MegaLab.it


http://www.megalab.it/forum/

Problemi con explorer

./viewtopic.php?f=33&t=11579&start=0

Pagina 1 di 1

MessaggioInviato: lun gen 17, 2005 5:17 pm
da tarocco_fett
intanto che aspetto...vi mando il log di Hijack almeno vi rendo il compito piu' facile..grazie in anticipo.
la cosa e' stranissima ho formattato ieri quindi non ho praticamente nulla istallato....... [cry+]



Logfile of HijackThis v1.98.0
Scan saved at 17.14.55, on 17/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\spolsv.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Shareaza\Shareaza.exe
C:\Programmi\ICQ\Icq.exe
C:\Programmi\Yahoo!\Messenger\YPager.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\pietro\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] spolsv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] spolsv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] spolsv.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5714632918
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6CABEA3-DB29-402F-B45E-883EA5B7BEE9}: NameServer = 217.141.251.204 151.99.125.1

MessaggioInviato: lun gen 17, 2005 5:53 pm
da simone.west
spiega che tipo di problema hai [afro]

MessaggioInviato: lun gen 17, 2005 5:53 pm
da Mr.TFM
simone.west ha scritto:spiega che tipo di problema hai [afro]
http://www.MegaLab.it/forum/viewtopic.php?t=11578

MessaggioInviato: lun gen 17, 2005 6:12 pm
da Rancid
Questo
C:\WINDOWS\System32\spolsv.exe


sembra arrivare dritto dritto da questo worm:

http://www.sophos.com/virusinfo/analyse ... botcs.html

MessaggioInviato: lun gen 17, 2005 6:57 pm
da simone.west
chiedo venia [sedia]

MessaggioInviato: lun gen 17, 2005 10:26 pm
da tarocco_fett
grazie [applauso]

lo devo levare col fix direttamente da hijackthis?
o no? come faccio a levarlo?


ho seguito le istruzioni nel link, e dice:

Locate the HKEY_LOCAL_MACHINE entries:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SpoolService= spolsv.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SpoolService= spolsv.exe
and delete them if they exist.
Close the registry editor.

ora io ho fatto tutto ma lo spolsv.exe non e' dove dice SpoolService ma c'e scritto firewall e qualche cosa...che faccio lo elimino lo stesso? nn vorrei fare danni

MessaggioInviato: mar gen 18, 2005 11:51 am
da crazy.cat
Le puoi eliminare con hijack
O4 - HKLM\..\Run: [Sygate Personal Firewall] spolsv.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] spolsv.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] spolsv.exe
tutte e tre le righe, dalla modalità provvisoria elimini anche il file exe,e ti fai una scansione dei virus con Scangui,trovi l'articolo su come usare in home page.

MessaggioInviato: mar gen 18, 2005 12:58 pm
da tarocco_fett
ho trovato questo file: SPOLSV.EXE-26B87F73.pf

e' questo che devo cancellare da modalita' provvisoria?

la scansione posso farla con avg , che gia' e' istallato? o no?

MessaggioInviato: mar gen 18, 2005 1:03 pm
da crazy.cat
Devi trovare SPOLSV.EXE, abilita anche la visione dei file nascosti.
Fai la scansione con Scangui per avere un altro "parere",tanto devi solo copiarti alcuni file non vai ad installare niente di nuovo.
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/