| Autore |
 Discussione  |
|
Kekko
Junior Member
Città: Roma
61 Messaggi |
 Inserito il - 25/11/2005 : 18:18:19
|
ciao a tutti
sono nuovo in questo forum e ci sono arrivato nel tentativo di risolvere un problema che ho quando mi collego ad internet
ho letto questi topic con molto interesse..ed ho scaricato alcuni programmi consigliati qui
ma niente da fare ..il mio problema resiste...(sto pensando seriamente di riformattare tutto)
in particolare se cerco di fare gli aggiornamenti di spyboot s&d mi da checksum errato...ignoro cosa voglia dire..
qualche suggerimento?
il problema che ho è credo collegato ad un virus che mi fa apparire di continuo una finestra con sopra scritto "servizio di messaggistica immediato"
e poi un messaggio ansiogeno del tipo :il tuo sistema sta collassando..vai al sito..[www].vattelapesca. ...per scaricare un antispyware e altre amenità (tutto in inglese)
grazie e ciao!
p.s.:cercherò di catturare la finestra che si apre e di incollarla in un post se ci riesco
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
 Inserito il - 25/11/2005 : 18:40:26
|
allora...posta quali difese hai...(non dirmi il norton se no stavolta gli faccio causa)..antivirus firewall tutto quello che usi per proteggerti o che nel tuo caso hai gia usato per scansionare..ecc...
poi vai qua htt*://[www].pianetapc.it/downloads.php?id=26 scarica apri e premi il tasto che dice do a system scan and save a log file(questo fallo con nessun programma aperto oltre ad hijackthis) e poi copi incolli il file qua..così ci rendi partecipi...
ciaoooooooooooooooooooo |
 |
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 25/11/2005 : 18:40:58
|
Si, realmente lo si potrebbe chiamare anche "virus" (venendo dalla M$), ma in realtà è solo un servizio winzoz che permette di inviare ai malcapitati innocenti pub di vario genere.
Vai in -> pannello di controllo -> strumenti amministrator -> servizzi e cerca nella lista "Messenger", non spaventatrti non ha niente a che vedere con MSN per la chat, fai un doppio click sopra poi lo fermi con "arresta" ed in "tipo di avvio" metti disabilitato, vado a memoria (sono su linux) e le diciture potrebbero differire un pò, sai, con l'età..., dovrebbero sparire d'incanto.
In quanto agli aggiornamenti il problema deve essere un altro, vedi che versione hai installato, oppure scarichi l'ultima versione e disinstalli quella che hai ora, ho visto alcuni post con un problema simile, credo dovuto ad una versione vecchia di spybot S&D, vai qui per l'ultima.
htt*://[www].safer-networking.org/en/download/
Se fa ancora i capricci riposta che vediamo cosa succede in profondità.
 Vanx mi ha preceduto...
Ciao |
Modificato da - Yves in data 25/11/2005 18:43:27 |
|
|
|
Kekko
Junior Member
Città: Roma
61 Messaggi |
Inserito il - 25/11/2005 : 18:57:37
|
questo è il log
Logfile of HijackThis v1.99.1
Scan saved at 18.50.53, on 25/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\Rar$EX00.578\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htt*://go.microsoft[.com]/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - htt*://security.symantec[.com]/sscv6/SharedContent/vc/bin/AvSniff .cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - htt*://security.symantec[.com]/sscv6/SharedContent/common/bin/cabsa .cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
in quanto alle protezione...eh si Vanx...ho proprio norton nessun firewall (sono all'età della pietra  )
ho scaricato spyblaster a ad-aware (già avevo spybot s&d)
ho fatto varie scansioni ed eliminato cose rischiose (come suggerito dai programmi citati)
quanto ai tuoi suggerimenti Yves..appena postato questo lo faccio e ti faccio sapere
ciao e grazie atutti!! 
p.s.:sto navigando da svariato tempo senza che la finestra appaia...la frequentazione di questo sito ha un effetto taumaturgico? |
|
|
|
Kekko
Junior Member
Città: Roma
61 Messaggi |
Inserito il - 25/11/2005 : 19:15:06
|
per Yves: ho seguito le tue istruzioni e arrestato e disabilitato il servizio messanger
prima che lo facessi è riapparsa la finestra
ho catturato l'immagine a video e l'ho incollata in un documento word...ma nn so come postarla
c'è un modo?
ciao! 
p.s.:surferò nel sito che mi hai dato per scaricare una versione aggiornata di spybot |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 25/11/2005 : 19:15:37
|
andiamo per ordine...
dobbiamo eliminare questo C:\Programmi\Messenger\msmsgs.exe...
quindi prova a scaricare Nod 32 htt*://[www].nod32.it/download/trial.htm
e fai una bella scansione(dopo averlo aggiornato)
poi riposti un log di hijackthis
avevo sbagliato link
ciaooooo |
Modificato da - n/a in data 25/11/2005 19:17:17 |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 25/11/2005 : 19:19:51
|
per postare la foto avvaliti di un servizio di free hosting come questo e poi posti il link
htt*://tinypic[.com]/
ciaoooo |
|
|
|
Kekko
Junior Member
Città: Roma
61 Messaggi |
Inserito il - 25/11/2005 : 20:03:00
|
ok.....immagine disponibile quì
htt*://tinypic[.com]/htfmhf.jpg
Vanx....scusa se abuso della tua gentilezza..ma nn riesco ad eliminare (disinstallare) msmsgs.exe
nn lo trovo nella lista dei programmi in aggiungi/rimuovi nè nella finestra installazione di componenti windows.
potrei semplicemente cancellare la cartella e pulire il registro..ma credo che farei solo casino
cmq ho installato l'ultima versione di spybot e scaricato gli aggiornamenti, fatto la scansione ed eliminato 3 voci del registro che si riferivano ad uno spyware (trial version) che avevo scaricato in rete e disinstallato perkè la trial version nn elimina i problemi riscontrati (quindi presumo un problema nn critico per il sistema).
mi pare di aver capito che spybot funziona anche come un pulitore del registro...è giusto?
un'altra cosa ke ho notato durante la scansione di spybot è una lista infinita di dialer che appaiono nella riga in basso..nn è chiaro se sono nel suo database o nel mio computer...
ciao!!
|
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 25/11/2005 : 20:09:40
|
allor ala lista che compare in basso è il suo database..cmq pe rpulire il registro usa i tool per il registro..
Regcleaner htt*://download.vnunet.it/download/pulitori+e+installazione/regcleaner/_1170.html
ccleaner htt*://[www].softpedia[.com]/progDownload/CCleaner-Download-8851.html
RegSeeker htt*://[www].pianetapc.it/downloads.php?id=96
che sono questi..
per quanto riguarda msmsgs.exe è ovvio che non lo trova...ahg ah ah ah ah ah <-----risata malvagia
msmsgs.exe è un trojan quindi lo elimini con nod32 di cui ti ho postato il link sopra....se non lo alimina bisognerà provare con altro..intanto prova il nod32
ciaooooo |
|
|
|
Kekko
Junior Member
Città: Roma
61 Messaggi |
Inserito il - 25/11/2005 : 20:25:54
|
 un trojan?????....e io che credevo che fosse il messenger di microsoft...ke tonno!!!
(ha un aria così innocente...ehehehe)
ok..farò come mi dici e aggiorno
ciao!
P.s.: e allora svchost.exe cosa è? e perchè lo carica 2 volte??? |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 25/11/2005 : 20:26:42
|
Confermo, vista l'immagine erano gli spam instantanei, quindi non dovrebbero più uscire.
Se riesci a terminare il processo MSMSGS.EXE, disattivi il ripristono (pannello di controllo -> sistema -> avvio e ripristino), lo cancelli dalla cartella che ti indica "C:\Programmi\Messenger\", al riavvio non dovrebbe piu riapparire (oppure lo cancelli dalla "modalità provvisoria". ma ricorda di disabilitare il ripristino prima), in seguito una buona passata con ccleaner e tutto dovrebbe tornare in regola (non sembri molto scottato..)...a parte sto cavolaccio di Norton che non serve a gran cosa, se non a rallentare tutto...
svchost serve da "intermediario" ad altri processi, potresti averne anche 5 o 6 aperti, di per sè è innocuo.
Ciao. |
Modificato da - Yves in data 25/11/2005 20:28:38 |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 25/11/2005 : 20:54:03
|
quoto Yves...in tutto
svchost è innocuo..di per sè..quindi puoi dormire tranquillo(per quello)
ciaoooooo |
|
|
|
Kekko
Junior Member
Città: Roma
61 Messaggi |
Inserito il - 25/11/2005 : 21:09:56
|
ho fatto la scansione con nod32....nn trova virus, ma trova due file bloccati (in uso esclusivo)
immagino che convenga fare la scansione in provvisoria oppure togliere la spunta a msmsgs.exe in avvio di msconfig.....
cmq questo è il rapporto di nod32
htt*://tinypic[.com]/hth7c8.jpg
ciao!!!
ehm..ho controllato l'immagine allegata...nn si vede un gran che...sorry
con lo zoom però si vede alla grande....eheheheheh |
Modificato da - Kekko in data 25/11/2005 21:14:10 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 25/11/2005 : 22:19:49
|
Non avevo visto questo:
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
è il "vecchio" MSN 4.7 (credo) in esecuzione in background, collegato al processo sopra (non credo sia un virus, l'ubicazione sembra corretta).
Scarica "XP-Antispy" htt*://xp-antispy.org/component/option,com_remository/Itemid,26/ con lui riesci ad estirparlo senza dolori di testa, una volta lanciato il programma selezioni la casella rispettiva nella lista e "pigia" applica, va d'incanto...
Ciao. |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 25/11/2005 : 22:33:35
|
quoto Yves...se nod 32 non ha trovato niente..non è il trojan...meglio così..quindi dovrebbe esere ancora la versione vechia 4.7 di msn come diceva Yves..
quindi salva la password e user da qualche parte e ti prego brucia quel messenger..estirpalo..uccidilo cancellalo dalla tua vita...se vuoi usa pure unlocker(programma freeware) nel disinstallarlo perchè è probabile che non ti lasci cancella re alcuni file di msn...
cmq io ti consiglio..entra dalla provvisoria prendi la cartella di messenger 4.7...e la butti via...mi hai compreso bene..buttalaaaaaaa
ciaoooooo |
|
|
|
Kekko
Junior Member
Città: Roma
61 Messaggi |
Inserito il - 25/11/2005 : 22:44:24
|
ehehehehe...già fatto ragazzi...ho scaricato xp-antispy e disinstallato msm
che possiamo inserire senz'altro nella categoria dei virus visto che si intalla da solo quando installi XP e per toglierlo ci vuole l'aiuto di esperti come voi
grazie ancora
ora il mio desktop è pieno di icone di programmi antispy (nn saranno dei virus anke quelli??? )
e mi piacerebbe imparare ad usarli correttamente..ma questa è un'altra storia...
cmq in avvio di ms config messanger appare ancora (senza la spunta che avevo già tolto)
nn dovrebbe sparire dal menù di avvio una volta disinstallato?
eppoi perkè se togli la spunta da qualke processo nel menu di avvio, questa si apre ogni volta che accendi il computer?
quante domande.....
ciaoooooooo
p.s.: siete forti |
|
|
|
Discussione |
|
servizio di messagistica immediato
Forum Bloccato
