| Autore |
 Discussione  |
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 03/01/2006 : 14:31:17
|
Uff ... che misteriosa l'Ale :)
Ho provato outpost come firewall ma non mi trovo molto, mi trovavo con sygate, conosci?
ciao a dopo |
 |
|
|
mok
Senior Member
161 Messaggi |
 Inserito il - 03/01/2006 : 15:08:36
|
Citazione:
Messaggio inserito da Alexsandra
Il log è incompleto Mok,lo hai fatto dalla provvisoria o hai copiato male dal txt ??
Il log và fatto sempre con avvio normale per analizzare il sistema e in provvisoria per fixare le voci da togliere.
Se hai solo il FW di XP SP 2 sei messa maluccio come sicurezza,ma è meglio parlarne dopo aver visto il log giusto
In effetti l'avevo fatto da provvisoria, ora l'ho rifatto in normale...
Logfile of HijackThis v1.99.1
Scan saved at 15.06.42, on 03/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\standard\IMPOST~1\Temp\Directory temporanea 3 per hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programmi\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [rusto] "C:\DOCUME~1\standard\IMPOST~1\Temp\s3m4.2.exe"
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [HWSetup] C:\Programmi\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - htt*://[www].kaspersky[.com]/downloads/kws/kavwebscan_unicode .cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htt*://go.microsoft[.com]/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{19383261-1890-4C24-BBB6-A410FEB8575A}: NameServer = 85.37.17.45 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{19383261-1890-4C24-BBB6-A410FEB8575A}: NameServer = 85.37.17.45 151.99.125.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
Ciao! Monica
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 03/01/2006 : 20:47:25
|
Questi processi sono inutili inavvio.
Start-msconfig,vai alla linguetta "AVVIO" e togli la spunta a queste voci
C:\WINDOWS\system32\Ati2evxx.exe --> Assistente ATI
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe --> Toshiba Notebooks config
C:\WINDOWS\system32\DVDRAMSV.exe -->DVD-RAM Utility Helper Service
C:\WINDOWS\system32\ZoomingHook.exe --> Toshiba Zooming Utility for Tablet PC
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe --> Toshiba Virtual Sound Tray Icon
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe -->Toshiba Laptops Traybar Process
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe --> Tasti funzione
C:\WINDOWS\system32\TCtrlIOHook.exe --> Sconosciuta
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe -->TOSHIBA Zooming Utility
C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe -->Toshiba Touchpad Module
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe -->Toshiba ConfigFree Traybar
C:\WINDOWS\system32\GSICON.EXE -->Eicon Networks Connection Monitor
C:\WINDOWS\system32\dslagent.exe -->Eicon Communications Assistant
C:\WINDOWS\system32\dla\tfswctrl.exe -->HP DLA Packet Writing Software
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe -->CeEKEY satellite
C:\Programmi\Apoint2K\Apoint.exe -->Alps Pointing-device Driver
C:\WINDOWS\AGRSMMSG.exe --> SoftModem Assistant
C:\WINDOWS\system32\ctfmon.exe -->Alternative User Input Services
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe -->Toshiba Laptop CD/DVD Component
C:\WINDOWS\system32\TPSBattM.exe -->Toshiba Power Saver
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE --> office 2003
C:\PROGRA~1\INCRED~1\bin\IMApp.exe -->IncrediMail
Toglierli dall'avvio non significa disinstallarli,probabile che alcuni non li trovi in msconfig,togli quelli che trovi e gli altri li vediamo dopo
Riavvia in provvisoria,disabilita ripristino e visualizza file nascosti,lancia HJK e fixa queste voci
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programmi\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [rusto] "C:\DOCUME~1\standard\IMPOST~1\Temp\s3m4.2.exe"
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programmi\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - htt*://[www].kaspersky[.com]/downloads/kws/kavwebscan_unicode .cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htt*://go.microsoft[.com]/fwlink/?linkid=39204
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
Lancia RegSeeker e pulisci il registro,dopo riavvia il pc.
Lancia ancora msconfig e vai alla linguetta "Servizi", metti la spunta in basso a Sx alla voce "Nascondi servizi Microsoft" e dopo posta i servizi che ti mostra assieme ad un nuovo log di HJK.
A dimenticavo il tuo log è pulito e il virus è sparito,ma ti devi proteggere di più
Antivir PE,Bitdefender 7.2,Spyboot(che lo hai già),Ad Aware,spyware Blaster e come FW Outpost 1.0,tutto Free,se hai attivo il centro di controllo e FW di SP 2 toglilo che è meglio
Ciao e fammi sapere
|
|
|
|
mok
Senior Member
161 Messaggi |
Inserito il - 04/01/2006 : 10:31:00
|
Voilà! Ecco l'ultimo log di HJT:
Logfile of HijackThis v1.99.1
Scan saved at 10.26.37, on 04/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\standard\Desktop\Sicurezza\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
I servizi che mi mostra sono:
ATI HOTKEY POLLER
CONFIGFREE SERVICE
KAVSVC
OFFICE SOURCE ENGINE
SYMWMI SERVICE
Attendo nuove... grazie!
Monica |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 04/01/2006 : 11:31:59
|
Start-programmi-strumenti di amministrazione-servizi.
Cerca il servizio OFFICE SOURCE ENGINE fai doppio clik e nella finestra che ti appare clicca sul pulsante "Arresta",dopo clicca sul box centrale "Tipo Avvio" e seleziona "Disabilitato"
La stessa procedura vale anche per CONFIGFREE SERVICE e per "Aggiornamenti Automatici"
cerca anche in questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
troverai i seguenti valori nel pannello di Dx Cancellali
IgfxTray = C:\WINDOWS\system32\igfxtray.exe
Apoint = C:\Programmi\Apoint2K\Apoint.exe
SmoothView = C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
inoltre togli anche i valori riferiti a Toshiba
In questa chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
togli questi valori dal pannello di Dx
CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
TOSCDSPD = C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
Inoltre fai un controllo nella cartella "Esecuzione Automatica" cosa c'è e in queste chiavi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
In queste chiavi controlla che quello che abbiamo tolto sopra non sia presente.
PS.tutti i file e i processi riferiti a Toshiba li hai installati con il cd del produttore ma sono tutte utility inutili per il sistema.
Fatto questo vai in task manager (Control+Canc) e controlla quanto ti assorbe la CPU,lancia regSeeker e pulisci il registro.
Dopo posta un log di HJK
|
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 04/01/2006 : 12:42:00
|
Una domanda, cercando msx.dll non trovo niente nel pc dell'amica, ma se cerco sempre in regedit msx generico trovo un msxml3.dll puo' c'entrare col virus? il pc sembra andare bene pero'
fatemi sapere grz
baci |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 04/01/2006 : 14:25:03
|
| No lasciala stare è riferita a office e non centra col virus |
|
|
|
mok
Senior Member
161 Messaggi |
Inserito il - 04/01/2006 : 14:42:52
|
Allora, intanto ecco il log di HJT:
Logfile of HijackThis v1.99.1
Scan saved at 14.38.34, on 04/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Documents and Settings\standard\Desktop\Sicurezza\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O17 - HKLM\System\CCS\Services\Tcpip\..\{19383261-1890-4C24-BBB6-A410FEB8575A}: NameServer = 85.37.17.45 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{19383261-1890-4C24-BBB6-A410FEB8575A}: NameServer = 85.37.17.45 151.99.125.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
Osservazioni:
1) in HKEY_LOCAL MACHINE... Run non ho trovato igfxtray.exe, gli altri due sì e li ho cancellati
2) non ho capito come devo fare per togliere "i valori riferiti a Toshiba"... 
3) la cartella Esecuzione automatica appare vuota...
4) cosa devo fare perché Incredimail non si apra automaticamente in avvio?
5) Infine: perché appaiono ancora dei file ai quali avevo tolto la spunta da msconfig??? (vedi CeEkey.exe o GSICON.EXE...)Grazie della tua pazienza! |
Modificato da - mok in data 04/01/2006 15:13:08 |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 04/01/2006 : 15:28:42
|
Per eliminare incredimail dall'avvio automatico fai così:
Scaricati RegSeeker vai sulla sezione "Avvio Automatico" ed elimina incredimail e gli altri servizi indesiderati. |
Modificato da - Er-Gladiatore in data 04/01/2006 15:30:16 |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 04/01/2006 : 16:29:22
|
Hai ragione i fix 020 li trovi in questa chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows, caricano le DLL al Login dell'utente.
Per il resto il log non è male anzi,togli igfxtray.dll in questa chiave e per il resto direi che non c'è traccia del virus
cercali nella chiave postata sopra (CeEkey.exe o GSICON.EXE...)
Cerca in installazione applicazioni se hai qualcosa che faccia riferimento alle utility Toshiba |
|
|
|
mikle
New Member
41 Messaggi |
Inserito il - 04/01/2006 : 16:42:27
|
ciao a tutti,
so che non c'entra con l'argoimento ma non riesco a trovare un aiuto.
Ho avuto un problema con questo dialer passe partout.
tramite i forum ho capito che è un dialer, ho la adsl quindi non mi ha fatto danni.
L'ho eliminato buttandolo nel cestino ma non so se è definitivo.
Ho fatto la scansione con hijack e ho salvato il log posso inviarlo così qualcuno mi dice se va tutto bene?
grazie |
|
|
|
mok
Senior Member
161 Messaggi |
Inserito il - 04/01/2006 : 19:30:45
|
Grazie Gladiatore e Alexsandra... ho fatto ed ecco il risultato dell'ultimo log...
Logfile of HijackThis v1.99.1
Scan saved at 19.58.27, on 04/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\standard\Desktop\Sicurezza\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1.0\wl_hook.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C'è ancora qualcosa da togliere o va bene così?
Intanto oggi ho installato AntiVir PE e il FW di Outpost. Di quest'ultimo avevo scaricato inizialmente la versione 1.0 come mi avevi consigliato, Alexsandra, poi però mi è apparso un messaggio che diceva che la versione non era aggiornata e chiedeva se volevo aggiornarla. Ho dato ok e mi ha scaricato la versione 3.0 in prova per 30 gg... mi sembrava di aver capito che invece la 1.0 era proprio free, non in prova...
|
Modificato da - mok in data 04/01/2006 20:10:47 |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 04/01/2006 : 20:40:07
|
Il log è pulito ma non hai seguito/capito certi procedimenti
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
Rileggiti i miei post e se c'è qualcosa che non hai capito te lo rispiego.
wscntfy.exe ----> centro di sicurezza windows SP 2
wuauclt.exe ----> Aggiornamenti automatici
Tutti e due li togli dai servizi (start-programmi-strumenti di amministrazione-servizi.........)
questa
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
è in questa chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
comunque trovi tutto nei post precedenti,non è un rimprovero,ma così prendi confidenza in maniera "guidata" di certi processi e magari dopo puoi sistemarti il pc da sola oppure postare in un forum e aiutare gli altri.
prova e se hai bisogno ...........
PS[.com]unque da come era adesso è un gioiellino,è solo la classica ciliegia sulla torta.
Ciao |
|
|
|
mok
Senior Member
161 Messaggi |
Inserito il - 08/01/2006 : 10:11:14
|
Citazione:
Messaggio inserito da Alexsandra
Il log è pulito ma non hai seguito/capito certi procedimenti
(...)
comunque trovi tutto nei post precedenti,non è un rimprovero,ma così prendi confidenza in maniera "guidata" di certi processi e magari dopo puoi sistemarti il pc da sola oppure postare in un forum e aiutare gli altri.
prova e se hai bisogno ...........
PS[.com]unque da come era adesso è un gioiellino,è solo la classica ciliegia sulla torta.
Ciao
Porta pazienza, Alessà! E' la prima volta in assoluto che metto le mani "dentro" il pc per scacciare un virus e fare pulizia...
Probabilmente c'è qualcosa che sbaglio, anche perché sono molto imbranata nel registro, ho paura di fare danni... comunque va bene così. Ora ho un altro problema che posterò in un thread apposito...
Ciao
Monica |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 08/01/2006 : 10:32:01
|
|
Ok il mio ultimo post era riferito a perfezionare l'avvio posta quello che hai che vediamo. |
|
|
|
Discussione |
|
VIRUS CLICKER BOMKA
Forum Bloccato
