Stampa la pagina | Chiudi finestra


Vedi la discussione sul forum

Virus e rimozione impossibile !


Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 14/Maggio/2024 alle 04:48

Topic: Virus e rimozione impossibile !
Postato da: Crismon
Soggetto: Virus e rimozione impossibile !
Postato in data: 26/Maggio/2006 alle 18:28

Salve ragazzi, 

eseguo la scansione con Nod32, che mi rileva i virus sotto riportati na nn riesco a eliminarli perchè mi si presenta al momento dell'individuazione una finestra con "rinomina" o "nessuna operazione"!

C:\Programmi\File comuni\Synacast\SynaLive\EvID4226Patch.Vexe - Win32/Tool.EvID4226 applicazione
C:\Programmi\VideoStreaming\PPLive TV\SynaLiveSetup.exe »NSIS »EvID4226Patch.exe - Win32/Tool.EvID4226 applicazione
C:\System Volume Information\_restore{65068F1B-D03A-4A1B-9F8E-512B45A06009}\R P6\A0004578.exe - Win32/Tool.EvID4226 applicazione..

Come faccio a rimuoverli? per lo meno quel A0004578.exe   che gli altri 2 nn mi preoccupano.... Posto anche il log di per HijackThis vederte se è tutto ok...  Grazie!!!

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\FlyNet\CnxDslTb.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Emule0.47a-Xtreme5.1.2\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\CrIsMoN.ENRICOLUCA\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/aliceadsl/index.html - http://www.virgilio.it/aliceadsl/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/aliceadsl/index.html - http://www.virgilio.it/aliceadsl/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\FlyNet\CnxDslTb.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139667950546 - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x 86/client/wuweb_site.cab?1139667950546
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab - http://messenger.zone.msn.com/binary/MessengerStatsClient.ca b31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/Ph otoSwap/PhtPkMSN.cab
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31 267.cab
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file://H:\CDVIEWER\CdViewer.cab - file://H:\CDVIEWER\CdViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F2A10D0-6265-47AA-8B10-E F36A73AE52C}: NameServer = 85.37.17.57 85.38.28.80
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


Ho sbagliato sezione.. scusatemi!!



-------------
http://www.crismonblog.org">

Risposte:



Postato da: lucas
Postato in data: 28/Maggio/2006 alle 14:09

Lasciali stare se usi quei software,o li disinstalli o li metti nella lista esclusioni dell'antivirus,l'altro risiede nella cartella che contiene i punti di ripristino,per svuotare quella cartella devi disattivare il ripristino di configurazione di sistema,riavviare il pc e riattivare il rispristino,dal log non si vedono problemi,ciao



-------------



Postato da: Crismon
Postato in data: 29/Maggio/2006 alle 19:34

praticamente mi dici di disattivare il punto d ripristino e andare a cancellare quel file (A0004578.exe) Giusto?

Anche se con qualche problema sono riiuscito a trovare la cartella solo che mi nega l'accesso!

Grazie Lucas!



-------------
http://www.crismonblog.org">


Postato da: lucas
Postato in data: 29/Maggio/2006 alle 23:01

No,non dico questo, per fare ciò devi editare i permessi dalla modalità provvisoria in xp home edition,in modalità provvisoria appare la scheda protezione,da li aggiungi i permessi speciali e massimi al tuo utente,facile a dirsi difficile a farsi
Più semplicemente puoi eseguire questa operazione
Start>impostazioni>pannello di controllo>sistema>ripristino di configurazione di sistema>spunta la casella>clicca su "Applica" >rispondi SI alla finestra
Clicca su OK
Riavvia il pc
Al Riavvio,fai l'operazione inversa,cioè leva la spunta da quella casella e conferma con Applica>Ok

Dopo, creati un punto di ripristino
Start>programmi>accessori>utilità di sistema>ripristino configurazione di sistema>metti il puntino nella casella "Crea punto di ripristino"
Metti il nome che vuoi al punto di ripristino creato e clicca su "Crea"

Ciao

PS:Se hai già utilizzato punti di ripristino non disattivarlo altrimentri al riavvio il pc non si riavvia,dato che non trova nessun punto di ripristino


-------------



Postato da: Crismon
Postato in data: 30/Maggio/2006 alle 12:57

Ok grazie Lucas,

facendo così avrei svuotato la cartella contenente i vari punti di ripristino?

Grazie sei MITTICO!!



-------------
http://www.crismonblog.org">


Postato da: Ilsewitch
Postato in data: 01/Giugno/2006 alle 23:38

Ciao dovresti aprire un topic solo con il tuo problema e vedrai che verranno in tuo aiuto quanto prima.

Ah benarrivato



-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>


Postato da: Ilsewitch
Postato in data: 01/Giugno/2006 alle 23:59

Prova a fare una scansione con Ewido e torna a mandare il log.Non è che ultimamente hai installato un programma con un nome simile?Io non sono molto pratico di virus e amenità del genere però mi appunterei anche D:\WINDOWS\security\msagent.exe.

Lifeview tvr,dvt.exe e ULI5289\Ali 5289 sai cosa sono?



-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>


Postato da: lucas
Postato in data: 04/Giugno/2006 alle 14:46

Firedamon è un programma leggittimo ma aspetta perchè i suoi usi avvolte sono tutto tranne che buoni,ma non è colpa del produttore,se vuoi leggi qui http://forums.firedaemon.com/viewtopic.php?t=18 -
http://forums.firedaemon.com/viewtopic.php?t=18
ciao


-------------



Postato da: lucas
Postato in data: 07/Giugno/2006 alle 17:27

Basta che disinstalli il programma da installazioni applicazioni
Poi start>pannello di controllo>strumenti di amministrazione>servizi
Scorri la lista fino a trovare questo servizio
FireDaemon Service
Lo selezioni,tasto destro del mouse e scegli propietà,clicca sulla frecciettina "tipo di avvio" e seleziona "Disabilitato" conferma con Applica>Ok

start>esegui>digita cmd nella casellina>clicca su ok
Ti si apre il prompt dos,dove lampeggia il cursore digita una alla volta i seguenti comandi
sc stop msagent <-----Invio
sc delete msagent <-----Invio
sc stop netclient <-----Invio
sc delete netclient <-----Invio
sc stop winsecure <-----Invio
sc delete winsecure <-----Invio

cd %windir%\security <-----Invio
del FireDaemon.exe <-----Invio

Riavvia il pc e vedi se hai ancora problemi



-------------



Postato da: lucas
Postato in data: 08/Giugno/2006 alle 16:28

Niente significa che il servizio non c'era e ti dava errore
Per piacere,posta un nuovo log di Hijackthis,hai ancora problemi?ciao


-------------




Vedi la discussione sul forum

Stampa la pagina | Chiudi finestra