Aiuto non rieco ad eliminare un virus....



Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 28/Marzo/2024 alle 09:00

Topic: Aiuto non rieco ad eliminare un virus....
Postato da: Andre85
Soggetto: Aiuto non rieco ad eliminare un virus....
Postato in data: 26/Maggio/2005 alle 13:58

non rieco ad eliminare questo virus Win32:Puper-E [Trj] che mi ha infettato il file C:\WINDOWS\system32\hp6E1B.tmp, come devo fare?

aiutatemi!!!! grazie



Risposte:



Postato da: lucas
Postato in data: 26/Maggio/2005 alle 14:01

ciao andrea è uno spyware e non un trojan comunque mi dovresti dire da che antivirus è stato rilevato o da alti programmi perchè i nomi cambiano a secondo degli antivirus così vado sul sito dell'azienda e vedo le istruzioni per rimuoverlo!!!ciao ciao

-------------




Postato da: Andre85
Postato in data: 26/Maggio/2005 alle 14:07

Avast lo chiama così Win32:Puper-E [Trj]



Postato da: lucas
Postato in data: 26/Maggio/2005 alle 14:13

allora nel sito avast non c'è niente che riguarda questo virus comunque mi dovresti postare il log leggiti la guida e poi postamelo grazie ciao ciao

Hijack lo potete prelevare(kuma)  http://www.merijn.org/files/hijackthis.zip - Da QUI

http://www.h3.dion.ne.jp/%7Esole/Yoghi/Hijackguida/Hijack-guida.html - E in questa mia pagina   potete leggere una breve guida su Hijack




-------------




Postato da: RAVEN
Postato in data: 26/Maggio/2005 alle 14:29

lucas dopo IN QUESTA MIA PAGINA riporta sempre il nome di KUMA legittimi proprietario dei contenuti linkati



Postato da: lucas
Postato in data: 26/Maggio/2005 alle 14:46

scusa raven ma me ne sono scordato,di solito lo faccio sempre!!!!ciao ciao

-------------




Postato da: Andre85
Postato in data: 29/Maggio/2005 alle 10:55

Ecco il mio log :

 

Logfile of HijackThis v1.99.1
Scan saved at 10.50.44, on 29/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp7908.tmp (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\winnook.exe
O4 - Startup: TELE2 ADSL.lnk = C:\Programmi\Thomson\SpeedTouch USB\stdialup.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.redfunny.com - www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz - www.skymasters.biz
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113419318078 - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/ en/x86/client/wuweb_site.cab?1113419318078
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://www.neogeo.unisi.it/ecwplugins/ncs.cab - http://www.neogeo.unisi.it/ecwplugins/ncs.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab - http://messenger.msn.com/download/msnmessengersetupdownloade r.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

 

 

Cosa devo fare?





Postato da: Andre85
Postato in data: 29/Maggio/2005 alle 12:20

qualcuno mi puo aiutare? :) grazie



Postato da: lucas
Postato in data: 29/Maggio/2005 alle 12:37

ciao scaricati questi programmi se lo richiedono aggiornali:
http://www.microsoft.com/athome/security/spyware/software/default.mspx - Microsoft AntiSpy   (Antispy - Real Time) <- solo se usate XP
http://users.skynet.be/spybot/spybotsd13.exe - Spybot (Antispy)
ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe - Ad_Aware (Antispy) + http://download.lavasoft.de.edgesuite.net/public/pllangs.exe - lingua italiana
http://cwshredder.net/bin/CWShredder.exe - CwShredder (Protezioni)
http://files4.majorgeeks.com/files/a51f9f66346e1d23bf39c2b2a9f0b685/spyware/spywareblastersetup34.exe - SpyWare Blaster (Protezioni)
http://www.hoverdesk.net/dl/en/RegSeeker.zip - RegSeeker (Pulizia del Registro)
http://www.filehippo.com/download_ccleaner.html - Ccleaner (pulizia file inutili)

disattiva il ripristino configurazione di sistema start>pannelo di controllo>sistema>ripristino configurazione di sistema>mettere la spunta nella casella>applica>ok adesso bisogna andare in mod provisoria start>spegni>scegliere riavvia premere F8 in continuazione dopo la schermata della ram.uscira una schermata con delle opzioni,scegli avvia in modalita provvisoria e confermi,una volta dentro avvia hijach fissa queste voci e clicca su fix and cheched,una volta fatto questo ripeti le varie scansioni con i programmi di sicurezza!!se li scarichi aggiornali una volta finito questo pulisce le chaivi del registro con regseeker e dai file inutili con ccleaner!!(tutto in modalita provvisoria)finito tutto riavvi il pc e riposti il log!!!ciao e buon lavoro
poi ripostami il log!!



O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp7908.tmp (file missing)

Per togliere questo scarica questo programma:le istruzioni dicono che si puo fare anche in modalita normale ma e meglio se lo fai in provvisoria
http://www.francydelorenzi.it/stats/click.php?id=2 - http://www.francydelorenzi.it


O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz


  O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://www.neogeo.unisi.it/ecwplugins/ncs.cab

  O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

  O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

questi 023 indicano che avast ha un servizio disattivato poi che hai fatto tutto disinstalli avast e lo reinstalli poi ti dico meglio come fare!!


-------------




Postato da: Yusuke
Postato in data: 29/Maggio/2005 alle 12:40

Per sicurezza, per assicurarti che del master Biz nn ci sia più traccia segui anke questa soluzione dopo il consiglio di lucas:

Da START > ESEGUI digita regedit

Cerca la chiave:
HKEY_CURRENT_USER>Software>Microsoft>Windows>Cur rentVersion>Interne Settings>ZoneMap\Domains
e nel pannello di destra accertati che non contenga le voci: master69.biz ; sgrunt.biz ; yeak.net

Se ci sono, logicamente eliminale...

Portati quindi alla chiave:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Main
Nel pannello di destra, controlla che non ci sia : Start Page = "www.master69.biz?654"
e nel caso ci fosse, modificalo con: Start Page = ?about:blank"

Portati alla chiave :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Internet Settings\ User Agent\Post Platform
e controlla che NON contenga voci (sia vuota)

Cerca nel PC se hai un file chiamato: (se c'è eliminalo)
DIAL_XVIDEO.A.

Inoltre CONTEMAX31 ha scritto:

Il virus si installa nella cartella c:\windows\system32 e si chiama eliterup32.exe
Inoltre nella stessa cartella si installa un trojan chiamato temperr32.dat che altro non è che un trojan "Start page" che riconduce sempre al sito incriminato! L'unico programma che è riuscito a rilevarlo e a RIMUOVERLO è AVG antivirus della Grisoft!

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::

Il file incriminato, potrebbe anche trovarsi in un'altra locazione, se non lo trovate in c:\windows\system32, usate la funzione "Cerca" per trovarlo.

Controllate anche che il processo NON SIA ATTIVO prima della rimozione.

CIAO!



Postato da: Andre85
Postato in data: 29/Maggio/2005 alle 12:43

ok faccio tutto e poi vi faccio sapere.

grazie mille a tutti





Postato da: Andre85
Postato in data: 29/Maggio/2005 alle 19:16

Ho fatto tutto....

posto il log :

Logfile of HijackThis v1.99.1
Scan saved at 19.16.33, on 29/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\shnlog.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\winnook.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html - http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/ - http://www.startsearches.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp8F9D.tmp
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\winnook.exe
O4 - Startup: TELE2 ADSL.lnk = C:\Programmi\Thomson\SpeedTouch USB\stdialup.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113419318078 - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/ en/x86/client/wuweb_site.cab?1113419318078
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab - http://messenger.msn.com/download/msnmessengersetupdownloade r.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80DDA3AF-3885-4E09-9424-B 78FC28E69E8}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{80DDA3AF-3885-4E09-9424-B 78FC28E69E8}: NameServer = 130.244.127.161 130.244.127.169
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

 





Postato da: lucas
Postato in data: 29/Maggio/2005 alle 20:47

allora devi fissare queste voci in modalita provvisoria!!poi devi vedere nelle opzioni internet se questa pagina è impostata come iniziale,nel caso si la devi sostituire e devi controllare se e fra i siti attendibili controlla in tutte le diciture nel caso e fra quelli attendibili spostalo aggiungilo in quelli con restizione questo lo devi fare dopo che hai fissato e cancellato quelle voci!!poi cancella le chiavi inutili con regseeker e con ccleaner i file inutili!!!ciao ciao


R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1



-------------




Postato da: Andre85
Postato in data: 30/Maggio/2005 alle 13:50

ok provo e ti faccio sapere :D



Postato da: Andre85
Postato in data: 30/Maggio/2005 alle 14:13

Ecco il log :

 

Logfile of HijackThis v1.99.1
Scan saved at 14.13.02, on 30/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\shnlog.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\intmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\winnook.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html - http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/ - http://www.startsearches.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp6A14.tmp
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\winnook.exe
O4 - Startup: TELE2 ADSL.lnk = C:\Programmi\Thomson\SpeedTouch USB\stdialup.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113419318078 - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/ en/x86/client/wuweb_site.cab?1113419318078
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab - http://messenger.msn.com/download/msnmessengersetupdownloade r.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80DDA3AF-3885-4E09-9424-B 78FC28E69E8}: NameServer = 130.244.127.169 130.244.127.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{80DDA3AF-3885-4E09-9424-B 78FC28E69E8}: NameServer = 130.244.127.169 130.244.127.161
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

 





Postato da: lucas
Postato in data: 30/Maggio/2005 alle 14:17

andrea mi dovresti fare un piacere!!il log fallo in modalita normale,con tutte le finestre chiuse,e la connessione staccata completamente!!!!!grazie ciao ciao

-------------




Postato da: Yusuke
Postato in data: 30/Maggio/2005 alle 14:42

I programmi indicati in questo post, (se non li hai già) puoi scaricarli da questa pagina: (scaricali e aggiornali prima di procedere)

- http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp ?TID=1393&PN=1


:::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::

In questa pagina - http://www.h3.dion.ne.jp/%7Esole/Yoghi/Hijackguida/Hijack-gu ida.html puoi leggere una breve guida su Hijack

Esegui queste operazioni ------ >   (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.
(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità
(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

C:\WINDOWS\system32\shnlog.exe

C:\WINDOWS\system32\intmon.exe

C:\WINDOWS\system32\winnook.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp6A14.tmp

(LEGGI SOTTO)

O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\winnook.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)

REISTALLA IL MESSENGER DI WINODWS

Vai sul regitro e CERCA questo:

hp6A14.tmp

Oppure installa RegSeeker e vai su FIND IN REGISTRY e cerca sempre questo:

hp6A14.tmp

Questo è quello che bisogna eliminare secondo me.


Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza
(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione,
rifai il log   e mettilo qui per un ultimo controllo





Postato da: lucas
Postato in data: 30/Maggio/2005 alle 15:38

C:\WINDOWS\system32\shnlog.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\winnook.exe
=shnlog.exe � un processo aggiunto dai Troj/Puper-A trojan. Questo programma � una sicurezza registrata sicuramente e dovrebbe essere rimosso immediatamente. Se trovati sul vostro sistema assicuratevi di avere scaricato l'ultimo aggiornamento per la vostra applicazione antivirus.

C:\WINDOWS\system32\winnook.exe


C:\WINDOWS\system32\intmon.exe=http://www.sophos.com/virus info/analyses/trojpuperd.html

YUSUKE non ti viene in mente che le descrizioni sono un po discordanti!!!!ciao ciao



-------------




Postato da: lucas
Postato in data: 30/Maggio/2005 alle 23:15

allora andrea fai come ha detto yusuke in piu cancella tutti i file temporanei di internet e fai una scansione con http://cwshredder.net/bin/CWShredder.exe - http://cwshredder.net/bin/CWShredder.exe sempre dalla modalita provvisoria una volta fatto tutto riposti il log in modalita normale con tutti i processi chiusi e la connesione staccata,e cambiando la pagina iniziale di IE. CIAO CIAO

-------------




Postato da: Andre85
Postato in data: 31/Maggio/2005 alle 20:59

k provo e vi faccio sapere



Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 14:30

ho fatto tutto come mi avete detto. Volevo solo chiedervi come mai la scansione all'avvio di Avast non funziona più.

ho fatto la scansione in modalità provvisoria con tuttti i prog. :

Avast ha rilevato 2 files.dll infettati da Win32:Puper-E [Trj] e li ha cancellati mentre Microsoft AntiSpyware ha trovato Browser Hijack (BroWser Modifier). 

Ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 14.24.14, on 01/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\shnlog.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\intmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html - http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/ - http://www.startsearches.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp7148.tmp
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Startup: TELE2 ADSL.lnk = C:\Programmi\Thomson\SpeedTouch USB\stdialup.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113419318078 - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/ en/x86/client/wuweb_site.cab?1113419318078
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab - http://a840.g.akamai.net/7/840/537/2004061001/housecall.tren dmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab - http://messenger.msn.com/download/msnmessengersetupdownloade r.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

Ora che devo fare?





Postato da: lucas
Postato in data: 01/Giugno/2005 alle 14:52

ciao andrea se il log e fatto in modalita normale c'è questo come tu hai appena detto il PUPER:

C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\intmon.exe

Fissalo e cancellalo vedi se è presente nel task manager se si termina il processo cliccaci sopra tasto destro del mouse scegli termina processo!!
adesso segui questi passi:
sistemi operativi:
Windows 2000/XP/2003
scaricate una copia di emergenza emergency copy of SAV32CLI eseguite questo file per estrarre il contenuto in una cartella SAV32CLI su un supporto che può essere protetto da scrittura Aggiungere qualsiasi IDEs relativo a questa cartella e protezione da scrittura il disco ( su uno CD/R o CD/RW chiudono la sessione )Riavviate il computer in Modo Sicuro.Premete F8 quando vedete il seguente testo in fondo allo schermo "per ricerca guasti e opzioni di avvio avanzate per Windows 2000 la, stampa F8". Nel Windows 2000 Menu di Opzione Avanzato, selezionare la terza opzione 'modo sicuro con prompt di comando'. # Al computer infettato, mettete il CD nell'unità di CD (D): (in questo esempio). Al tipo di prompt di comando

ACCEDERE ALL'UNITA (D) TIPO
CD SAV32CLI
QUINDI QUESTO
SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
Poi lo dovresti avviare e cancella il worm

in poche parole lo devi salvare su un cd quel file che scarichi poi devi entrate in modalita provvisoria con il prompt dei comandi e digiti quelle stringhe speriamo bene fammi sapere ciao ciao dopo che hai fatto questo segui le altre procedure indicate sopra!!






-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 15:10

ho controllato nei processi..e ci sono entrambi....

Dimmi se ho capito bene:

prima devo scaricare il file, salvarlo in un cd con sessione chiusa e poi riavvio in modalità provvisoria con pront dei comandi , divito la stringa epoi? e il cd a che serve?





Postato da: lucas
Postato in data: 01/Giugno/2005 alle 15:19

allora scaricati quel file e salvalo sul cd!!poi quando fai l'operazione per entrare in modalita provvisoria di compaiono varie opzione fra cui avvia in modalita provvisoria con prompt dei comandi(scegli quella)poi devi accedere all'unita D oppure dove hai tu il cd  poi digiti queste stringhe in modo da far partire il cd che contiene quel file che disinfetta penso che hai capito in poche parole devi far partire quel cd!!buona fortuna poi dobbiamo risolvere l'altro problema mi dispiace perchè kuma non c'è ed io non ne so tanto e non ti posso aiutare come kuma!!!se non hai capito qualcosa basta dirlo,poi quando hai finito questo passagio termina l'operazione dal task manager fissa quelle voci e cancellale
DISATTIVA IL RIPRISTINO DI CONFIGURAZIONE DI SISTEMA!!


-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 15:20

ok  capito.......5 minuti e ti rifaccio sapere come va :) grazie



Postato da: lucas
Postato in data: 01/Giugno/2005 alle 15:41

ok ma fai con calma non c'è nessuna fretta!!!ciao ciao

-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 15:56

ho fatto la scansione con il file che ho messo nel cd...ma non ha rilevato file......ora che devo fare? i 2 processi non si terminano.....e i fils infetti sono sempre nel pc... :(



Postato da: lucas
Postato in data: 01/Giugno/2005 alle 16:00

caxxo si ma hai eseguito tutte le procedure nel modo giusto?il cd parte?comunque aspetta che trovo un programma per terminare i processi ciao ciao!!!
non ricordo il nome del programma per terminare i processi speriamo che qualcuno lo ricordi adesso non mi viene propio in mente!!


-------------




Postato da: lucas
Postato in data: 01/Giugno/2005 alle 16:08

andrea ho trovato questo sembra ok clicca su questo link e scaricalo vedi se questo lo termina
http://www.ilsoftware.it/querydl.asp?ID=821 - CLICCA
poi se ci fai caso sotto ci sono programmi simili vedi tu quale scaricare ma penso che questo sia adatto fammi sapere ciao ciao


-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 19:53

il cd è partito...ha fatto la scansione ma non ha trovato niente :8 ora provo il programma :)



Postato da: lucas
Postato in data: 01/Giugno/2005 alle 20:03

ok comunque quello e un programma come il task manager pero un po piu evoluto!!!poi vedi se ti interessano quei programmi che stanno sottociao ciao fammi sapere!!

-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 20:18

ho fatto partire il programma e terminato i processi.... ;) e ora che devo fare?



Postato da: lucas
Postato in data: 01/Giugno/2005 alle 20:21

ok adesso siamo un po piu tranquilli se vuoi postami il log mi raccomando andrea tutte le applicazioni chiuse e devi essere disconesso e naturalmente modalita normale ciao ciao

-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 20:22

ma quando riavvio il pc i processi incriminati mi ripartono?





Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 20:27

Come mai non mi va la scansione all'avvio di Avast?

ecco il log :

 

Logfile of HijackThis v1.99.1
Scan saved at 20.25.50, on 01/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html - http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/ - http://www.startsearches.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp7961.tmp
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AdwareAlert] C:\Programmi\AdwareAlert\adwarealert.Exe -boot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Startup: TELE2 ADSL.lnk = C:\Programmi\Thomson\SpeedTouch USB\stdialup.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113419318078 - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/ en/x86/client/wuweb_site.cab?1113419318078
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab - http://a840.g.akamai.net/7/840/537/2004061001/housecall.tren dmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab - http://messenger.msn.com/download/msnmessengersetupdownloade r.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

 





Postato da: lucas
Postato in data: 01/Giugno/2005 alle 20:36

andrea il trojan se ne andato!!!!adesso bisogna capire come togliere le pagine che si impostano sa sole!!per avast sara morto dopo tutto quello che ha sopportato!!per quello che riguarda il riavvio bisogna vedere se ricompare caso mai riavvia il pc e rifai il log!!!ciao ciao mi credevo che avevi gia riavviato!!ma poi cosa intendi all'avvio?(avast)

-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 20:38

io il pc l'ho gia riavviato e i processi rierano attivi e quindi li li ancora bloccati...non si possono eliminare permanetemente?



Postato da: lucas
Postato in data: 01/Giugno/2005 alle 20:40

ma mi sembra strano vedi se te li fa cancellare propio!!oppure vedi se sono in avvio automatico start>esegui>msconfig vai sulla scheda avvio e vedi se li compaiono!!!ciao ciao

-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 20:46

da quando ho preso sto trojan anche il desktop mi si visualizza come una pagina internet....

 





Postato da: lucas
Postato in data: 01/Giugno/2005 alle 20:48

scusa prova a fare cosi vai in modalita cerca(visualizza file e cartelle nascoste)e metti i nomi di quei file se ci sono cancellali ma assicurati che siano quelli giusti!!in che senso si visualizza come una pagina internet?fammi sapere casomai cancellali dalla modalita provvisoria!!!

-------------




Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 20:58

il problema è che quando sono in modalità provvisoria i files che sono infetti non ci sono.....

 

il desktop lo vedo nero con scritto :



ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.

Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could broke your life!

SECURE YOURSELF RIGHT NOW!
REMOVE ALL SPYWARE FROM YOUR PC!

Removal instructions

 

se ci clicco sopra mi apre una pag internet di un antivirus: http://www.antivirus-gold.com/?wm - http://www.antivirus-gold.com/?wm =





Postato da: Andre85
Postato in data: 01/Giugno/2005 alle 20:59

WARNING!
YOU'RE IN DANGER!


ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.

Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could broke your life!

SECURE YOURSELF RIGHT NOW!
REMOVE ALL SPYWARE FROM YOUR PC!





Postato da: lucas
Postato in data: 01/Giugno/2005 alle 21:14

TUTTO QUELLO CHE FATE CON COMPUTER È CONSERVATO PER SEMPRE NEL VOSTRO DISCO FISSO. QUANDO VISITATE POSTI, INVIATE POSTE ELETTRONICHE ... TUTTE LE VOSTRE AZIONI SONO REGISTRATE. E È IMPOSSIBILE RIMUOVERLI CON STRUMENTI NORMALI. I VOSTRI DATI SONO ANCORA DISPONIBILI PER FORENSICS. E IN ALCUNE CUSTODIE PER IL VOSTRO CAPO, I VOSTRI AMICI, VOSTRA MOGLIE, I VOSTRI BAMBINI.

Ogni posto voi o qualcuno o anche qualcosa, come spyware, vengono aperti nel vostro visualizzatore, con tutte le immagini e film lontani tutto scaricati  successivamente o canzoni mp3

sono appena stato nel sito dell'antivirus sinceramente non so che dirti puoi provare a fare una scansione on-line per vedere cosa ci sta dentro il tuo pc non se ne viene propio a capo!se non si risolve l'unica cosa da fare è formattare comunque prova ad usare quell'antivirus vedi cosa ti rileva!!



-------------




Postato da: lucas
Postato in data: 01/Giugno/2005 alle 21:53

ho letto su internet che quelle paine iniziali che non se ne vanno sono legate al Win32/Agent.NAC fai queste operazioni:
STAMPA LA PAGINA


 Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione o le applicazioni aggiunte dal worm.Chiudiamo la Task. Cerchiamo ed eliminiamo (anche dal cestino) i files:

c:\wp.exe

c:\wp.bmp

c:\%WinDir%\%SysDir%\gunist.exe
c:\%WinDir%\%SysDir%\param32.dll
c:\%WinDir%\%SysDir%\pop_up.dll
c:\%WinDir%\%SysDir%\searchdll.dll
c:\%WinDir%\%SysDir%\wldr.dll
c:\%WinDir%\%SysDir%\Air Tickets.ico
c:\%WinDir%\%SysDir%\Big Tits.ico
c:\%WinDir%\%SysDir%\Blackjack.ico
c:\%WinDir%\%SysDir%\Britney Spears.ico
c:\%WinDir%\%SysDir%\Car Insurance.ico
c:\%WinDir%\%SysDir%\Cheap Cigarettes.ico
c:\%WinDir%\%SysDir%\Credit Card.ico
c:\%WinDir%\%SysDir%\Cruises.ico
c:\%WinDir%\%SysDir%\Currency Trading.ico
c:\%WinDir%\%SysDir%\Lesbian Sex.ico
c:\%WinDir%\%SysDir%\MP3.ico
c:\%WinDir%\%SysDir%\Online Betting.ico
c:\%WinDir%\%SysDir%\Online Gambling.ico
c:\%WinDir%\%SysDir%\Oral Sex.ico
c:\%WinDir%\%SysDir%\Party Poker.ico
c:\%WinDir%\%SysDir%\Pharmacy.ico
c:\%WinDir%\%SysDir%\Phentermine.ico
c:\%WinDir%\%SysDir%\Pornstars.ico
c:\%WinDir%\%SysDir%\Remove Spyware.ico
c:\%WinDir%\%SysDir%\viagra.ico

Air Tickets.url
Big Tits.url
Blackjack.url
Britney Spears.url
Car Insurance.url
Cheap Cigarettes.url
Credit Card.url
Cruises.url
Currency Trading.url
Lesbian Sex.url
MP3.url
Online Betting.url
Online Gambling.url
Oral Sex.url
Party Poker.url
Pharmacy.url
Phentermine.url
Pornstars.url
Remove Spyware.url
viagra.url

Modifichiamo il file HOSTS (senza estensione) aprendolo con un editor di testo, ad es. Notepad, facciamo attenzione che NON vi sia spuntata l'opzione di "utilizzare sempre quel tipo di applicazione per aprire il file". Cancellare tutte le voci aggiunte dal trojan ad eccezione di questo valore

127.0.0.1 localhost

Salvare le modifiche, chiudere il file.

Portarsi in

Start>Esegui scrivere regedit e dare l'OK, portarsi in corrispondeza di ogni singola chiave ed eliminare, seguendo i rispettivi percorsi i valori segnati in grassetto:

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{081669BA-EFC4-48C2-A8F4-874052D02553}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{145E6FB1-1256-44ED-A336-8BBA43373BE6}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{1D27320E-2DA2-41E2-A103-B5FD9D6A798B}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{B599C57E-113A-4488-A5E9-BC552C4F1152}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{D56A1203-1452-EBA1-7294-EE3377770000}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}

HKEY_LOCAL_MACHINE\Software\Classes\Interface\
{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}

HKEY_LOCAL_MACHINE\Software\Classes\Typelib\
{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}

HKEY_LOCAL_MACHINE\Software\Classes\Serch_hook.transURL

HKEY_LOCAL_MACHINE\Software\Classes\Serch_hook.transURL.1

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\
Distribution Units\{11120607-1001-1111-1000-110199901123}

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer
Extensions\{081669BA-EFC4-48C2-A8F4-874052D02553}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version
Uninstall\Internet Connection Update and HomeP KB234087

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Current Version\Explorer\SharedTaskScheduler\{D56A1203-1452-EBA1-7294-EE3377770000} =
"Interlinking Memory Support"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\
{081669BA-EFC4-48C2-A8F4-874052D02553}

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Ext
Stats\{081669BA-EFC4-48C2-A8F4-874052D02553}

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies\System

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\
{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} = ""

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = "http:/ /www.hotoffers.info/ad0179"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run
WindowsFY = "c:\wp.exe"

HKEY_CURRENT_USER\Control Panel\Desktop
"WallpaperStyle" = "0x00000000"
"Wallpaper" = "C:\wp.bmp"

Riavviare il computer.

Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato.

vedi un po se trovi qualcosa del genere le indicazioni sono piu che chiare perchè sono in italiano!!!!!fammi sapere ciao ciao


-------------




Postato da: Andre85
Postato in data: 02/Giugno/2005 alle 09:39

ho fatto come hai detto te ma non ho trovato nessuno dei file che mi hai elencato...

ma se formatto risolvo tutti i problemi o rimarranno traccie dei virus sul pc?





Postato da: Yusuke
Postato in data: 02/Giugno/2005 alle 11:29

Se formatti risolvi tutto naturalmente, però aspetta Lucas che magari saprà darti qualke altra soluzione forse



Postato da: lucas
Postato in data: 02/Giugno/2005 alle 13:16

ciao andrea ma quel processo ricompare sempre?poi un altra cosa ma microsoft non riesce ad eliminarti la pagina modificata?prova cosi apri spybot search and destroy vai sulla voce utilita,pagine del browser e vedi se c'è qualche pagine strana!!fammi sapere ciao ciao

-------------




Postato da: Andre85
Postato in data: 02/Giugno/2005 alle 16:06

ho notatto che il processo non parte più ;)

 

non riesco a trovare utilità su spybot search and destroy.... puoi spiegarmi meglio? grazie :D





Postato da: lucas
Postato in data: 02/Giugno/2005 alle 16:11

come no!!quindi una cosa è risolta!!!allora apri spybot search and destroy:







fammi sapere ciao ciao


-------------




Postato da: Andre85
Postato in data: 02/Giugno/2005 alle 16:21

Ecco le pagine che ci sono :

 

Spybot - Search && Destroy browser pages report, 02/06/2005 16.21.41

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
  http://www.startsearches.net/ - http://www.startsearches.net/
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
  http://www.startsearches.net/bar.html - http://www.startsearches.net/bar.html
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
  about:blank
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
  about:blank
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
  http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant
  http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
  http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\@
  http://www.startsearches.net/search.php?qq=%1 - http://www.startsearches.net/search.php?qq=%1
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesea rch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
  http://www.google.com/ - http://www.google.com/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&a mp;ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
  http://home.microsoft.com/search/search.asp - http://home.microsoft.com/search/search.asp
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
  http://ie.search.msn.com/SUB_RFC1766/srchasst/srchcust.htm - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm





Postato da: lucas
Postato in data: 02/Giugno/2005 alle 16:29

ma mi sembra strana sta cosa a me mette le pagine inizili propio i siti e non le chiavi hai cliccato su quello giusto? fammi sapere ciao ciao



-------------




Postato da: Andre85
Postato in data: 02/Giugno/2005 alle 16:31

si anche a me le visulaizza come te...però per fartele vedere ho cliccat5o col tasto desto ed ho selezionato copy to clipboard...cmq le pag che ci sono sono quelle delle chiavi che ti ho postato :)



Postato da: lucas
Postato in data: 02/Giugno/2005 alle 16:38

si ma non si riesca a capire quali sono giuste o sbagliate mettendo il sito si puo capire meglio!!!!ciao ciao

-------------




Postato da: Andre85
Postato in data: 02/Giugno/2005 alle 16:46





Postato da: lucas
Postato in data: 02/Giugno/2005 alle 16:52

http://www.startsearches.net/search.php?qq=%1 
http://www.startsearches.net/search.php?qq=%1
http://www.startsearches.net/search.php?qq=%1 
http://www.startsearches.net/search.php?qq=%1
http://www.startsearches.net/search.php?qq=%1

cancella queste poi riavvia il pc e postami il log gia sa le modalita applicazioni chiuse connesione staccata!!!ciao ciao


-------------




Postato da: Andre85
Postato in data: 03/Giugno/2005 alle 13:54

il problema dell'homepage semabra sistemato



Postato da: lucas
Postato in data: 03/Giugno/2005 alle 13:57

ciao andrea sono contento mi potresti postare il log per piacere come sai tu disconnesso applicazioni chiuse modalita normale!!se vuoi senno no problem ciao ciao

-------------




Postato da: Andre85
Postato in data: 03/Giugno/2005 alle 14:05

si si certo... eccolo :

Logfile of HijackThis v1.99.1
Scan saved at 14.08.33, on 03/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Startup: TELE2 ADSL.lnk = C:\Programmi\Thomson\SpeedTouch USB\stdialup.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409 - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113419318078 - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/ en/x86/client/wuweb_site.cab?1113419318078
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab - http://a840.g.akamai.net/7/840/537/2004061001/housecall.tren dmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab - http://messenger.msn.com/download/msnmessengersetupdownloade r.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

 





Postato da: lucas
Postato in data: 03/Giugno/2005 alle 14:09

eh il log è perfetto!!!!complimenti anche a te!!comunque senti una cosa tu hai avast ma queste due stringhe si vede che hai il servizio di controllo e-mail disattivato se vuoi disinstalla avast pulisci con ccleaner dai file inutilo con regseeker le chiavi e reinstallalo ma solo se lo vuoi fare!!ciao ciao alla prossima ma speriamo che non siano problemi!!!

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


-------------




Postato da: Andre85
Postato in data: 04/Giugno/2005 alle 10:08

....sono riuscito anche a cambiare sfondo del desktop in quanto quel messaggio era solo una finestra che naturalemnte ho chiuso....però se vado su pannello di controllo-schermo...non mi da il menu per cambiare lo sfondo del desktop....come posso fare?





Postato da: lucas
Postato in data: 04/Giugno/2005 alle 11:22

prova a  fare cosi quando sei sulla desktop clicca con il tasto destro su uno spazio vuota e seleziona propieta,ti dovrebbe uscire questo prova speriamo bene ciao ciao



-------------




Postato da: Andre85
Postato in data: 04/Giugno/2005 alle 11:26

mi si visualizza ma non c'è desktop.......

io vedo solo : temi,screensaver,aspetto e impostazioni :(





Postato da: lucas
Postato in data: 04/Giugno/2005 alle 11:30

ma tu adesso che desktop hai?sicuramente avra modificato qualcosa nel registro a sapere cosa è un impresa!!!!!ciao ciao non me ne sto andando controllo che chiavi sono quelli della desktop e ti faccio sapere!!

-------------




Postato da: Andre85
Postato in data: 04/Giugno/2005 alle 11:33

io ora ho un'immagine che ho messo io come desktop.....ok grazie mille per tutto :)





Postato da: lucas
Postato in data: 04/Giugno/2005 alle 11:49

se a te va bene così lascialo csoì altrimenti vediamo di risolvere questo problema ciao ciao

-------------




Postato da: Andre85
Postato in data: 04/Giugno/2005 alle 11:50

se riusciamo a risolverlo è  certamente meglio



Postato da: lucas
Postato in data: 04/Giugno/2005 alle 12:04

non riesco a trovare la chiave per disattivare e riattivare la desktop quindi non so appena la trovo ti scrivo il passaggio comunque se vuoi puoi provare a scaricarti una desktop per vedere se l'attiva se ti servono alcuni stanna nella sezione download del forum!!!!!!ciao ciao

-------------




Postato da: Andre85
Postato in data: 04/Giugno/2005 alle 12:17

ok