Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

citofarera

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

citofarera

Postdi biosistemi » 24/08/06 10:34

Ciao a tutti, anche io ho problemi con citofarera. Ho provato a guardare il post che già c'è ma non avendo trovato ilprimo file che consigliavate di cancellare mi sono persa. vi copio il mio log di hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 11.33.20, on 24/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Documents and Settings\Utente\Dati applicazioni\ratorefaci\sysrtmvs.exe
C:\Programmi\Microsoft Office\Office10\OUTLOOK.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Microsoft Office\Office10\EXCEL.EXE
C:\Programmi\Microsoft Office\Office10\MSACCESS.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Utente\Impostazioni locali\Temp\Directory temporanea 2 per hijackthis_199.zip\HijackThis.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Programmi\Norton AntiVirus\OPScan.exe
C:\Programmi\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Utente\Desktop\821133128.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\Utente\Dati applicazioni\ratorefaci\sysrtmvs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.xxx-content.name
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/latest/PlaxoInstall.cab
O16 - DPF: {C982AFAD-04DD-400C-9486-219A25B36363} (prgDoEvents.clsDoEvents) - http://tema/Include/prgDoEvents.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9B7D34A-CCCD-46D7-A43E-69D9CD39E7E7}: NameServer = 151.99.125.2,151.99.125.3
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

attendo fiduciosa un aiuto

grazie mille ;)
biosistemi
Newbie
 
Post: 4
Iscritto il: 24/08/06 09:54
Località: bologna

Sponsor
 

Postdi Luke57 » 24/08/06 10:43

Ciao, metti hijackthis.exe in una cartella del disco fisso appositamente creata, tipo C:\HJT, per consentire al programma di fare i backups delle voci rimosse.
Apri il programma, premi "open the misc tools section", "open process manager", cerchi il processo:
C:\Documents and Settings\Utente\Dati applicazioni\ratorefaci\sysrtmvs.exe
premi killprocess.

Torni al menu principale con back, premi scan, cerchi e spunti:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Utente\Desktop\821133128.dll
O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\Utente\Dati applicazioni\ratorefaci\sysrtmvs.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.xxx-content.name

premi fix checked

Cerca ed elimina la cartella:
C:\Documents and Settings\Utente\Dati applicazioni\ratorefaci
il file:
C:\Documents and Settings\Utente\Desktop\821133128.dll
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi andorra24 » 24/08/06 10:45

Ciao, apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'':

C:\Documents and Settings\Utente\Dati applicazioni\ratorefaci\sysrtmvs.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Utente\Desktop\821133128.dll
O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\Utente\Dati applicazioni\ratorefaci\sysrtmvs.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.xxx-content.name
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/latest/PlaxoInstall.cab (se non conosci questa voce eliminala)
O16 - DPF: {C982AFAD-04DD-400C-9486-219A25B36363} (prgDoEvents.clsDoEvents) - http://tema/Include/prgDoEvents.CAB (se non conosci questa voce eliminala)

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica delete doctor da qua:
http://www.megalab.it/articoli.php?id=652
Con delete doctor elimina i seguenti files:
C:\Documents and Settings\Utente\Dati applicazioni\ratorefaci\sysrtmvs.exe (dopo aver eliminato il file exe elimina anche la cartella ratorefaci)
C:\Documents and Settings\Utente\Desktop\821133128.dll
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi n1926 » 24/08/06 11:09

ciao ragazzi! innanzitutto complimenti ed 1 grazie a coloro che aiutano quotidianamente utenti in preda ad ospiti indesiderati nel proprio pc... :)
volevo 1 vostro parere..
giorni fa ho avuto problemi girando su internet, mi sono beccato na dozzina di virus trojan e un collegamento nel menu start e nella barra del desktop ad una pagina di I.E., che purtroppo eliminai senza verificare poi l'effettiva presenza di file che lo riguardassero sull'hd... anche i virus eliminai (anche manualmente) tra DLL infette e file .exe... avvisi di virus con nod32 non se ne sono più visti! eseguendo però Spybot mi compare sempre la voce di Citofarera con una unica sottovoce di modifica al registro, questa:
HKEY_USERS\S-1-5-21-448539723-789336058-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\1987324.com\www\*!=W=4
che puntualmente pulisco con il software ma che puntualmente si ripresenta alla scansione successiva...
girando 1 po su internet leggo di file .exe o .dll da eliminare (tipo service.exe o svchost.exe ecc ecc ) ma che sul mio hd non sono presenti,almeno nn li trovo(ho spuntato anche l'opzione x la visualizzazione dei file nascosti e di sistema)... nella cartella c:WINDOWS c'è solo 1 service.dll che credo sia sospetto...
vi posto il log di hijackthis, e vi ringrazio in anticipo x gli aiuti che mi darete nel cercar di eliminare quella voce che compare sempre in Spybot...
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programmi\MsgPlus.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Desktop senza fili Labtech\MagicKey.exe
C:\Programmi\Desktop senza fili Labtech\MulMouse.exe
C:\WINDOWS\twain_32\A4CIS\WATCH.exe
C:\Programmi\Desktop senza fili Labtech\OSD.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\InterBase Corp\InterBase\bin\ibguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\InterBase Corp\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wscntfy.exe
D:\backup\Michele\emule\emule.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\Explorer.EXE
D:\backup\Michele\software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE,C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmi\MsgPlus.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [Skype] "D:\Programmi\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: ms.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS\WATCH.exe
O4 - Global Startup: Attiva il Desktop senza fili Labtec.lnk = C:\Programmi\Desktop senza fili Labtech\MagicKey.exe
O4 - Global Startup: Gestore Chiave.lnk = C:\ITALWIN\KeyServer.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD LT 2002 Ita\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD LT 2002 Ita\AcDcToday.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD LT 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD LT 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{665E5F74-7305-49F4-8392-5BDD21275A37}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InterBase Guardian (InterBaseGuardian) - InterBase Software Corp. - C:\Programmi\InterBase Corp\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - InterBase Software Corp. - C:\Programmi\InterBase Corp\InterBase\bin\ibserver.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
n1926
Utente Junior
 
Post: 41
Iscritto il: 24/08/06 10:48

Postdi andorra24 » 24/08/06 11:23

Ciao, metti la spunta nella casellina accanto alle seguenti voci e dopo esserti disconnesso da internet e aver chiuso tutti i programmi aperti premi fix checked:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE,C:\WINDOWS\svchost.exe
O4 - Startup: ms.exe

Conosci questa voce?
O4 - Global Startup: Gestore Chiave.lnk = C:\ITALWIN\KeyServer.exe
Se non la conosci eliminala come la precedente.

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema (consigliato)''.

scarica killbox da qui:
http://www.bleepingcomputer.com/files/killbox.php
con killbox assicurati che spariscano dal tuo pc i seguenti files (se presenti) :
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\services32.dll
C:\WINDOWS\services.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\ms.exe

Fai una scansione con superantispyware:
http://www.superantispyware.com/downloa ... PYWAREFREE
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi n1926 » 24/08/06 11:32

tutto ciò lo devo fare in modalità provvisoria o va bene anche normalmente?
n1926
Utente Junior
 
Post: 41
Iscritto il: 24/08/06 10:48

Postdi andorra24 » 24/08/06 11:49

n1926 ha scritto:tutto ciò lo devo fare in modalità provvisoria o va bene anche normalmente?

Prova in modalita' normale e se non dovesse funzionare riprova in modalita' provvisoria.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi n1926 » 24/08/06 11:57

grazie molte! ci provo!
n1926
Utente Junior
 
Post: 41
Iscritto il: 24/08/06 10:48

Postdi n1926 » 24/08/06 12:20

andorra24 ha scritto:scarica killbox da qui:
http://www.bleepingcomputer.com/files/killbox.php
con killbox assicurati che spariscano dal tuo pc i seguenti files (se presenti) :
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\services32.dll
C:\WINDOWS\services.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\ms.exe


devo inserire il nome del file in "full path of file to delete" e cliccare sulla X che sta a destra? le voci che sono sotto "standard file kill". "delete on rebot" ecc come le devo spuntare?
n1926
Utente Junior
 
Post: 41
Iscritto il: 24/08/06 10:48

Postdi andorra24 » 24/08/06 12:37

n1926 ha scritto:
devo inserire il nome del file in "full path of file to delete" e cliccare sulla X che sta a destra? le voci che sono sotto "standard file kill". "delete on rebot" ecc come le devo spuntare?

Apri KillBox
inserisci all'interno della stringa bianca l'intero percorso del file
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso
Fallo per tutti i files.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi n1926 » 24/08/06 13:39

ho eseguito le operazioni da te suggerite, tranne la scansione finale...
cancellati i file presenti con killbox, si è riavviato automaticamente il pc e sul desktop mi è comparso il file Thumbs.db ...di cosa si tratta? lo cestino?
n1926
Utente Junior
 
Post: 41
Iscritto il: 24/08/06 10:48

Postdi andorra24 » 24/08/06 13:52

n1926 ha scritto:ho eseguito le operazioni da te suggerite, tranne la scansione finale...
cancellati i file presenti con killbox, si è riavviato automaticamente il pc e sul desktop mi è comparso il file Thumbs.db ...di cosa si tratta? lo cestino?

Si puoi eliminare quel file del desktop, nulla di importante.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi n1926 » 24/08/06 14:00

andorra24 ha scritto:
n1926 ha scritto:ho eseguito le operazioni da te suggerite, tranne la scansione finale...
cancellati i file presenti con killbox, si è riavviato automaticamente il pc e sul desktop mi è comparso il file Thumbs.db ...di cosa si tratta? lo cestino?

Si puoi eliminare quel file del desktop, nulla di importante.


non l'ho eliminato ma girando su internet ho visto che sono file generati dallo stesso sistema in cartelle che contengono immagini... spuntando per non far visualizzare i file nascosti, i file di sistema e la voce "non memorizzare le anteprime nalla memoria cache" non è più visibile... ;)
n1926
Utente Junior
 
Post: 41
Iscritto il: 24/08/06 10:48

Postdi andorra24 » 24/08/06 14:13

n1926 ha scritto:
non l'ho eliminato ma girando su internet ho visto che sono file generati dallo stesso sistema in cartelle che contengono immagini... spuntando per non far visualizzare i file nascosti, i file di sistema e la voce "non memorizzare le anteprime nalla memoria cache" non è più visibile... ;)

Si lo so... ma si tratta di files non fondamentali e si possono anche eliminare come ad esempio e' detto qui:
http://www.classweb.hs.iastate.edu/tips ... efault.htm

Citazione: No harm is done by deleting thumbs.db files. There is no need to include them in your system backups.

Comunque va benissimo come hai fatto tu. ;)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi biosistemi » 24/08/06 16:22

ho seguito i vostri consigli e sembra che sia riuscita a fissare il problema.

grazie! :D
biosistemi
Newbie
 
Post: 4
Iscritto il: 24/08/06 09:54
Località: bologna

Postdi andorra24 » 24/08/06 17:22

biosistemi ha scritto:ho seguito i vostri consigli e sembra che sia riuscita a fissare il problema.

grazie! :D

Bene, mi fa piacere. ;)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi gaboro » 26/08/06 17:51

Ciao a tutti, ho provato con le prodedure descritte per altri utenti, ma non trovo il file che indicate sempre all'inizio. S equalcuno potesse gentlmente aiutarmi, questo è il mio log file

Logfile of HijackThis v1.99.1
Scan saved at 18.47.36, on 26/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Olivetti\ANY_WAY\olMntrService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TrayIcon.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Olivetti\ANY_WAY\olDvcStatus.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\system32\mioengine.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\boot32.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\Documents and Settings\Gabro\Documenti\File ricevuti\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?301
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O1 - Hosts: 207.44.196.219 auto.search.msn.com #NETVISION
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: ComCap - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\system32\comcap16.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [eTrust Realtime Monitor] C:\WINDOWS\system32\realmon.exe /start
O4 - HKLM\..\Run: [Recguard] C:\Programmi\HP\recguard.exe
O4 - HKLM\..\Run: [Apvxdwin] C:\WINDOWS\system32\APVXDWIN.EXE
O4 - HKLM\..\Run: [Windows Update AutoUpdate Client] C:\WINDOWS\system32\winupd\wuauclt.exe
O4 - HKLM\..\Run: [FoolProof] C:\Programmi\SmartStuff\fpwinldr.exe /load
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OlStatusMon] "C:\Programmi\Olivetti\ANY_WAY\olDvcStatus.exe" dvcStatusMinimize
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Startup: My 190.it.lnk = C:\Documents and Settings\Gabro\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Image Converter 2 ??? - C:\Programmi\Sony\Image Converter 2\menu.htm
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O15 - Trusted Zone: http://www.playitalia.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/08c405d08d5 ... 601_it.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: olMntrService - Olivetti - C:\Programmi\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

Grazie Mille!!!
gaboro
Newbie
 
Post: 1
Iscritto il: 26/08/06 17:48

Postdi andorra24 » 26/08/06 18:18

Ciao, apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\system32\spoolsvc.exe (da NON confondere con il legittimo spoolsv.exe)
C:\boot32.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?301
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O1 - Hosts: 207.44.196.219 auto.search.msn.com #NETVISION
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll
O2 - BHO: ComCap - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\system32\comcap16.dll
O4 - HKLM\..\Run: [Windows Update AutoUpdate Client] C:\WINDOWS\system32\winupd\wuauclt.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O15 - Trusted Zone: http://www.playitalia.com

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica delete doctor da qua:
http://www.megalab.it/articoli.php?id=652
Con delete doctor elimina i seguenti files:
C:\WINDOWS\system32\spoolsvc.exe (da NON confondere con il legittimo spoolsv.exe)
C:\boot32.exe
C:\WINDOWS\system32\winupd\wuauclt.exe (dopo elimina la cartella winupd)
C:\WINDOWS\system32\comcap16.dll
C:\WINDOWS\system32\apparat.dll

Fai una scansione con superantispyware:
http://www.superantispyware.com/downloa ... PYWAREFREE
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

problemi post citofarera

Postdi ishara » 27/08/06 07:54

Ciao ragazzi!
Innanzitutto devo ringraziarvi sinceramente..Grazie a voi, sono riuscita a togliere dal pc il virus ratorefaci.. Pensare che nemmeno il tecnico che mi ha venduto il pc ci era riuscito, addirittura lui voleva formattare il pc!!!!
Ad ogni modo, ora ho ancora due problemini, e cioè che non riesco ad aprire gli allegati delle mail e nonmi apre i link delle pagine...
Avete suggerimenti?
Inoltre, il tecnico che ha visto il pc ha sostituito il mio antivirus che era ND32 con Antivir Guard... che però scadrà il 31 agosto, quindi che faccio, reinstallo NOD32???

GRAZIE INFINITE!!!!!! :)
ishara
Newbie
 
Post: 8
Iscritto il: 27/08/06 07:47

Re: problemi post citofarera

Postdi andorra24 » 27/08/06 08:09

ishara ha scritto:Ciao ragazzi!
Innanzitutto devo ringraziarvi sinceramente..Grazie a voi, sono riuscita a togliere dal pc il virus ratorefaci.. Pensare che nemmeno il tecnico che mi ha venduto il pc ci era riuscito, addirittura lui voleva formattare il pc!!!!
Ad ogni modo, ora ho ancora due problemini, e cioè che non riesco ad aprire gli allegati delle mail e nonmi apre i link delle pagine...
Avete suggerimenti?
Inoltre, il tecnico che ha visto il pc ha sostituito il mio antivirus che era ND32 con Antivir Guard... che però scadrà il 31 agosto, quindi che faccio, reinstallo NOD32???

GRAZIE INFINITE!!!!!! :)

Per quanto riguarda l'antivirus direi che faresti bene a reinstallare il nod32.
Ultima modifica di andorra24 su 27/08/06 09:49, modificato 1 volte in totale.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "citofarera":

citofarera
Autore: aiutocitofarera
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti