Condividi:        

Problema di trojan ma non posso usare hijackthis

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi HeeK » 05/06/07 11:53

Luke ho avviato avenger ma credo che ci siano degli errori nell'apertura degli script. Ecco il log:

_____________________________________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rlwvrihh

*******************

Script file located at: hojeuckf

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
______________________________________________________

Una cosa... quando ho copiato nel riquadro "edit script" le scritte in neretto ho notato che questa:

registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | fYi


contiene alla fine il carattere di pipe e non lo slash. forse per questo ha dato errore?

fammi sapere, grazie
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Sponsor
 

Postdi Luke57 » 05/06/07 11:58

Ciao, va bene in quel modo in quanto elimina un valore, lo slash si usa quando si elimina una chiave. Comunque ripeti la procedura, a volte lo fa, se non funge si procede a mano.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi HeeK » 05/06/07 12:20

Benissimo Luke, grazie sempre per la tua disponibilità..
Adesso procedo di nuovo con avenger. Se dovesse dare errore mi fermo e mi dici come procedere a mano, ok?
Ti aggiorno
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi HeeK » 05/06/07 12:31

Fatto di nuovo. Stavolta è andato diversamente.
Ecco il nuovo log:

_____________________________________________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ttappiib

*******************

Script file located at: \??\C:\WINDOWS\enggcxmm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Folder C:\documents and settings\fYi not found!
Deletion of folder C:\documents and settings\fYi failed!

Could not process line:
C:\documents and settings\fYi
Status: 0xc0000034



Folder Registry kys to delete: not found!
Deletion of folder Registry kys to delete: failed!

Could not process line:
Registry kys to delete:
Status: 0xc0000034



Could not open folder HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC} for deletion
Deletion of folder HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC} failed!

Could not process line:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}
Status: 0xc000003a

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|fYi deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
_____________________________________________________________

a risentirci
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi HeeK » 05/06/07 18:21

Luke ho anche postato il log di hijackthis su http://www.hijackthis.de

http://www.hijackthis.de/logfiles/44818dc36f5e8a9ca79be66c5a3fc8b7.html

puoi dargli un'occhiata per vedere cosa mi hanno consigliato?
thk
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi Luke57 » 07/06/07 07:15

Ciao, per piacere puoi incollare il log di hijackthis in un post ?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi HeeK » 07/06/07 08:04

OK

_____________________________________________________________
[Y] Logfile of Trend Micro HijackThis v2.0.0 (BETA) - Dovrebbe trattarsi dell'ultima versione.
[WINXP] Platform: Windows XP SP2 (WinNT 5.01.2600) -
[Y] Boot mode: Normal - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\System32\smss.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\SYSTEM32\winlogon.exe - Systemprozess - Windows Login Routine
[Y] C:\WINDOWS\system32\services.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\lsass.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\svchost.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\System32\svchost.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\Explorer.EXE - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Symantec Update related
[Y] C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe - Symantec AppCore Service
[Y] C:\WINDOWS\system32\spoolsv.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\nvsvc32.exe - Non pericoloso, ma superfluo. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\System32\PAStiSvc.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\svchost.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\MSN PLUS\MsgPlus.exe - Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\messengerplus! 3\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni. Messenger Plus
[Y] C:\WINDOWS\SOUNDMAN.EXE - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\RunDLL32.exe - RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.
[Y] C:\PROGRA~1\SAMSUN~1\MOUSE32A.EXE -
[AVSCAN] C:\Programmi\File comuni\Symantec Shared\ccApp.exe - Part of Norton AntiVirus
[Y] C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe - Java Runtime
[Y] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe - Part of Nokia PC Suite 6
[Y] C:\WINDOWS\system32\ctfmon.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\MSN Messenger\msnmsgr.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE - Nokia PC Suite, F-Secure Backweb Client
[Y] C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe -
[Y] C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe - Acrobat Reader
[?] C:\Documents and Settings\Fam. Rotolo\Desktop\Analizzatore_HiJackThis_v2.exe - Processo sconosciuto.
[Y] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 - Questa pagina è stata identificata come sicura.
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ - Questa pagina è stata identificata come sicura.
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 - Questa pagina è stata identificata come sicura.
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 - Questa pagina è stata identificata come sicura.
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 - Questa pagina è stata identificata come sicura.
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 - Questa pagina è stata identificata come sicura.
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = -
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = -
[X] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = - Questa voce è stata classificata dai nostri visitatori come infetta.
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = -
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti - Questa voce è stata classificata dai nostri visitatori come sicura.
[?] F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe - Fuzzy Algorithmcheck (3.27 / 5.00), Neutral
[Y] O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - AcroIEhelper.ocx, AcroIEhelper.dll - Adobe Acrobat reader, http://www.adobe.com/products/acrobat/re adstep2.html
[N] O2 - BHO: (no name) - {184726FC-0A5F-1C4B-02D0-96C8A7EC9D84} - (no file) - Da eliminare!Gli elementi non necessari (disattivati) dovrebbero essere eliminati. LinkOptimizer.dll - Downloader trojan, attempts to connect to various Ukrainian websites - also see here, http://www.sophos.com/virusinfo/analyses /trojiefeatbc.html
[Y] O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll - NppBho.dll - Norton, http://www.symantec.com/home_homeoffice/ index.jsp Internet Security "Fraud Monitor Taskbar"
[N] O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file) - Gli elementi non necessari (disattivati) dovrebbero essere eliminati. NISShExt.dll - NIS 2004, http://www.symantec.com/sabu/nis/nis_pe/
[N] O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) - Gli elementi non necessari (disattivati) dovrebbero essere eliminati. NavShExt.dll - Norton Antivirus, http://www.symantec.com/nav/nav_9xnt/
[N] O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) - Da eliminare!Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Questa voce è stata classificata dai nostri visitatori come infetta.
[Y] O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll - UIBHO.dll - Norton, http://www.symantec.com/home_homeoffice/ index.jsp Internet Security "Fraud Monitor Taskbar"
[Y] O4 - HKLM..Run: [NVIDIA nTune] "C:ProgrammiNVIDIA CorporationnTune\nTune.exe" clear - nVidia nTune - motherboard monitoring and overclocking utility for nVidia nForce chipset based motherboards
[Y] O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe - (1) Ghostscript device driver for printers understanding Hewlett-Packard's Printer Command Language - see here for more info or (2) Creates 1 or all 3 icons on taskbar. The 1st one has a yellow border around it warning that ink is low on the printer. The 2nd one is HP Device Detection Software and the 3rd one is about a card being inserted into the Hp printer
[Y] O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MSN PLUS\MsgPlus.exe" - Non pericoloso, ma superfluo. MessengerPlus - third party MSN Messenger extension that adds a number of useful features. Bundles the hard to remove C2Media LOP adware. The software does offer you a choice during setup - make sure to install MessengerPlus WITHOUT that
[Y] O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE - Non pericoloso, ma superfluo. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup - Applicazione sconosciuta. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [nwiz] nwiz.exe /install - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [LWBMOUSE] C:\PROGRA~1\SAMSUN~1\MOUSE32A.EXE - Belkin Mouse
[Y] O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" - Part of Norton AntiVirus. Auto-protect and E-mail check will not function without this
[Y] O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe" - Related to Norton Antivirus from Symantec Corp
[Y] O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" - Fuzzy Algorithmcheck (4.32 / 5.00), Sicuro
[Y] O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" - Java von Sun
[Y] O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog - Nokia PC Suite 6
[Y] O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MSN PLUS\MsgPlus.exe" /WinStart - Non pericoloso, ma superfluo. MessengerPlus - third party MSN Messenger extension that adds a number of useful features. Bundles the hard to remove C2Media LOP adware. The software does offer you a choice during setup - make sure to install MessengerPlus WITHOUT that
[Y] O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background - Microsoft s MSN Messenger 6
[Y] O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') - Office related
[Y] O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') - Office related
[Y] O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') - Office related
[Y] O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') - Office related
[Y] O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll - L'elemento è stato identificato come sicuro.
[Y] O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll - L'elemento Sun Java Console è stato identificato come sicuro.
[Y] O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL - L'elemento Research è stato identificato come sicuro.
[Y] O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL - L'elemento Barra di ricerca di Encarta è stato identificato come sicuro.
[N] O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) - Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Questa voce è stata classificata dai nostri visitatori come sicura.
[N] O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) - Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab - Questo oggetto è sicuro.
[Y] O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab - Questo oggetto è sicuro.
[Y] O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resourc ... oscan8.cab - Questo oggetto è sicuro.
[Y] O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_01) - http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab - Questo oggetto è sicuro.
[X] O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab - Dovrebbe essere cancellato. Questo elemento è probabilmente sospetto.
[Y] O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab - Questo oggetto è sicuro.
[Y] O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab - Questo oggetto è sicuro.
[Y] O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll - Questa voce è stata classificata dai nostri visitatori come sicura.
[?] O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll -
[?] O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll -
[Y] O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe - Questo servizio (ALUSchedulerSvc.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe - Questo servizio (comHost.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe - Questo servizio (isPwdSvc.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE - Questo servizio (LUCOMS~1.EXE) e' stato identificato come non pericoloso.
[Y] O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe - Fuzzy Algorithmcheck (4.16 / 5.00), Sicuro
[Y] O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe - Questo servizio (nvsvc32.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe - Questo servizio (StarWindService.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe - Questo servizio (PAStiSvc.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe - Questo servizio (symlcsvc.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe - Questo servizio (AppSvc32.exe) e' stato identificato come non pericoloso.
_____________________________________________________________
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi dragon720 » 07/06/07 23:21

raga ho lo stesso problema... nn mi apre il forum di hwupgrade ne hijackthise,
le 2 chiavi che avevate detto sembrano apposto.. cioè dentro explorer.exe ce una chiave vuota e una con il debugger... e userint tutto ok

a me raga è proprio explorer che da problemi con iexplorer.exe e con gli altri prog solo se lo klikko dal task manager riesco a entrare dentro al forum ma rinunzio a tutte le icone del desktop!!!

che devo fare??

Aiuto!!!

Grazie per la pazienza e la disponiblità!!!

[DRAGON720]/"=
dragon720
Newbie
 
Post: 2
Iscritto il: 07/06/07 21:28

Postdi Luke57 » 08/06/07 07:15

@Dragon
Ciao, è proprio explorer.exe che va eliminata, apri il taskmanager (ctrl+alt+canc), premi il tab.Processi, evidenzia explorer.exe, premi Termina processo. A questo punto il desktop scomparirà, sempre dal taskmanager vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
explorer.exe
click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura>OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi il registro

3)Sempre dal task manager , vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi HeeK » 08/06/07 09:21

e io sono apposto adesso?
o c'è qualcos'altro che non va? :o
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Hijackthis

Postdi fsabini » 08/06/07 14:20

Salve, anch'io ho lo stesso problema non riesco ad aprire hijackthis ho fatto tutte le operazioni fino alla chiave userinit e quando cerco di modificare la stringa non riesco nel senso che mi ritorna la scritta :c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-checker.exe",anche se riavvio il pc.
Se provo a disinstallare da installazioni/applicazioni hijackthis non ci riesco.
Stesso problema di disinstallazione con Internet Verifier.

Ringrazio tutti coloro che riusciranno a darmi una mano.
fsabini
Newbie
 
Post: 7
Iscritto il: 15/10/03 08:33

Re: Hijackthis

Postdi Luke57 » 08/06/07 14:42

fsabini ha scritto:Salve, anch'io ho lo stesso problema non riesco ad aprire hijackthis ho fatto tutte le operazioni fino alla chiave userinit e quando cerco di modificare la stringa non riesco nel senso che mi ritorna la scritta :c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-checker.exe",anche se riavvio il pc.
Se provo a disinstallare da installazioni/applicazioni hijackthis non ci riesco.
Stesso problema di disinstallazione con Internet Verifier.

Ringrazio tutti coloro che riusciranno a darmi una mano.

Scarica AVGPfix da qui:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

Apri il registro di sistema:
start>esegui>regedit (lo copi nello spazio bianco)>OK

Aperto l’ediror del registro, ciccando sul segno + accanto alle singole voci, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsot\WindowsNT\Cur rentVersion\Winlogon, doppio click sulla cartella Winlogon, cerchi sulla destra questo valore:
c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-checker.exe",


doppio click su di esso, nella finestra Modifica stringa che si apre, nello spazio apposito (Dati valore), troverai scritto:
c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-checker.exe",
selezioni
c:\windows\system32\macromedia-checker.exe,
virgola compresa)
in modo da lasciare nello spazio:
c:\windows\system32\userinit.exe, (virgola compresa)
premi il tasto canc>OK
Attento a non cancellare
c:\windows\system32\userinit.exe,il computer non sarebbe in grado di riavviarsi

Rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK

Esegui AVGPfix, premi start, individui il file:
c:\windows\system32\macromedia-checker.exe
premi OK.
POi, scarica questi due tools:

prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://www.symantec.com/content/en/u...FixLinkopt.exe

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)
Invia anche questo rapporto, allegandoli a un post..
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

DIALER.TROJAN

Postdi vedaila » 08/06/07 15:08

Salve, anche io ho un problema molto simile. Symantec antivirus mi segnale una minaccia: Dialer.Trojan. Non riesco a metterlo in quarantena. Se provo a scaricare Hijackthis, come ho letto in qualche post mi si chiudono tuttle le pagine e sul desktop non compaiono più nemmeno le icone!!Dopo un un pò si riavvia.....ma nn posso aprire neanche le pagine dove compare scritto Hijackthis.....io nn mastico molto di computer quindi se qualcuno può aiutarmi a debellare questo virus deve parlarmi in termini molto semplici....GRAZIE
vedaila
Utente Junior
 
Post: 38
Iscritto il: 08/06/07 08:43

Hijackthis

Postdi fsabini » 08/06/07 15:12

Grazie Luke57,
adesso la stringa con userinit è a posto,ma i 2 Link :
prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://www.symantec.com/content/en/u...FixLinkopt.exe

mi danno impossibile visualizzare la pagina.

Ho comunque riprovato a disinstallare Hijackthis e Internet Verifier , ma senza riuscirci,ringraziandoti ancora ti chiedo se c'è qualcosa che posso fare adesso.
Grazie
fsabini
Newbie
 
Post: 7
Iscritto il: 15/10/03 08:33

Postdi vedaila » 08/06/07 15:37

LuKe57 se potresti dare una mano anche a me te ne sarei molto grata :oops:
grazie
vedaila
Utente Junior
 
Post: 38
Iscritto il: 08/06/07 08:43

Postdi dragon720 » 08/06/07 22:00

Luke57 GRAZIE DI CUORE PER LA PAZIENZA!!! (sorry per il maiusc ma ci vuole)

sei davvero un mago!!! me ne intendo abbastanza di pc ma come fai a sapere tutte queste cose?!?! con le chiavi di registro poi di solito non so dove mettere le mani!!!

Grazie di tutto

[DRAGON720]/"=
dragon720
Newbie
 
Post: 2
Iscritto il: 07/06/07 21:28

Postdi Luke57 » 09/06/07 08:25

dragon720 ha scritto:Luke57 GRAZIE DI CUORE PER LA PAZIENZA!!! (sorry per il maiusc ma ci vuole)

sei davvero un mago!!! me ne intendo abbastanza di pc ma come fai a sapere tutte queste cose?!?! con le chiavi di registro poi di solito non so dove mettere le mani!!!

Grazie di tutto

[DRAGON720]/"=

Ciao, verifica queste chiavi di registro (strat>eseguie>regedit>OK)
1)HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
RFC1156Agent
se trovi la voce che ti indico in neretto click tasto dx e scegli Elimina

2)HKEY_LOCAL_MACHINE
SOFTWARE
Macromedia
ShockPlayer32
se trovi la voce in neretto click tasto dx e scegli Elimina

3)HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Internet Explorer
AdvancedOptions
nelle sottochiavi di quest'ultima se trovi un nome causale con 5 lettere (che può variare e possono essere più di uno)
(in questo caso se hai dei dubbi, prima di cancellare informa nel forum)
click tasto dx e scegli Elimina

Cerca ed elimina le stesse voci , se presenti, sotto la chiave iniziale di registro:
1)HKEY_CURRENT_USER
SOFTWARE
Microsoft
Internet Explorer
AdvancedOptions
Nome causale con 5 lettere

2)HKEY_CURRENT_USER
SOFTWARE
Macromedia
ShockPlayer32

3)HKEY_CURRENT_USER
SOFTWARE
Microsoft
RFC1156Agent
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Hijackthis

Postdi Luke57 » 09/06/07 08:28

fsabini ha scritto:Grazie Luke57,
adesso la stringa con userinit è a posto,ma i 2 Link :
prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://www.symantec.com/content/en/u...FixLinkopt.exe

mi danno impossibile visualizzare la pagina.

Ho comunque riprovato a disinstallare Hijackthis e Internet Verifier , ma senza riuscirci,ringraziandoti ancora ti chiedo se c'è qualcosa che posso fare adesso.
Grazie

Ciao, hai eliminato il file? Riesci a utilizzare hijackthis?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi fsabini » 09/06/07 09:14

Si adesso HijackThis riesco ad utilizzarlo.
Cosa posso fare adesso?
Ciao e grazie
fsabini
Newbie
 
Post: 7
Iscritto il: 15/10/03 08:33

Postdi Luke57 » 09/06/07 09:17

fsabini ha scritto:Si adesso HijackThis riesco ad utilizzarlo.
Cosa posso fare adesso?
Ciao e grazie

Ciao, con le applicazioni e programmi chiusi, lo apri, premi " do a system scan and save a log file", attendi l'elaborazione di un file di testo, copi e incolli il contenuto del file in un post.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Problema di trojan ma non posso usare hijackthis":

problema blocco note
Autore: carlin
Forum: Software Windows
Risposte: 7

Chi c’è in linea

Visitano il forum: Nessuno e 94 ospiti