Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Un aiuto, per favore

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Un aiuto, per favore

Postdi Shadow Dancer » 14/10/06 14:20

Ciao a tutti, questa mattina ho acceso il pc e mi è apparsa una finestrella: c:\MSGSET-1.EXE. Quando mi collego a internet il mio antivirus "impazzisce". Ecco il mio log Hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 15.09.44, on 14/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wintasks32.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\ipekkg.exe
C:\WINDOWS\System32\vgxixk.exe
C:\nwnmff_e28.exe
C:\WINDOWS\System32\devldr32.exe
C:\dfndrff_e29.exe
C:\kybrdff_e29.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\GIUSEPPE\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [phxp service] ipekkg.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [Windows LoL Layer] vgxixk.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e28.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e29.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e29.exe
O4 - HKLM\..\RunServices: [phxp service] ipekkg.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [Windows LoL Layer] vgxixk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Windows LoL Layer] vgxixk.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/ ... 2D2D2D.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Sponsor
 

Postdi andorra24 » 14/10/06 14:59

Hai parecchie infezioni nel pc.

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\wintasks32.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\ipekkg.exe
C:\WINDOWS\System32\vgxixk.exe
C:\nwnmff_e28.exe
C:\dfndrff_e29.exe
C:\kybrdff_e29.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [phxp service] ipekkg.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [Windows LoL Layer] vgxixk.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e28.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e29.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e29.exe
O4 - HKLM\..\RunServices: [phxp service] ipekkg.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [Windows LoL Layer] vgxixk.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Windows LoL Layer] vgxixk.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/ ... 2D2D2D.exe
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica killbox da qui: http://www.killbox.net/downloads/KillBox.exe
con killbox elimina le seguenti voci:
C:\WINDOWS\wintasks32.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\ipekkg.exe
C:\WINDOWS\System32\vgxixk.exe
C:\nwnmff_e28.exe
C:\dfndrff_e29.exe
C:\kybrdff_e29.exe

Fai alcune scansioni:
http://www.superantispyware.com/downloa ... PYWAREFREE
http://downloads.grisoft.cz/softw/70/fi ... 5.0.50.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Shadow Dancer » 15/10/06 13:46

Ho fatto quello che mi hai detto, ora il pc sembra apposto. Ti ringrazio ;) .

Un saluto
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Postdi Shadow Dancer » 17/10/06 14:54

Mi rifaccio (ahime) ancora vivo (non che non mi piaccia questo forum, intendiamoci, anzi è interessante... ma preferirei non scriverci :lol: - non aver problemi); le cose sembravano ok ma oggi pomeriggio si è ripresentato un nuovo problema ( :aaah ). Posto il mio nuovo log Hijackthis:

Vi ringrazio anticipatamente.

Logfile of HijackThis v1.99.1
Scan saved at 15.41.52, on 17/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\orgabf.exe
C:\WINDOWS\System32\svcchost.exe
C:\WINDOWS\System32\winfix.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\orgabf.exe
C:\WINDOWS\System32\winfix.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\evgdyl.exe
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\GIUSEPPE\Desktop\HijackThis.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metallica.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\GIUSEPPE\Desktop\1015214630.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [phxp service] evgdyl.exe
O4 - HKLM\..\Run: [Windows LoL Layer] orgabf.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [Windows WMF Fix] winfix.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [phxp service] evgdyl.exe
O4 - HKLM\..\RunServices: [Windows LoL Layer] orgabf.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [Windows WMF Fix] winfix.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows LoL Layer] orgabf.exe
O4 - HKCU\..\Run: [Windows WMF Fix] winfix.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/ ... 2D2D2D.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Postdi andorra24 » 17/10/06 15:26

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\System32\orgabf.exe
C:\WINDOWS\System32\svcchost.exe (attento a non confonderlo con il legittimo svchost.exe! )
C:\WINDOWS\System32\winfix.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\evgdyl.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e dopo aver chiuso il browser e ogni altro programma aperto premi ''fix checked'':

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\GIUSEPPE\Desktop\1015214630.dll (file missing)
O4 - HKLM\..\Run: [phxp service] evgdyl.exe
O4 - HKLM\..\Run: [Windows LoL Layer] orgabf.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [Windows WMF Fix] winfix.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [phxp service] evgdyl.exe
O4 - HKLM\..\RunServices: [Windows LoL Layer] orgabf.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [Windows WMF Fix] winfix.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Windows LoL Layer] orgabf.exe
O4 - HKCU\..\Run: [Windows WMF Fix] winfix.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/ ... 2D2D2D.exe
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica killbox da qui: http://www.killbox.net/downloads/KillBox.exe
con killbox elimina i seguenti files:
C:\WINDOWS\System32\orgabf.exe
C:\WINDOWS\System32\svcchost.exe (attento a non confonderlo con il legittimo svchost.exe! )
C:\WINDOWS\System32\winfix.exe
C:\WINDOWS\System32\MSDHCP32.exe
C:\WINDOWS\System32\evgdyl.exe
C:\WINDOWS\wintasks32.exe
C:\Documents and Settings\GIUSEPPE\Desktop\1015214630.dll

Fai alcune scansioni:
http://www.superantispyware.com/downloa ... PYWAREFREE
http://downloads.grisoft.cz/softw/70/fi ... 5.0.50.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Shadow Dancer » 17/10/06 21:32

Di male in peggio. :(
Allora, ho fatto quello che mi hai detto (con Hijackthis & Killbox), poi, visto che Avgas non "funzionava" (mi si bloccava) l'ho disinstallato. Mi sono ricoleggato a internet per riscaricarlo, ma sono stato letteralmente bombardato da trojan, malware ecc... Cosa mi consigli di fare? Riposto un nuovo log Hijackthis?

Ciao
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Postdi andorra24 » 17/10/06 21:51

Dal tuo log di hijackthis emerge che non hai nessun firewall e usi ancora il vecchio SP1 mentre dovresti avere gia' da un sacco di tempo il SP2. In queste condizioni non mi stupisce che tu abbia tutte queste infezioni nel pc. Dovresti procurarti immediatamente un firewall per proteggerti quando vai in internet, effettuare un po' di scansioni antivirus/antispyware per ripulire il pc e infine dovresti mettere il SP2 di XP.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Shadow Dancer » 17/10/06 22:50

Scusa, sono a digiuno di "nozioni tecniche", cos'è l'SP1 e come potrei mettere L'SP2?
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Postdi Shadow Dancer » 17/10/06 22:57

...e puoi indicarmi un firewall gratuito che non entri in conflitto con Avast!
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Postdi andorra24 » 17/10/06 23:18

Per quanto riguarda il SP2 di XP puoi saperne di piu' leggendo questo:
http://www.microsoft.com/italy/windowsx ... fault.mspx

Per quanto riguarda il firewall gratuito ce ne sono diversi. Tra i migliori:

Kerio: http://www.sunbelt-software.com/Kerio.cfm
Comodo personal firewall: http://www.personalfirewall.comodo.com/
guida su questo firewall: http://www.megalab.it/articoli.php?id=867
Zone Alarm: http://www.zonelabs.com/store/content/c ... lid=nav_za
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Shadow Dancer » 18/10/06 12:42

Ancora un grazie per i consigli e i link - ho appena installato 'Comodo'. Ti chiedo un ultimissimo favore, cioè quello di controllare il mio nuovo log HijackThis; c'è sicuramente qualcosa che va eliminata (tipo DeluxeCommunications)...

Ciao

Logfile of HijackThis v1.99.1
Scan saved at 13.36.37, on 18/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\lssc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lsscs.exe
C:\WINDOWS\alrs.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svcchost.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\kybrdff_e32.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\devldr32.exe
C:\nwnmff_e32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programmi\DeluxeCommunications\DxcBho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - [SASInprocServer32] (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [Comodo Firewall] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programmi\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e32.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e32.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programmi\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 1124097721
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Remote Map Manager - Unknown owner - C:\WINDOWS\system32\lssc.exe
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)
O23 - Service: Window Plugin Service - Unknown owner - C:\WINDOWS\system32\lsscs.exe
O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINDOWS\alrs.exe
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Postdi andorra24 » 18/10/06 13:00

Hai tantissime infezioni. La vedo dura. :-?

Guarda nel pannello di controllo/installazione applicazioni se hai una voce DeluxeCommunications e se la vedi disinstallala subito.

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\system32\lssc.exe
C:\WINDOWS\system32\lsscs.exe
C:\WINDOWS\alrs.exe
C:\WINDOWS\System32\svcchost.exe (non confonderlo con il legittimo svchost.exe)
C:\kybrdff_e32.exe
C:\nwnmff_e32.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e dopo aver chiuso il browser e ogni altro programma aperto premi ''fix checked'':

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programmi\DeluxeCommunications\DxcBho.dll
O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - [SASInprocServer32] (file missing)
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programmi\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e32.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e32.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programmi\DeluxeCommunications\Dxc.exe
O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: Remote Map Manager - Unknown owner - C:\WINDOWS\system32\lssc.exe
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)
O23 - Service: Window Plugin Service - Unknown owner - C:\WINDOWS\system32\lsscs.exe
O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINDOWS\alrs.exe

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica killbox da qui: http://www.killbox.net/downloads/KillBox.exe
con killbox elimina i seguenti files:
C:\WINDOWS\system32\lssc.exe
C:\WINDOWS\system32\lsscs.exe
C:\WINDOWS\alrs.exe
C:\WINDOWS\System32\svcchost.exe (non confonderlo con il legittimo svchost.exe)
C:\kybrdff_e32.exe
C:\nwnmff_e32.exe
C:\Programmi\DeluxeCommunications\Dxc.exe (elimina la cartella DeluxeCommunications)
C:\WINDOWS\wintasks32.exe
C:\WINDOWS\system32\dxclib303562752.dll

Fai alcune scansioni:
http://www.superantispyware.com/downloa ... PYWAREFREE
http://downloads.grisoft.cz/softw/70/fi ... 5.0.50.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Shadow Dancer » 18/10/06 13:44

andorra24 ha scritto:Hai tantissime infezioni. La vedo dura. :-?

La soluzione migliore è formattare? Mi consigli questo?...
Intanto ho fatto quello che hai scritto, ma non si riesco ad eliminare queste due voci:

C:\WINDOWS\system32\lssc.exe

C:\WINDOWS\alrs.exe

Ora procedo con la scansione.
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Postdi andorra24 » 18/10/06 13:54

Shadow Dancer ha scritto:La soluzione migliore è formattare? Mi consigli questo?...

Diciamo che in certi casi e' la soluzione migliore e piu' veloce soprattutto quando le infezioni da eliminare sono davvero tante. Comunque non ti sto dicendo di farlo per il momento.
Shadow Dancer ha scritto:Intanto ho fatto quello che hai scritto, ma non si riesco ad eliminare queste due voci:

C:\WINDOWS\system32\lssc.exe

C:\WINDOWS\alrs.exe

Ora procedo con la scansione.

scarica avenger sul desktop
http://www.suspectfile.com/upload/files ... venger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla la scritta in neretto:

Files to delete:
C:\WINDOWS\system32\lssc.exe
C:\WINDOWS\alrs.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.
Nel file C:\Avenger.txt dovresti visualizzare l'esito dell'operazione.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Shadow Dancer » 18/10/06 14:50

Ecco il log di Avenger, è riuscito ad eliminarli. Ora cosa mi consigli di fare?
Un altro grazie, i 'grazie' non sono mai abbastanza. :-)

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xpifncyc

*******************

Script file located at: \??\C:\WINDOWS\System32\velxxygt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\lssc.exe deleted successfully.
File C:\WINDOWS\alrs.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Shadow Dancer
Utente Junior
 
Post: 17
Iscritto il: 02/06/06 13:51

Postdi andorra24 » 18/10/06 15:01

Hai effettuato le scansioni con AVG Antispyware e Superantispyware? Come va adesso?
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo


Torna a Sicurezza e Privacy


Topic correlati a "Un aiuto, per favore":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti