PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Virus e rimozione impossibile !





Crismon
Apprendista Apprendista
Crismon
Apprendista Apprendista
Crismon
Apprendista
Apprendista

Avatar


Iscritto dal : 10/Febbraio/2006
Da: Italy
Status: Offline
Posts: 374
Riporta il testo di: Crismon Rispondibullet Topic: Post n° 55.132 - Postato: 26/Maggio/2006 alle 18:28


Salve ragazzi, 

eseguo la scansione con Nod32, che mi rileva i virus sotto riportati na nn riesco a eliminarli perchè mi si presenta al momento dell'individuazione una finestra con "rinomina" o "nessuna operazione"!

C:\Programmi\File comuni\Synacast\SynaLive\EvID4226Patch.Vexe - Win32/Tool.EvID4226 applicazione
C:\Programmi\VideoStreaming\PPLive TV\SynaLiveSetup.exe »NSIS »EvID4226Patch.exe - Win32/Tool.EvID4226 applicazione
C:\System Volume Information\_restore{65068F1B-D03A-4A1B-9F8E-512B45A06009}\R P6\A0004578.exe - Win32/Tool.EvID4226 applicazione..

Come faccio a rimuoverli? per lo meno quel A0004578.exe   che gli altri 2 nn mi preoccupano.... Posto anche il log di per HijackThis vederte se è tutto ok...  Grazie!!!

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\FlyNet\CnxDslTb.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Emule0.47a-Xtreme5.1.2\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\CrIsMoN.ENRICOLUCA\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/aliceadsl/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/aliceadsl/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\FlyNet\CnxDslTb.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x 86/client/wuweb_site.cab?1139667950546
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.ca b31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/Ph otoSwap/PhtPkMSN.cab
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31 267.cab
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file://H:\CDVIEWER\CdViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F2A10D0-6265-47AA-8B10-E F36A73AE52C}: NameServer = 85.37.17.57 85.38.28.80
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


Ho sbagliato sezione.. scusatemi!!



Modificato da Crismon






lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 55.173 - Postato: 28/Maggio/2006 alle 14:09


Lasciali stare se usi quei software,o li disinstalli o li metti nella lista esclusioni dell'antivirus,l'altro risiede nella cartella che contiene i punti di ripristino,per svuotare quella cartella devi disattivare il ripristino di configurazione di sistema,riavviare il pc e riattivare il rispristino,dal log non si vedono problemi,ciao



Crismon
Apprendista Apprendista
Crismon
Apprendista Apprendista
Crismon
Apprendista
Apprendista

Avatar


Iscritto dal : 10/Febbraio/2006
Da: Italy
Status: Offline
Posts: 374
Riporta il testo di: Crismon Rispondibullet Topic: Post n° 55.245 - Postato: 29/Maggio/2006 alle 19:34


praticamente mi dici di disattivare il punto d ripristino e andare a cancellare quel file (A0004578.exe) Giusto?

Anche se con qualche problema sono riiuscito a trovare la cartella solo che mi nega l'accesso!

Grazie Lucas!



Modificato da Crismon






lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 55.264 - Postato: 29/Maggio/2006 alle 23:01


No,non dico questo, per fare ciò devi editare i permessi dalla modalità provvisoria in xp home edition,in modalità provvisoria appare la scheda protezione,da li aggiungi i permessi speciali e massimi al tuo utente,facile a dirsi difficile a farsi
Più semplicemente puoi eseguire questa operazione
Start>impostazioni>pannello di controllo>sistema>ripristino di configurazione di sistema>spunta la casella>clicca su "Applica" >rispondi SI alla finestra
Clicca su OK
Riavvia il pc
Al Riavvio,fai l'operazione inversa,cioè leva la spunta da quella casella e conferma con Applica>Ok

Dopo, creati un punto di ripristino
Start>programmi>accessori>utilità di sistema>ripristino configurazione di sistema>metti il puntino nella casella "Crea punto di ripristino"
Metti il nome che vuoi al punto di ripristino creato e clicca su "Crea"

Ciao

PS:Se hai già utilizzato punti di ripristino non disattivarlo altrimentri al riavvio il pc non si riavvia,dato che non trova nessun punto di ripristino


Crismon
Apprendista Apprendista
Crismon
Apprendista Apprendista
Crismon
Apprendista
Apprendista

Avatar


Iscritto dal : 10/Febbraio/2006
Da: Italy
Status: Offline
Posts: 374
Riporta il testo di: Crismon Rispondibullet Topic: Post n° 55.270 - Postato: 30/Maggio/2006 alle 12:57


Ok grazie Lucas,

facendo così avrei svuotato la cartella contenente i vari punti di ripristino?

Grazie sei MITTICO!!







Ilsewitch
Esperto Esperto
Ilsewitch
Esperto Esperto
Ilsewitch
Esperto
Esperto

Avatar


Iscritto dal : 31/Maggio/2005
Da: Italy
Status: Offline
Posts: 1.617
Riporta il testo di: Ilsewitch Rispondibullet Topic: Post n° 55.323 - Postato: 01/Giugno/2006 alle 23:38


Ciao dovresti aprire un topic solo con il tuo problema e vedrai che verranno in tuo aiuto quanto prima.

Ah benarrivato




A pensare male si fa peccato, ma spesso ci si azzecca.

Perdona e ricorda.



Ilsewitch
Esperto Esperto
Ilsewitch
Esperto Esperto
Ilsewitch
Esperto
Esperto

Avatar


Iscritto dal : 31/Maggio/2005
Da: Italy
Status: Offline
Posts: 1.617
Riporta il testo di: Ilsewitch Rispondibullet Topic: Post n° 55.324 - Postato: 01/Giugno/2006 alle 23:59


Prova a fare una scansione con Ewido e torna a mandare il log.Non è che ultimamente hai installato un programma con un nome simile?Io non sono molto pratico di virus e amenità del genere però mi appunterei anche D:\WINDOWS\security\msagent.exe.

Lifeview tvr,dvt.exe e ULI5289\Ali 5289 sai cosa sono?




A pensare male si fa peccato, ma spesso ci si azzecca.

Perdona e ricorda.



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 55.426 - Postato: 04/Giugno/2006 alle 14:46


Firedamon è un programma leggittimo ma aspetta perchè i suoi usi avvolte sono tutto tranne che buoni,ma non è colpa del produttore,se vuoi leggi qui
http://forums.firedaemon.com/viewtopic.php?t=18

ciao


lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 55.560 - Postato: 07/Giugno/2006 alle 17:27


Basta che disinstalli il programma da installazioni applicazioni
Poi start>pannello di controllo>strumenti di amministrazione>servizi
Scorri la lista fino a trovare questo servizio
FireDaemon Service
Lo selezioni,tasto destro del mouse e scegli propietà,clicca sulla frecciettina "tipo di avvio" e seleziona "Disabilitato" conferma con Applica>Ok

start>esegui>digita cmd nella casellina>clicca su ok
Ti si apre il prompt dos,dove lampeggia il cursore digita una alla volta i seguenti comandi
sc stop
msagent <-----Invio
sc delete msagent <-----Invio
sc stop netclient <-----Invio
sc delete netclient <-----Invio
sc stop winsecure <-----Invio
sc delete winsecure <-----Invio

cd %windir%\security
<-----Invio
del FireDaemon.exe <-----Invio

Riavvia il pc e vedi se hai ancora problemi



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 55.620 - Postato: 08/Giugno/2006 alle 16:28


Niente significa che il servizio non c'era e ti dava errore
Per piacere,posta un nuovo log di Hijackthis,hai ancora problemi?ciao






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,039 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni