Condividi:        

help - file che non se ne va

Se il modem non funziona, hai problemi con la scheda video o non sai che processore scegliere entra qui!!

Moderatori: m.paolo, Caffey

Postdi kennymanson » 20/02/04 17:17

niente...

non se ne va nulla

:aaah

non rileva nemmeno la presenza di un virus

eppure il file da 700mb è ancora li..

dite che la formattazione puo' risolvere questo brutto problema?
kennymanson
Utente Senior
 
Post: 249
Iscritto il: 04/08/03 08:36

Sponsor
 

Postdi Sergio1983 » 20/02/04 17:21

La formattazione sì, è risolutiva, ma prima di procedere ti chiedo ancora una cosa. Hai provato a vedere se riesci ad accedere al tuo hard disk da DOS, con un disco di ripristino qualsiasi di Windows? Lì dev'essere possibile eliminare il file! Solo che non c'è garanzia che tu possa leggere il disco da DOS perché potrebbe essere formattato con NTFS. Devi provare...
E' meglio aver amato e perduto, piuttosto che non aver amato mai. (A. Tennyson)
Sergio1983
Utente Senior
 
Post: 2584
Iscritto il: 09/10/03 13:47
Località: Basso Piemonte

Postdi Dylan666 » 20/02/04 17:31

Comunque da ora alla formattazione ancora ce ne passa. Quella è una "estrema ratio". Dobbiamo ancora provare col programma che dicevo prima ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 20/02/04 18:40

Se il metodo di Sergio1983 non fosse applicabile comincia a scaricati appunto Process Explorer e (sempre in modalità provvisoria) aprilio e salva un log da postare qui ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi kennymanson » 20/02/04 20:18

allora inizio dicendo ke non so come non so quando sono riuscito a cancellare il file da 700mb intanto

poi ho fatto quello ke mi hai detto con il programma process explorer e mi è venuto questo log

Process PID CPU Description Company Name
System Idle Process 0 98
Interrupts 0 Hardware Interrupts
DPCs 0 Deferred Procedure Calls
System 4
smss.exe 572 Windows NT Session Manager Microsoft Corporation
csrss.exe 652 Client Server Runtime Process Microsoft Corporation
winlogon.exe 676 Applicazione Accesso a Windows NT Microsoft Corporation
services.exe 720 Applicazione Servizi e Controller Microsoft Corporation
svchost.exe 900 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 924 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1020 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1044 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 1376 Spooler SubSystem App Microsoft Corporation
alg.exe 1492 Application Layer Gateway Service Microsoft Corporation
avgserv.exe 1508 AvgServ - displays notification message GRISOFT(c) SOFTWARE s.r.o
nvsvc32.exe 1564
svchost.exe 1736 Generic Host Process for Win32 Services Microsoft Corporation
vsmon.exe 3968 TrueVector Service Zone Labs Inc.
lsass.exe 732 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1324 Esplora risorse Microsoft Corporation
SOUNDMAN.EXE 316 Avance Sound Manager Avance Logic, Inc.
hppwrsav.exe 332
avgcc32.exe 356 AVG Control Center GRISOFT s.r.o.
hpotdd01.exe 408 hpotdd01 Hewlett-Packard
iTouch.exe 428 iTouch Application Logitech Inc.
hpztsb08.exe 448 HP
hpwuSchd.exe 540
dslstat.exe 592 DSL Status Executable GlobespanVirata, Inc.
dslagent.exe 612
ctfmon.exe 632 CTF Loader Microsoft Corporation
msmsgs.exe 644 Messenger Microsoft Corporation
IconMgr.exe 696 IconMgr LightSurf Technologies, Inc.
hgcctl95.exe 1056 Colorific Control Panel LightSurf Technologies, Inc.
TICIcon.exe 1096 TICIcon.exe LightSurf Technologies, Inc.
wkcalrem.exe 1144 Microsoft® Works Calendar Reminder Service Microsoft® Corporation
zapro.exe 3936 ZoneAlarm Pro Zone Labs Inc.
procexp.exe 312 2 Sysinternals Process Explorer Sysinternals
EM_EXEC.EXE 1000 Logitech Events Handler Application Logitech Inc.

Process: System Idle Process Pid: 0

Type Name


speriamo bene anke se mi sa ke anke se ho cancellato il file qualcosa è rimasto...
ke faccio, un'altro scan con hijack this?
kennymanson
Utente Senior
 
Post: 249
Iscritto il: 04/08/03 08:36

Postdi Dylan666 » 20/02/04 20:26

Secondo me ci sei riuscito perché dopo la rimozione delle chiavi ci siamo scordati di dirtelo ma era necessario il riavvio :lol:

Assicurati di aver cancellato i file di cui hai già eliminato le chiavi (59852236.exe, crack.CAB ecc.) e tramite la ricerca di fai e cartelle e restringendo il campo alla data nella quale hai azionato il fake controlla che il virus non si sia duplicato ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi kennymanson » 20/02/04 20:29

c'è qualcosa d'altro da cancellare???

questo l'ho fatto adesso


Logfile of HijackThis v1.97.7
Scan saved at 20.29.02, on 20/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\LightSurf\Common\IconMgr.exe
C:\Programmi\LightSurf\Colorific\hgcctl95.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\LightSurf\Color Indicator\TICIcon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinMX\WinMX.exe
C:\Programmi\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Andrea\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sws.exe] c:\\GlobalDialer\chost00000\gd-chost00000_it.exe -remove
O4 - Global Startup: LightSurf.lnk = C:\Programmi\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programmi\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .mp3: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3697685185
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AE0FD5E-D3F8-40FE-8A2F-C77221F51936}: NameServer = 151.99.125.1 151.99.0.100
kennymanson
Utente Senior
 
Post: 249
Iscritto il: 04/08/03 08:36

Postdi Dylan666 » 20/02/04 20:41

Non mi sembra ma ripeto che il controllo con la data di creazione è più facile e meno soggetto a errori ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi kennymanson » 20/02/04 20:45

ma dici con la ricerca di windows di file e cartelle?
kennymanson
Utente Senior
 
Post: 249
Iscritto il: 04/08/03 08:36

Postdi Dylan666 » 20/02/04 20:48

Certo, e usando le impostazioni avanzate. Se trovi tanti file della stessa identica dimensione usendo come filtro la data (come ho già detto da quando hai aperto il virus a oggi) quei file vanno cancellati (dicci come si kiamano per sicurezza)
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi kennymanson » 20/02/04 20:52

mah..ho provato..

pensa ke non sapevo manco dell'esistenza delle opzioni avanzate in cerca...


come son messo!!!

mi vengono una marea di file ma nessuno mi sembra uguale all'altro
kennymanson
Utente Senior
 
Post: 249
Iscritto il: 04/08/03 08:36

Postdi Dylan666 » 20/02/04 21:01

Usa la visualizzazione "Disponi icone per dimansione" ;)
Ochhio agli EXE in particolare e ai file con nomi tipo "Quake3Crack.exe" o con una serie di numeri per nome
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi Vathek » 21/02/04 17:30

Sergio1983 ha scritto:La formattazione sì, è risolutiva, ma prima di procedere ti chiedo ancora una cosa. Hai provato a vedere se riesci ad accedere al tuo hard disk da DOS, con un disco di ripristino qualsiasi di Windows? Lì dev'essere possibile eliminare il file! Solo che non c'è garanzia che tu possa leggere il disco da DOS perché potrebbe essere formattato con NTFS. Devi provare...



apro un piccolissimo OT sulla storia del disco d'avvio NTFS...

Volevo solo far notare che esistono dei programmi che creano un boot disk che legge anche l'NTFS di Windows XP... (peccato che non mi ricordo più come si chiamava quello che avevo visto)

Praticamente creando un disco di boot con quelli riesci a vedere filesystem NTFS senza avviare da hard disk...

chiuso l'OT...
Vathek
Utente Senior
 
Post: 117
Iscritto il: 23/11/03 02:01
Località: Frascarolo

Postdi Sergio1983 » 21/02/04 17:36

Esatto, trovi il programma qui. La grave limitazione è il fatto che nelle versioni freeware l'accesso è permesso in sola lettura, e ciò avrebbe impedito al nostro kennymanson di cancellare così il suo file.
E' meglio aver amato e perduto, piuttosto che non aver amato mai. (A. Tennyson)
Sergio1983
Utente Senior
 
Post: 2584
Iscritto il: 09/10/03 13:47
Località: Basso Piemonte

Postdi Dylan666 » 21/02/04 17:37

Esistono ma che io sappia sono tutti shareware. Il più famoso (forse) è quello della http://www.sysinternals.com chiamato Remote Recover ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 21/02/04 17:38

Abbiamo postato la stessa cosa, complimenti Sergio1983 per la tua segnalazione! :D
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi Vathek » 21/02/04 17:41

Sergio1983 ha scritto:Esatto, trovi il programma qui. La grave limitazione è il fatto che nelle versioni freeware l'accesso è permesso in sola lettura...


Ah... questo non lo ricordavo, adesso si capisce il motivo di tutte 'ste tre pagine di post :P
Vathek
Utente Senior
 
Post: 117
Iscritto il: 23/11/03 02:01
Località: Frascarolo

Postdi piercing » 21/02/04 17:51

Codice: Seleziona tutto
O4 - HKCU\..\Run: [sws.exe] c:\\GlobalDialer\chost00000\gd-chost00000_it.exe -remove


ma perchè questo pc proprio non riesce a convincermi?????

è la terza pagina di post e ancora non sappiamo cosa diamine parte in run...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Sergio1983 » 22/02/04 03:01

piercing ha scritto:
Codice: Seleziona tutto
O4 - HKCU\..\Run: [sws.exe] c:\\GlobalDialer\chost00000\gd-chost00000_it.exe -remove


ma perchè questo pc proprio non riesce a convincermi?????

è la terza pagina di post e ancora non sappiamo cosa diamine parte in run...


Kennymanson cancella anche questa chiave va... ;)
E' meglio aver amato e perduto, piuttosto che non aver amato mai. (A. Tennyson)
Sergio1983
Utente Senior
 
Post: 2584
Iscritto il: 09/10/03 13:47
Località: Basso Piemonte

Precedente

Torna a Assistenza Hardware


Topic correlati a "help - file che non se ne va":


Chi c’è in linea

Visitano il forum: Nessuno e 29 ospiti