registro di sistema non è facilissimo... :oops:

Se mi dici che posso andar tranquilla, poi procedo!
Faccio back up dei registri; con hijackthis elimino tutto il file F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe"; e poi spengo e riavvio per vedere il risultato...

Graaaaaazie!
Kiaretta
Utente Junior
 
Post: 38
Iscritto il: 24/04/06 07:39

Postdi Luke57 » 24/04/06 14:13

Ciao, è la stessa cosa in pratica, con hijackthis elimini la voce di registro. Prima di fissare la voce, togli l'eseguibile di hijackthis dal desktop e mettilo in una cartella tutta sua, tipo C\HJT o C\programmi \HJT, che non sia nè temporanea nè desktop ( scusa, mi ero dimenticato di aggiungerlo),per consentire al programma di fare un backup delle voci rimosse.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Kiaretta » 24/04/06 14:16

Kiaretta ha scritto:Successivamente ho provato a fare l'analisi al link (http://www.hijackthis.de/) che mi ha dato luke. Eccone i risultati:

1) Alcuni processi che segnala come sconosciuti sono quelli della console acer (ho un particolare modello di pc della acer) e non dovrebbero essere nocivi.
2) C:\MyService\RIOService.exe -------> questo non so cosa sia
3) C:\SCANJET\PrecisionScanLT\hppwrsav.exe -------> penso faccia parte del software dello scanner (in effetti mi ha dato qualche problema ultimamente)
4) C:\WINDOWS\system32\mioengine.exe -------> altra cosa che non so da dove sbuchi
5) F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe" -------> il famoso e ormai odioso file ibm
6) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE -------> dovrebbe riguardare il software dell'audio! ma non capisco perchè me lo dia come file pericoloso da eliminare!
7) O4 - Startup: My 190.it.lnk = C:\Documents and Settings\Chiara\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio -------> eheh questa una gran bella scoperta! da parecchio mi trovavo sempre nei documenti recenti questa serie di numeri "69GWEU9386MTAR08" ma non ho mai capito da dove arrivassero, ne riuscivo a trovarne la sorgente. ora vedo che è probabilmente collegata al programmino del 190 che provvedo a disinstallare subito...
8 ) O17 - HKLM\System\CCS\Services\Tcpip\..\{8F4087B3-0179-406E-868F-7A6D6BA1B7FD}: NameServer = 85.37.17.40 85.38.28.85 -------> indirizzi ip anche? mi consigliano di eliminarlo se non conosco questo indirizzo... ma come faccio a sapere da dove arriva???
9) O23 - Service: RIOService - TODO: - C:\MyService\RIOService.exe -------> probabilmente collegato al file nel punto 2)...


Evvai, intanto il punto 4) e il punto 7) sono stati risolti! Stupido 190 di biiiiip...
Kiaretta
Utente Junior
 
Post: 38
Iscritto il: 24/04/06 07:39

Postdi Kiaretta » 24/04/06 14:40

Evvai!!! E anche l'ibm0001.exe è stato sistemato alla grande!!!

Luke, ho seguito le istruzioni che aveva scritto qualche tempo fa fabrizius perchè se facevo come dicevi tu (ovvero spostare la cartelle di Hijackthis in C, visto che l'avevo sul desktop) mi dava un messaggio di errore dicendo che lo spostamento poteva causare problemi ad altre applicazioni...
Va beh, comunque sia altro problema risolto! Quindi depenno anche il punto 5)...

Le due cose che adesso mi preoccupano un po' di più sono:
:arrow: "O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE" perchè l'analisi di Hijackthis mi consiglia di eliminarlo, ma se non sbaglio ha a che fare con l'audio
:arrow: "O17 - HKLM\System\CCS\Services\Tcpip\..\{8F4087B3-0179-406E-868F-7A6D6BA1B7FD}: NameServer = 85.37.17.40 85.38.28.85" che non ho la più pallida idea di cosa fare.

Per quanto riguarda RIOservice forse riesco a sistemarlo grazie hai link che mi hai dato prima...



:D :D Intanto vi ringrazio ancora tutti!!!! Mitici!!! :D :D

(Quanto mai ho scelto ingegneria ambientale e non informatica!!!)
Kiaretta
Utente Junior
 
Post: 38
Iscritto il: 24/04/06 07:39

Postdi fabrizius » 24/04/06 14:55

Ciao
per quanto riguarda le voci,spesso hijackthis segnala delle voci sopette anche se non lo sono,proprio per quello il log và interpretato da chi lo analizza....
Le due voci che ti preoccupano perché hiajckthis dà per sospette sono leggittime quindi stai tranquilla

ALCMTR.EXE-->>processo realtek
NameServer = 85.37.17.40 85.38.28.85-->>sono i DNS del tuo provider
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Un PERICOLOSO INTRUSO in ACCESSO REMOTO":


Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti