| Autore |
 Discussione  |
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
 Inserito il - 21/03/2007 : 14:46:39
|
Citazione:
Messaggio inserito da eanghil
Io sono un altro impegolato in questo problema
seguo la scia.... mi sono procurato Hijackthis e ho fatto il log
htt*://depositfiles[.com]/files/715482
Se qualcuno sa come cavarmi dai pasticci... le finestre mi si aprono a ritmo crescente
Nod32 non mi trova nulla ma di tanto in tantorebbero attivando
In ogni caso per ra posto il log poi se qualcuno ha altre istruzioni eseguirò da bravo bambno
Grazie
Enrico
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 21/03/2007 : 17:10:29
|
scarica a-squared, avg antispyware e superantispyware dalla mia firma, li installi li aggiorni
dopodiché li fai scansionare da provvisoria, ed elimini tutto ciò che trovano dopodiché riposti
un log di hijack secondo le regole
ciao
p.s. evita certi siti |
 |
|
|
eanghil
New Member
40 Messaggi |
Inserito il - 21/03/2007 : 17:25:54
|
sto facendo
mi dici riposti "secondo le regole" ho infranto qualche regola prima oppure ho capito male? |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 21/03/2007 : 17:36:45
|
| Penso che la frase di aris73 "riposti un log di hijack secondo le regole" sia un richiamo che ormai mette di default, dato che a volte succede che qualcuno sbagli e incolli i log direttamente nel post (cosa vietata dal regolamento). |
|
|
|
eanghil
New Member
40 Messaggi |
Inserito il - 22/03/2007 : 10:09:51
|
Fatto... ci ha messo una vita... per ora sembra non farlo più, ma forse è troppo presto per dirlo
comunque questo è il log hijackthis appena prodotto
htt*://depositfiles[.com]/files/717572
Dimmi se ti sembra tutto a posto o se vale la pena cancellare qualcos'altro
Grazie
Enrico |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/03/2007 : 14:41:45
|
apri hijack e fixa:
O2 - BHO: (no name) - {EBA1E160-6428-4043-95AB-5960FACFBD71} - (no file
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - htt*://surechat[.com]:9000/Java/cfs31229 .cab
O16 - DPF: {4E67B0DB-1CAE-11D2-AD10-02608CA0806B} (NCRVersionControl Class) - htt*s://myb.gateway.ncr[.com]/Site001B/cab/NCRFile .cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - htt*://launch.gamespyarcade[.com]/software/launch/alaunch .cab
O16 - DPF: {BA2A9829-8040-4BF3-BDB6-51512826B68B} (Authentication.Authenticate) - htt*s://myb.gateway.ncr[.com]/Site001B/cab/Validate .cab
O20 - Winlogon Notify: KWNTA - ICKGW32I.DLL (file missing)
O20 - Winlogon Notify: ssqnlih - ssqnlih.dll (file missing)
l'unico dubbio che ho è di svchost... nn so se sia legittimo l'svchost contenuto in i386 windows
O4 - HKCU\..\Run: [EService] c:\WINDOWS\ServicePackFiles\i386\svchost.exe  |
Modificato da - Leleago in data 22/03/2007 14:52:17 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 22/03/2007 : 18:39:14
|
...E fai bene ad avere il dubbio 
svchost.exe è in C:\WINDOWS\system32 e basta, inoltre non è un processo all'avvio, quindi la voce è da fixare.
X lele: In realtà, mi sono documentato e ho visto che qualche svchost legittimo all'avvio esiste veramente (sono 4):
htt*://[www].castlecops[.com]/modules.php?name=StartupList&query=svchost.exe
E chi l'avrebbe mai detto... |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/03/2007 : 18:42:37
|
infatti anche io float avevo visto su castlecops dove dicevano che è legittimo è per quello che volevo sapere da quelli più esperti di me cm lo consideravano  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/03/2007 : 18:44:00
|
| però nn capisco poi che significa "[EService]" ?? |
|
|
|
eanghil
New Member
40 Messaggi |
Inserito il - 22/03/2007 : 20:03:12
|
Per ora non l'ho fixato, intendo O4 - HKCU\..\Run: [EService] c:\WINDOWS\ServicePackFiles\i386\svchost.exe
Non ho fixato neanche le altre voci riguardanti il gateway ncr (è l'azienda per cui lavoro ed è chiaramente qualcosa legato al sito aziendale attraverso cui mi collego per la posta e ecc.
Gli altri li ho fixati, ma per il svchost.exe non ben capito quale fosse la vostra ....ultima parola
In ogni caso le finestre non si aprono più da sole già così
Tuttalpiù ho altri dubbi su ZoneAlarm che ho installato oggi e mi lascia qualche perplesso per certi comportamenti, ma forse esiste un'altra area dedicata sul forum... |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 22/03/2007 : 22:46:52
|
Se le voci "geteway scr" le conosci hai fatto bene a non fixarle
Per quanto riguarda questa voce:
O4 - HKCU\..\Run: [EService] c:\WINDOWS\ServicePackFiles\i386\svchost.exe
Va fixata sicuramente, anche se magari non ti da problemi è comunque una voce relativa ad un malware.
Quindi devi fare due cose: fixare la voce in questione ed eliminare il file c:\WINDOWS\ServicePackFiles\i386\svchost.exe (se c'è).
Ti darò prima una rassicurazione, vistro che mi sembri titubante, e poi una spiegazione semplice del motivo per cui te la faccio fixare.
La rassicurazione deriva dal fatto che se hai messo HijackThis dentro una cartella in C:\Programmi, puoi sempre utilizzare il backup per rimettere le voci al loro posto.
La spiegazione è questa: se apri il TaskManager troverai molti processi svchost.exe che fanno un sacco di cose che ora non ti sto a spiegare... Questi processi derivano tutti da uno stesso file che ha questo percorso: C:\WINDOWS\system32\svchost.exe (controlla pure).
Questo processo non è un processo di avvio (le voci 04 di HijackThis) e quindi già la cosa puzza 
Infatti l'infido malware cosa fa? Piazza un file attivo (quindi segnato dal TaskManager) con il nome svchost.exe in una cartella diversa da system32 in modo che aprendo il TaskManager per controllare i processi non puoi vedere la differenza e sei fregato.
Fortuna che HijackThis + la testa di lele sono molto più furbi del virus in questione 
Ciao |
|
|
|
eanghil
New Member
40 Messaggi |
Inserito il - 22/03/2007 : 23:24:41
|
Fatto grazie
Non che fossi titubante, ma non avevo ben capito se il consiglio fosse fixa e vai tranquillo oppure boh non so fammici pensare.
Dopo il tuo ultimo post ho cancellato senza pietà
grazie di nuovo |
|
|
| |
Discussione |
|
Ancora Finestre pubblicitarie auto-aprenti
Forum Bloccato
