www.MegaLab.it

[Axl]

come mai è così importante???

[Amantide]

Perche i punti di ripristino sono una specie di file di backup chiusi, che si trovano nel area protetta del sistema non accessibile ai programmi. Se il sistema è infetto anche il virus viene implementato nel backup e di conseguenza l'antivirus riuscirà ad individuare i virus ma nn potrà eliminarli. E nel caso se un giorno vai a ripristinare le configurazioni del sistema rischi di "liberare" il virus.

[crazy.cat]

come mai è così importante???

Uno dei primi articoli che ho scritto
http://www.MegaLab.it/2330

Una grande inutility della microsoft.

[Amantide]

come mai è così importante???

Uno dei primi articoli che ho scritto
http://www.MegaLab.it/2330

Una grande inutility della microsoft.

Mah... io non sarei tanto categorica. A me personalmente ha salvato tante volte, anche nelle situazioni altrimenti irrisolvibili.
Disattivare tutte le utility di windows, solo perche si ha la fissazione che tutto ciò che è marcato microsoft fa male, secondo me è la mossa sbagliata.

[Axl]

Perche i punti di ripristino sono una specie di file di backup chiusi, che si trovano nel area protetta del sistema non accessibile ai programmi. Se il sistema è infetto anche il virus viene implementato nel backup e di conseguenza l'antivirus riuscirà ad individuare i virus ma nn potrà eliminarli. E nel caso se un giorno vai a ripristinare le configurazioni del sistema rischi di "liberare" il virus.

capito , ripristinando tornerebbe tutto alla situazione precedente , bestie varie comprese....
dovrò ricordarmi

[doris]

Ciao.
Anch'io ho lo stesso problema.
Ecco il report di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12.36.26, on 21/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\DOCUME~1\BESNIK~1\IMPOST~1\Temp\1189752484.dat.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Logitech\KHAL\KHALMNPR.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
c:\programmi\internet explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [crtfmon] C:\DOCUME~1\BESNIK~1\IMPOST~1\Temp\1189752484.dat.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {44C3DF5E-209A-467A-B34A-6D85DB91929D} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {131EB16C-BD58-443F-8151-6DFBB0DA1778} (Anark Client 3.0 ActiveX Control) - http://install.anark.com/client/version ... Client.cab
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.coolstreaming.us/webtv/tvkoo/KooPlayer.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://edly1.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6527360000
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://download.shockwave.com/pub/otoy/OTOYAX.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://edly1.spaces.live.com/PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2E6BFC7-BA7D-4E95-918B-B4BC00F6B27A}: NameServer = 212.216.112.112 212.216.172.62
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

Mi dite per piacere cosa devo cancellare e poi cosa fare per risolvere definitivamente il problema?

Grazie

[crazy.cat]

Anch'io ho lo stesso problema.

Sarebbe bello sapere se hai già provato a fare qualcosa?

Hai almeno un altro virus presente.
Usa http://noahdfear.geekstogo.com/FindAWF.exe e posta qui il risultato della scansione.

[doris]

ho fatto una scansione con ad-aware (tra l'altro in modalità provvisoria), ma non ha trovato niente.
Ho letto le istruzioni di altri utenti, e ho visto che la prima cosa da fare è disattivare il ripristino automatico delle configurazioni, e l'ho fatto.
Il secondo passo è la scansione con hijackthis, e ho fatto anche quello. Il report della scansione l'ho riportato già sopra. Ora non so cosa cancellare tra quelle voci...

[doris]

ecco il report di awf:


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\QUICKT~1\BAK

12/09/2006 09.29 282.624 qttask.exe
1 File 282.624 byte
2 Directory 27.973.591.040 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
03/11/2005 15.22 77.824 hkcmd.exe
03/11/2005 15.26 118.784 igfxpers.exe
03/11/2005 15.25 98.304 igfxtray.exe
19/07/2005 17.32 221.184 LVCOMSX.EXE
09/07/2001 10.50 155.648 NeroCheck.exe
6 File 687.104 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\CANON\EASY-P~2\BAK

14/01/2004 03.10 409.600 BJPSMAIN.EXE
1 File 409.600 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

02/11/2004 20.24 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

10/02/2007 09.41 411.648 avgcc.exe
1 File 411.648 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\GRISOFT\AVG7\BAK

25/04/2007 13.03 416.256 avgcc.exe
1 File 416.256 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\GRISOFT\AVGANT~1.5\BAK

07/10/2006 14.20 6.266.880 avgas.exe
1 File 6.266.880 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\HEWLET~1\HPSHAR~1\BAK

17/04/2002 10.42 69.632 hpgs2wnd.exe
1 File 69.632 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\LOGITECH\VIDEO\BAK

08/06/2005 15.24 458.752 ISStart.exe
08/06/2005 15.14 217.088 LogiTray.exe
08/06/2005 14.44 196.608 ManifestEngine.exe
3 File 872.448 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

15/06/2006 12.36 229.376 LAUNCH~1.EXE
1 File 229.376 byte
2 Directory 27.973.586.944 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\SCANSOFT\OMNIPA~1.0\BAK

08/05/2003 12.00 49.152 OpwareSE2.exe
1 File 49.152 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\VIAUDIOI\SBADECK\BAK

19/05/2006 10.30 524.288 ADeck.exe
1 File 524.288 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\WINDOWS\IME\IMJP8_1\BAK

03/08/2004 22.32 208.952 IMJPMIG.EXE
1 File 208.952 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

16/04/2007 22.51 185.896 realsched.exe
1 File 185.896 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\121128~1.546\BAK

06/02/2007 19.21 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\HEWLET~1\DIGITA~1\UNLOAD\BAK

07/10/2002 00.23 90.112 hpqcmon.exe
1 File 90.112 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\JAVA\JRE15~2.0_1\BIN\BAK

15/12/2006 04.23 75.520 jusched.exe
1 File 75.520 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\WINDOWS\SYSTEM32\IME\TINTLGNT\BAK

03/08/2004 22.32 455.168 TINTSETP.EXE
1 File 455.168 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\ADOBE\PHOTOS~2\3.0\APPS\BAK

07/07/2005 19.41 57.344 apdproxy.exe
1 File 57.344 byte
2 Directory 27.973.582.848 byte disponibili
Il volume nell'unit… C Š DM0106
Numero di serie del volume: 3073-263B

Directory di C:\PROGRA~1\LOGITECH\DESKTO~1\8876480\PROGRAM\BAK

16/02/2007 23.03 67.128 LogitechDesktopMessenger.exe
1 File 67.128 byte
2 Directory 27.973.582.848 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

282624 12 Sep 2006 "C:\Programmi\QuickTime\bak\qttask.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
77824 3 Nov 2005 "C:\pnp\Video\Win2000\hkcmd.exe"
77824 3 Nov 2005 "C:\WINDOWS\system32\bak\hkcmd.exe"
118784 3 Nov 2005 "C:\pnp\Video\Win2000\igfxpers.exe"
118784 3 Nov 2005 "C:\WINDOWS\system32\bak\igfxpers.exe"
98304 3 Nov 2005 "C:\pnp\Video\Win2000\igfxtray.exe"
98304 3 Nov 2005 "C:\WINDOWS\system32\bak\igfxtray.exe"
221184 19 Jul 2005 "C:\WINDOWS\system32\bak\LVCOMSX.EXE"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
409600 14 Jan 2004 "C:\Programmi\Canon\Easy-PrintToolBox\bak\BJPSMAIN.EXE"
32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
421888 18 Sep 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
411648 10 Feb 2007 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
416256 25 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
421888 18 Sep 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
411648 10 Feb 2007 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
416256 25 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
6266880 7 Oct 2006 "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\bak\avgas.exe"
69632 17 Apr 2002 "C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe"
458752 8 Jun 2005 "C:\Programmi\Logitech\Video\bak\ISStart.exe"
217088 8 Jun 2005 "C:\Programmi\Logitech\Video\bak\LogiTray.exe"
196608 8 Jun 2005 "C:\Programmi\Logitech\Video\bak\ManifestEngine.exe"
24080 17 Aug 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe"
229376 15 Jun 2006 "C:\Programmi\Nokia\Nokia PC Suite 6\bak\LAUNCH~1.EXE"
49152 8 May 2003 "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe1181930523"
49152 8 May 2003 "C:\Programmi\ScanSoft\OmniPageSE2.0\bak\OpwareSE2.exe"
524288 19 May 2006 "C:\Programmi\VIAudioi\SBADeck\bak\ADeck.exe"
208952 3 Aug 2004 "C:\WINDOWS\ime\imjp8_1\imjpmig.exe"
208952 3 Aug 2004 "C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE"
185896 16 Apr 2007 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
52272 6 Feb 2007 "C:\Programmi\Google\googletoolbar3user.exe"
69632 24 May 2007 "C:\Programmi\Google\Google Earth\googleearth.exe"
1145896 16 Apr 2007 "C:\Programmi\File comuni\Real\GToolbar\GoogleToolbarInstaller.exe"
138168 6 Feb 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
171448 6 Feb 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
26694 5 Aug 2007 "C:\Documents and Settings\Besnik Graceni\Dati applicazioni\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe_.exe"
90112 7 Oct 2002 "C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\bak\hpqcmon.exe"
49263 12 Oct 2006 "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
49263 9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
75520 15 Dec 2006 "C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe"
455168 3 Aug 2004 "C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe"
455168 3 Aug 2004 "C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE"
57344 7 Jul 2005 "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe"
53248 25 May 2005 "C:\Programmi\Logitech\SetPoint\logitechconnect.exe"
67128 16 Feb 2007 "C:\Programmi\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe"


end of report

[doris]

ho anche cercato tra i file di sistema e ho trovato un file che si chiama SERVICES.EXE-2F433351.pf; si trova nella cartella C:\WINDOWS\Prefetch.
E' un file infetto?

[crazy.cat]

E' un file infetto?

No.

C'è qualcosa che non mi convince nel log.
E' meglio se fai una scansione completa sul sito della kaspersky
http://www.kaspersky.com/virusscanner
e poi posta i risultati.

[doris]

Penso che ci vorrà molto tempo per finire la scansione; comunque appena finisce ti posto i risultati.
Nel frattempo ti faccio un altra domanda: attualmente uso AVG 7.5 free edition come antivirus. Dovrei cambiarlo con kaspersky o qualcun altro (sempre freeware)?
Grazie

[doris]

ti posto il rislutato di kaspersky. mi dava 2 virus e 7 file infetti

[crazy.cat]

ti posto il rislutato di kaspersky. mi dava 2 virus e 7 file infetti

Il log di kaspersky ha rilevato tutto diverso da quello che mi aspettavo.
Prova questo script, ma per la prima volta non sono per niente convinto che risolva qualcosa.

Files to delete:
C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1187419602.dat.exe
C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1188056756.dat.exe
C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1188717693.dat.exe
C:\Programmi\File comuni\System\bcv.exe
C:\Programmi\File comuni\System\bQw.exe
C:\Programmi\File comuni\System\FQN.exe
C:\Programmi\File comuni\System\fvz.exe
C:\Programmi\File comuni\System\hsv.exe
C:\Programmi\File comuni\System\ICde.exe
C:\Programmi\File comuni\System\ICmIgO.exe
C:\Programmi\File comuni\System\KzC.exe
C:\Programmi\File comuni\System\LXUUhZ.exe
C:\Programmi\File comuni\System\Vej.exe
C:\Programmi\File comuni\System\yZi.exe
C:\Programmi\Windows NT\TJYiV.exe

Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE | C:\WINDOWS\ime\imjp8_1\imjpmig.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE | C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe

[doris]

che programma devo usare? hijackthis?

[doris]

Nel frattempo nella cartella C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\WER90df.dir00 ho trovato due file che credo siano infetti, perché la data di creazione è ieri, 21 settembre:
services.exe.hdmp
services.exe.mdmp
Li cancello?
Inoltre ho cancellato un altro file nella cartella C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp perché risultava tra i processi in esecuzione, quando invece prima non c'era mai stato.
Ho fatto bene?

[crazy.cat]

che programma devo usare? hijackthis?

Piccola dimenticanza mia....
http://www.MegaLab.it/2656

nella cartella Temp puoi svuotare tutto, non c'è mai niente di utile.

[doris]

Sembra che vada bene.
Il messaggio di errore di services.exe non esce più.
Però è uscito un altro messaggio che diceva che era impossibile avviare un applicazione...
in ogni caso, ti posto il file txt di avenger che mi è comparso dopo il riavvio:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\aknijcdm

*******************

Script file located at: \??\C:\WINDOWS\system32\vrwanlil.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.


File C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE not found!
File move operation C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE|C:\WINDOWS\ime\imjp8_1\imjpmig.exe failed!

Could not process line:
C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE|C:\WINDOWS\ime\imjp8_1\imjpmig.exe
Status: 0xc0000034



File C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE not found!
File move operation C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE|C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe failed!

Could not process line:
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE|C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\usmowtpo

*******************

Script file located at: \??\C:\Program Files\xdgrqvet.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1187419602.dat.exe not found!
Deletion of file C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1187419602.dat.exe failed!

Could not process line:
C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1187419602.dat.exe
Status: 0xc0000034



File C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1188056756.dat.exe not found!
Deletion of file C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1188056756.dat.exe failed!

Could not process line:
C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1188056756.dat.exe
Status: 0xc0000034



File C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1188717693.dat.exe not found!
Deletion of file C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1188717693.dat.exe failed!

Could not process line:
C:\Documents and Settings\Besnik Graceni\Impostazioni locali\Temp\1188717693.dat.exe
Status: 0xc0000034

File C:\Programmi\File comuni\System\bcv.exe deleted successfully.
File C:\Programmi\File comuni\System\bQw.exe deleted successfully.
File C:\Programmi\File comuni\System\FQN.exe deleted successfully.
File C:\Programmi\File comuni\System\fvz.exe deleted successfully.
File C:\Programmi\File comuni\System\hsv.exe deleted successfully.
File C:\Programmi\File comuni\System\ICde.exe deleted successfully.
File C:\Programmi\File comuni\System\ICmIgO.exe deleted successfully.
File C:\Programmi\File comuni\System\KzC.exe deleted successfully.
File C:\Programmi\File comuni\System\LXUUhZ.exe deleted successfully.
File C:\Programmi\File comuni\System\Vej.exe deleted successfully.
File C:\Programmi\File comuni\System\yZi.exe deleted successfully.
File C:\Programmi\Windows NT\TJYiV.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[M4ry]

Salve, anch'io ho lo stesso problema. Il mio è un acer aspire 9412 e spesso quando lo avvio mi dà errore di services.exe quindi si riavvia!!
Vi posto il log di Hijackthis sperando che riusciate a trovare il problema!
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 1.46.46, on 08/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programmi\ATnotes\ATnotes.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
c:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ANNA\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PMCS] "C:\Programmi\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ATnotes.lnk = C:\Programmi\ATnotes\ATnotes.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 8411 bytes

[crazy.cat]

Un problema direi che è questo file C:\WINDOWS\service32.exe, controlla se trovi anche una dll con nome simile nella stessa cartella.

rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix checked per eliminarle.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe

Fai una scansione con un programma antirootkit
http://www.MegaLab.it/2714/2
e vedi se ti trovano qualche file pericoloso ed eliminalo.

Se non trovano niente, cancella quel file che ti ho detto all'inizio e poi vediamo come va.