| Autore |
 Discussione  |
|
cristina75
Senior Member
92 Messaggi |
 Inserito il - 30/11/2007 : 15:26:52
|
Vi ingrazio per l'attenzione già in passato mi siete stati utilissimi.
Antivir mi ha indicato dei file sospetti nella cartella temp con una seria variabile di 10 cifre, seguita da dat.exe e che ogni volta cancello e riappaiono.
c'è anche un file abc123.pid
Ho cercato un po' in giro ma non ci ho capito molto.
Ho fatto una scansione anche con il norton ma non mi trova niente.
Oltre a questo ho anche una serie di errori all'avvio.
vi posto il log, sperando che qualcuno possa aiutarmi
log18.txt
|
Modificato da - Yves in Data 30/11/2007 18:34:26
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 30/11/2007 : 18:28:59
|
Scarica FindAWF e CCleaner
Lancia Hijackthis da modalità provvisoria *, clicca sul tasto "Do a system scan only", spunta queste voci:
O15 - Trusted Zone: *.doginhispen[.com]
O15 - Trusted Zone: *.whataboutadog[.com]
clicca su "fix Checked", chiudi e riavvia in modalità normale.
Esegui Find Awf (scegli l'opzione 1) e salva il report.
Esegui CCleaner, clicca su "opzioni", poi su "avanzate", togli la spunta su "cancella file in Windows Temp solo se piu vecchi di 48 ore". Fai un po' di pulizia di file temporanei, cookie e nel registro.
Postaci il teport di Find-Awf come indicato qui.
* Per entrare in modalità provvisoria all'avvio del pc premi ripetutamente F8. Nella finestra Opzioni avanzate di Windows scegli modalità provvisoria (usa il tasti frecce).
|
 |
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 30/11/2007 : 20:31:49
|
informazione per tutti:
con la nuova versione di CCleaner 2.01.507, non occorre più spuntare la casella temp più vecchi 48 ore è gia settata in questa maniera. |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 30/11/2007 : 22:29:35
|
Grazie mille!
Ho seguito le indicazioni e questo è il link del log di findAWF
htt*://[www].freefilehosting.net/download/NDMyNjA=
Rignrazio chiunque mi aiuterà :) |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 30/11/2007 : 23:08:17
|
Ho provato a lanciare di nuovo Hijackthis e le voci:
O15 - Trusted Zone: *.doginhispen[.com]
O15 - Trusted Zone: *.whataboutadog[.com]
Ci sono ancora, anche se le avevo fixate |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/12/2007 : 00:04:07
|
scarica Avenger, eseguilo, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno della finestra "Wiew/edit script" copia/incolla tutto quello scritto in blu:
files to delete:
C:\Programmi\Symantec AntiVirus\VPTray.exe
C:\WINDOWS\SMINST\Recguard.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\PDF Complete\pdfsty.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe
C:\Programmi\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\QuickTime\bak\qttask.exe
C:\Programmi\QuickTime\bak\bak\bak\qttask.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
C:\Programmi\InterVideo\DVD Check\bak\bak\DVDCheck.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\jre1.6.0\bin\jusched.exe
files to move:
C:\WINDOWS\SMINST\bak\Recguard.exe | C:\WINDOWS\SMINST\Recguard.exe
C:\WINDOWS\SMINST\bak\Scheduler.exe | C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\system32\bak\igfxpers.exe | C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\bak\AccelerometerSt.exe | C:\WINDOWS\system32\AccelerometerSt.exe
C:\Programmi\PDF Complete\bak\pdfsty.exe | C:\Programmi\PDF Complete\pdfsty.exe
C:\Programmi\Hewlett-Packard\Default Settings\bak\cpqset.exe | C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe
C:\Programmi\Hewlett-Packard\HP ProtectTools Security Manager\bak\PTHOSTTR.EXE | C:\Programmi\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe | C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\QuickTime\bak\bak\bak\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Analog Devices\SoundMAX\bak\Smax4.exe | C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Analog Devices\Core\bak\smax4pnp.exe | C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Java\jre1.6.0\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0\bin\jusched.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\InterVideo\DVD Check\bak\bak\bak\DVDCheck.exe | C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\bak\apdproxy.exe | C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Symantec AntiVirus\bak\VPTray.exe | C:\Programmi\Symantec AntiVirus\VPTray.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\File comuni\LightScribe\bak\LightScribeControlPanel.exe | C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\CREATOR\bak\Remind_XP.exe | C:\WINDOWS\CREATOR\Remind_XP.exe
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato (così come hai fatto per quello di Find AWF).
Per quanto riguarda la Trusted Zone:
scarica DelDomains e salvalo sul desktop. Poi cliccaci sopra con tasto destro del mouse e scegli "Installa".
Posta anche un nuovo log di hijackthis e un report di Find AWF (secondo le regole del forum). |
Modificato da - Sibilla in data 01/12/2007 00:05:51 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/12/2007 : 01:38:58
|
Cristina, inizialmente scarica Avenger e DelDomains.
Poi, disconnetti il pc da internet, disattiva il ripristino configurazion di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema") e fai quanto ti ho indicato: script per avenger (quello in blu) e installi delDomains.
Quando finisci, riattiva il ripristino di configurazione di sistema.
Ciao
=> Michal ok :) |
Modificato da - Sibilla in data 01/12/2007 01:49:05 |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 01/12/2007 : 11:21:48
|
Sibilla, prima di tutto grazie per la tua disponibilità, velocità e precisione delle informazioni.
Ti posto i nuvi log e report, sperando di aver finalemente risolto (i famosi file nella cartella impostazioni locali/Temp sono spariti e anche gli errori che mi dava all'avvio non si sono ripresentati, continuo ad incrociare le dita e a ringraziarti).
htt*://[www].freefilehosting.net/download/NDM1Mjk=
htt*://[www].freefilehosting.net/download/NDM1MzM=
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/12/2007 : 11:27:17
|
| dovresti cortesemente allegare anche quello di avenger.. lo trovi in c:\avenger |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 01/12/2007 : 11:42:11
|
Eccolo
htt*://[www].freefilehosting.net/download/NDM1NDc=
Poco fa mi si è disconnesso e mi ha aperto una finestra con una connessione remota e non mi faceva più andare l'adsl.
Ho riavviato, eliminato la connessione remota ed ora mi funziona, ma non so se può bastare
Grazie di nuovo, sei un mito!
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/12/2007 : 11:50:46
|
hai inserito solo mezzo script (files to move)?
Non l'hai copiato per intero? Vedo solo i risultati x quelli spostati.. e infatti ci sono altri file in bak, evidentemente sono quelli che non sono stati cancellati.
NON ripetere lo script, mi raccomando). |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 01/12/2007 : 11:57:06
|
| no, credo di aver copiato tutto :( |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/12/2007 : 12:16:21
|
fixa (da modalità normale):
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\bak\bak\bak\qttask.exe" -atboottime
(non servono in avvio)
Riposta un nuovo log di find awf e vediamo cos'altro è cambiato visto che ti è ricomparso il dialer. |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 01/12/2007 : 12:36:33
|
Ho seguito le tue istruzioni, ecco il log (non ho riavviato dopo aver fixato quelle voci, e prima di lanciare find awf, spero di non aver sbagliato)
htt*://[www].freefilehosting.net/download/NDM1OTM=
Grazie ancora per la pazienza e per la disponibilità!
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/12/2007 : 13:49:11
|
Script per avenger (copia\incolla quanto scritto in blu)
folders to delete:
C:\WINDOWS\SMINST\bak
C:\WINDOWS\system32\bak
C:\Programmi\PDF Complete\bak
C:\Programmi\Hewlett-Packard\Default Settings\bak
C:\Programmi\Hewlett-Packard\HP ProtectTools Security Manager\bak
C:\Programmi\HP\HP Software Update\bak
C:\Programmi\Analog Devices\SoundMAX\bak
C:\Programmi\Analog Devices\Core\bak
C:\Programmi\Java\jre1.6.0\bin\bak
C:\Programmi\File comuni\Symantec Shared\bak
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\bak
C:\Programmi\Adobe\Reader 8.0\Reader\bak
C:\Programmi\iTunes\bak
C:\Programmi\Symantec AntiVirus\bak
C:\Programmi\Synaptics\SynTP\bak
C:\Programmi\File comuni\LightScribe\bak
C:\WINDOWS\CREATOR\bak
Scarica, scompatta, installa, aggiorna e fai una scansione completa in modalità provvisoria con Virit
Prima di lanciare la scansione disattiva il ripristino configurazione di sistema. Dovessi avere problemi con gli antivirus, disattiva anche quelli.
NB1: poi parliamo dei due antivirus anche... ;) Perchè norton + antivir?
NB2: al riavvio, dovessi trovarti per qualche ragione senza il desktop, fai così: ctrl+alt+canc - clicca su "nuova operazione" e digita explorer (prendi nota).
Posta il report di find awf e quello di virit.
edit: dopo la scansione ricordati di ripristinare gli antivirus :) altrimenti ti connetti senza.. |
Modificato da - Sibilla in data 01/12/2007 13:56:47 |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 01/12/2007 : 16:05:07
|
Ho fatto tutto.
Virit non ha trovato niente, cmq questo è il log:
htt*://[www].freefilehosting.net/download/NDM3NDg=
Dopo il riavvio con avenger si è aperta un finestra nera dove c'erano scritto che non trovava dei file (ma non ho fatto in tempo a leggere).
Poi si è aperto questo txt:
htt*://[www].freefilehosting.net/download/NDM3NDc=
Infine allego il nuovo report AWF:
htt*://[www].freefilehosting.net/download/NDM3NDU=
Grazie ancora!
PS: Il delaer non c'è più
|
|
|
|
Discussione |
|
Virus
Forum Bloccato
