Condividi:        

Un aiuto urgente per favore!!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Un aiuto urgente per favore!!!

Postdi monclar » 02/03/06 19:23

A parte i palesi collegamenti 015, sullo 04 "IE4321.exe, ho qualche dubbio sullo 017, sul 04 "mouse32a.exe, su "E_S4I0T1.EXE" e su "F2 - userini.exe" - Così come indicatomi dalla scansione con HijackThis.
Potete4 dirmi che devo fare e se basta solo selezionarli e premere Fix Checked?
Grazie mille, anzi, milioniiiii

Logfile of HijackThis v1.99.1
Scan saved at 18.40.43, on 02/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Browser MOUSE\mouse32a.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\Documents and Settings\utente\Dati applicazioni\sgrunt\IE4321.exe
C:\Programmi\Muiltmedia keyboard utility\1.3\KbdAp32A.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\utente\Impostazioni locali\Temporary Internet Files\Content.IE5\ID03A1U5\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userini.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FLMK08KB] C:\Programmi\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\utente\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.xbeta69.com
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmi\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmi\AutoCAD 2002\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmi\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D096132C-7CE6-4B91-96FF-9F02450BE8D5}: NameServer = 85.37.17.39 85.38.28.71
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE

monclar
Utente Junior
 
Post: 49
Iscritto il: 02/03/06 12:45
Località: palermo

Sponsor
 

Postdi LUPO21 » 02/03/06 20:43

cancella tutti i 015-trusted zone,che sono infetti! per quelli gialli cancella quelli che nn sai cosa sono,e cmq fai una copia delle chiavi prima cosi se fai danni puoi rimediare!
PS=nn scrivere mille topic per un problema! ;)
LA VITA E' COME UNA PARTITA DI CALCIO: SI RICORDA CHI HA FATTO IL GOL NON CHI HA FATTO L'ASSIST!
LUPO21
Utente Senior
 
Post: 1145
Iscritto il: 03/01/05 17:45
Località: Castelli Romani

Re: Un aiuto urgente per favore!!!

Postdi Luke57 » 02/03/06 21:29

monclar ha scritto:A parte i palesi collegamenti 015, sullo 04 "IE4321.exe, ho qualche dubbio sullo 017, sul 04 "mouse32a.exe, su "E_S4I0T1.EXE" e su "F2 - userini.exe" - Così come indicatomi dalla scansione con HijackThis.
Potete4 dirmi che devo fare e se basta solo selezionarli e premere Fix Checked?
Grazie mille, anzi, milioniiiii


Ciao, 017 è il server, gli altri 2 sono file relativi al mouse (utuilizzo rapido) e alla stampante Epson. Per quanto riguarda le altre voci:
prima regola è mettere l'eseguibile di hijackthis in una cartella del disco fisso, tipo C\HJT, non temporanea nè desktop, altrimenti il programma non può fare il backup delle voci rimosse.
Apri hijackthis, clicchi "open the misc tools section", individui il seguente processo e lo evidenzi
C:\Documents and Settings\utente\Dati applicazioni\sgrunt\IE4321.exe
clicca "kill process"
Poi premi "back", "scan", cerchi le seguenti voci e metti il segno di spunta:
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\utente\Dati applicazioni\sgrunt\IE4321.exe
Tutte le voci 015
premi "fix checked"
Dalla modalità provvisoria ( Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio), Rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK., cerchi ed elimini i seguenti file:
C:\Documents and Settings\utente\Dati applicazioni\sgrunt\IE4321.exe
( tutta la cartella)
Elimini tutti i file temporanei di windows (temp e tmp), da start>cerca>tutti i file e cartelle, copi e incolli *.temp;*.tmp, ed elimini tutti quelli trovati, poi elimini i file temporanei di IE, cookies , svuoti il cestino. Su pannello di controllo, installazioni\applicazioni, rimuovi tutti i programmi, se ci sono, non installati da te.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi fabrizius » 02/03/06 21:46

ciao,scusa Luke ma volevo aggiungere che sarebbe buono se scarica lo script per riparare la trusted zone
Fai cosi salvalo con il tasto destro su desktop,click con il tasto destro sul file e seleziona Installa
http://www.mvps.org/winhelp2002/DelDomains.inf

Poi volevo aggiungere che anche questo é da eliminare:si tratta del trojan: Trojan.Win32.Agent.TS

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userini.exe
poi dopo aver attivato l'opzione di cartelle e file nacosti cerca ed elimina il file userini.exe <<<da non confondere con il processo leggittimo
di windows( [b]userinit.exe
)


ciao[/b]
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 02/03/06 21:50

Aggiungo che a quanto pare sei senza un firewall,installane uno di questi:

ZoneAlarm
Free e in italiano--->Guida all'uso

oppure

Kerio
Free e in italiano--->Guida all'uso
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Luke57 » 02/03/06 22:31

@ Fabrizius
ciao e complimenti, l'avevo saltato a piè pari (...mannaggia a userini.exe ;))
P.S. mi fa molto piacere il lavoro di squadra.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi fabrizius » 02/03/06 22:49

Ciao Luke ;) ,si ci completaimo a vicenda :)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Ritenterò come suggerito!

Postdi monclar » 03/03/06 16:13

Grazie a tutti voi ragazzi.
Farò come detto!
Io avevo soltanto FIXATO quelli sicuramente infetti, escluso userini, e poi riavviato il pc, ma a quanto pare non basta. Proverò con la modalità provvisoria.
Per quanto riguarda il firewell ho abilitato quello di XP.
ciao
monclar
Utente Junior
 
Post: 49
Iscritto il: 02/03/06 12:45
Località: palermo


Torna a Sicurezza e Privacy


Topic correlati a "Un aiuto urgente per favore!!!":

aiuto windows 10
Autore: mod360
Forum: Software Windows
Risposte: 1
aiuto installazione
Autore: mod360
Forum: Software Windows
Risposte: 3
aiuto x mobili
Autore: MarioLombardi
Forum: Forum off-topic
Risposte: 8

Chi c’è in linea

Visitano il forum: Nessuno e 34 ospiti