www.MegaLab.it

[glicine]

dunque mi succede:

- non partono programmi, tra cui il mio firewall, hijackthis, senza contare il task manager.

- se faccio "disconnetti" o "cambia utente" il pc non risponde a questa applicazione. è attraverso questi comandi che accede alla schermata del punto di ripristino?

- ho mozilla come browser default e mio profilo è saltato. cosa strana: il profilo di default di mozilla prevede una serie di segnalibri (preferiti) legati allafondazione mozilla. nessuna traccia neanche di quelli. ah proposito da quale menù a tendina posso reinserire il mio profilo (l'ho backuppato).

- visualizzo le pagine web con un fastidioso "ballo" di queste. come se muovessi la barra di scorrimento e l'effetto fosse una continua scossa tellurica

- è la seconda volta che apro questo topic perché prima, mi sono allontanato un attimo e tornando ho trovato sul desktop solo lo sfondo e ovviamente il task manager era sempre fuori uso

- si è aperta una pagina ovviamente di sito pornografico

- ah, in questo momento si sono aperte due pagine web col seguente indirizzo "file:///C:/WINDOWS/yahooredirect.html" e il contenuto di queste pagine è semplicemente "Standby Loading Yahoo.com ..........................................." in alto a sinistra su sfondo bianco.

che altro???hmm. ah sì... prima, quando ho riavviato per ripostare qua, al riavvio del pc il firewall ha avuto un attimo di vita e mi ha chiesto se potevo accedere a determinati siti (il mio firewall è sygate). volevo fare lo stamp di quelle immagini ma nel mentre (ma va?) firewall torna al suo status di defunto.

ho installato da qualche giorno yahoo messenger. ha falle? e comunque credo di capire dove ho toppato (molto ingenuamente). seguendo il consiglio di un operatore telefonico, ho disattivato il firewall prima di attivare l'ip pubblico. attivato l'ip pubblico non ho riattivato subito il firewall....

p.s.: in questo momento si sono caricate per bene le pagine a fondo bianco di cui sopra. yahoo.com e msn.com

aiuto per favore, che continua a bba-bba-baballa-re-rere tutto!!!!

[Mr.TFM]

Non so, o ti fai un cd con cleanboot per ripulire da dos.....
oppure formatti...................

[glicine]

naaaaaaa dai.

spero in un intervento del miracolo crazy.cat

comunque grazie TFM

[Mr.TFM]

naaaaaaa dai.

spero in un intervento del miracolo crazy.cat

comunque grazie TFM

prova con cleanboot.....

[glicine]

preferisco aspettare l'intervento del crazy. il fatto è che so che la cosa si risolverà ma con cleanboot mi scoccio tanto. procedura lunga e scan che dura ore, ma se sarà necessari oallora lo farò

[glicine]

anche installazione applicazioni è morto. in compenso è risorto sygate

ok, ho provato con mcafee. lo avevo già installato. non mi parte. ne dscarico una nuova versione, me essendocene già una mi fa' solo "modify" o "repair". ne queste due scelte ne la scelta della disinstallazione mi viene resa possibile a causa di un "internal error".

da notare che anche il file sdatxxxx.exe non va. perché non va? perché non è nel formato sdatxxxx.exe/e come descritto nell'articolo pubblicato da crazy.cat in questo sito.

alla fine, questa estate io ho fatto tutta la procedura con tanto di cdboot e di scansione attraverso cd. ora nn va. che faccio?

[glicine]

l'articolo di crazy a cui facevo riferimento è questo

[crazy.cat]

Io la notte dormo, se ti danno dei consigli puoi fidarti anche degli altri.

perché non funziona il Sdat, che errori hai?
Il comando prevede uno spazio e non tutto attaccato
sdatxxxx.exe /e

Hai provato Hijackthis dalla modalità provvisoria?

Scarica stinger e usalo dalla modalità provvioria
http://download.nai.com/products/mcafee ... -g-e-r.exe

disattiva il ripristino della configurazione se hai xp e riavvia il pc.

Controlla con Process explorer i programmi attivi e posta qui la lista che vediamo di capire cosa gira nel tuo pc.

Scangui riesci a lanciarlo dalla modalità provvisoria?

[glicine]

"impossibile trovare alcuno dei prodotti richiesti" è questo ciò che mi compare di avviare gli exe degli sdat che ho. il vecchio di questa estate (4383) e quello uiltimo scaricato ieri (4485).

il problema è appunto che entrambi gli sdat sono semplicemente .exe e non ".exe /e" come hai riconfermato tu.

non ho provato a fare nulla in mod provvisoria.

stinger ce l'ho e ho già fatto la scansione (un paio di worm trovati e rimossi ma nn è cambiato nulla). provo con pandaonline?

disattiva il ripristino della configurazione se hai xp e riavvia il pc.

come si fa'?

Controlla con Process explorer i programmi attivi e posta qui la lista che vediamo di capire cosa gira nel tuo pc.

non so cosa sia process explorer e come farlo partire

scangui non ce l'ho. mi posteresti il link per scaricarlo per favore?


p.s.:

se ti danno dei consigli puoi fidarti anche degli altri

massimo rispetto per tutti utenti, moderatori ed admins di questo utilissimo forum però questa estate quando il mio pc, (all'epoca nuovo) fu inondato di virus e schifezze simili, fosti tu crazy.cat a risolvere TUTTO senza farmi formattare. quindi, non per sfiducia nei confronti degli altri, ma anche questo tuo post testimonia che forse qualche via prima di formattare o di usare cleanboot forse c'è. mi scuso se sono stato offensivo con qualcuno, non era mia intenzione, ma penso sia normale cercare ANCHE la consulenza di una persona grazie a cui ogni tanto riesci a risolvere qualche problemino a qualche amico mentre prima eri un perfetto imbranato in queste cose

[glicine]

ah, altra cosa che notato ora: in C: vedo strane cose. due applicazioni (11.exe / alk.exe), un'applicazione dos (dl.exe), un'applicazione che sembra un installer (nortan2122.exe).

inoltre in C:/program files vedo altre due cose sospette:

una cartella "Media Access" in cui ci sono i files "MediaAccess.exe", "Media AccK.exe", "Info.txt", "MediaAccC.dll".

un'altra cartella "Tangent Software" con sottocartella "The Bodh Tree" in cui ci sono i files "error.txt" e "TIPS.NUM"

[ba_61]

oppure formatti...................

Visto il proseguirsi della catastrofica situazione del Pc, salverei il salvabile e proseguirei (personalmente, ogni tanto formatto senza una ragione; per una pulizia approfondita ogni mese o due, dipende).

[crazy.cat]

Il /e in fondo al sdat****.exe lo devi aggiungere tu a mano, per quello ottieni quell'errore se non metti l'opzione sbaglia.

Disattivare il ripristino
http://www.MegaLab.it/2330
scangui
http://www.MegaLab.it/2333
Process explorer
http://www.MegaLab.it/2358

Fai le scansioni, adesso sono al lavoro e sono un attimo incasinato.
Ti rispondo più tardi.

[glicine]

grazie anche a te ba_61 ma preferisco fare tutto il possibile prima di formattare.

crazy.cat anch'io tra un po' devo scendere e prima di seguire i link che mi hai indicato ti posto in ordine alcune voci sospette che partono all'avvio (da msconfig) e il log di hijackthis. a più tardi

[msconfig/b]
dumpred 0 -k
sscs.exe
Mnvcsv32.exe
MediaAccK
UNMT (il percorso associato a questa voce è C:/UNMT.exe ma anche come file nascosto non lo vedo in C:)
crsss
svcmon
sysmanage
sscs (la ripetizione non è un errore e il percorso associato è lo stesso)
svcmon (stesso discorso per la voce precedente)

[b]hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 15.04.17, on 06/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\000 Security\Varie\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.r-umore.splinder.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da OmbraKiller
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\Power DVD\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programmi\Audio Deck\EnMixCPL.exe
O4 - HKLM\..\Run: [svshost32] svshost32.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\Run: [Protocol Settings] WINDOWS32.exe
O4 - HKLM\..\Run: [FireWire Services] nvcsv32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [window2] svcmon.exe
O4 - HKLM\..\Run: [Registry Value Name] sysmanage.exe
O4 - HKLM\..\RunServices: [svshost32] svshost32.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Protocol Settings] WINDOWS32.exe
O4 - HKLM\..\RunServices: [FireWire Services] nvcsv32.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [window2] svcmon.exe
O4 - HKLM\..\RunServices: [Registry Value Name] sysmanage.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [window2] svcmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Nero\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [svshost32] svshost32.exe
O4 - HKCU\..\Run: [Protocol Settings] WINDOWS32.exe
O4 - HKCU\..\Run: [window2] svcmon.exe
O4 - HKCU\..\RunServices: [svshost32] svshost32.exe
O4 - HKCU\..\RunOnce: [window2] svcmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... ge-c18.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3730887512
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

[crazy.cat]

Hai una serie di vermi che girano nel tuo pc che potresti andarci a pesca.
Non mi serve più process explorer ho già visto quello che mi interessava.
Il tuo antivirus dove è finito?

Eliminare perché inutili
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Virus worm
O4 - HKLM\..\Run: [svshost32] svshost32.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\Run: [Protocol Settings] WINDOWS32.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [Registry Value Name] sysmanage.exe
O4 - HKLM\..\RunServices: [svshost32] svshost32.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Protocol Settings] WINDOWS32.exe
O4 - HKLM\..\RunServices: [FireWire Services] nvcsv32.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [Registry Value Name] sysmanage.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [svshost32] svshost32.exe
O4 - HKCU\..\Run: [Protocol Settings] WINDOWS32.exe
O4 - HKCU\..\Run: [window2] svcmon.exe
O4 - HKCU\..\RunServices: [svshost32] svshost32.exe

Hai una webcam?
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu

Sospetto molto
O4 - HKLM\..\Run: [window2] svcmon.exe
O4 - HKLM\..\RunServices: [window2] svcmon.exe
O4 - HKLM\..\RunOnce: [window2] svcmon.exe
O4 - HKCU\..\RunOnce: [window2] svcmon.exe

Adware da eliminare
O4 - HKLM\..\Run: [FireWire Services] nvcsv32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... ge-c18.cab

Installati, aggiorna e scansiona anche con Microsoft antispyware, dopo lo tieni installato perché fornisce una buona protezione anche questo
Download

[glicine]

non ho un antivirus. credevo che bastassero sygate e spywareblaster.
me ne linki (qualora vi fosse) uno freeware?

ho una webcam. devo cancellare lo stesso quelle voci?

la " /e" alla fine dello sdatxxxx.exe non me lo fa mettere perché non accetta "/"

edit
disattivazione del ripristino e scangui li lascio stare?

nel link di microsoft antispyware devo accettare quando mi chiede se "validare" o meno?

[crazy.cat]

Antivirus free
Avast
Avg
AntivirPe

Non cancellare quella della webcam.

Usa questo antivirus, sempre dalla modalità provvisoria
http://www.MegaLab.it/2349

[glicine]

ho cancellato le voci di hijack che mi hai indicato. (devo cancellare quelle che hai definito sospette?).

i programmi ora rispondono, compreso il task manager, ma la navigazione mi sembra ancora molto lenta e l'effetto "terremoto" nella visualizzazione delle pagine web è ancora presente.

ah, altra cosa che notato ora: in C: vedo strane cose. due applicazioni (11.exe / alk.exe), un'applicazione dos (dl.exe), un'applicazione che sembra un installer (nortan2122.exe).

inoltre in C:/program files vedo altre due cose sospette:

una cartella "Media Access" in cui ci sono i files "MediaAccess.exe", "Media AccK.exe", "Info.txt", "MediaAccC.dll".

un'altra cartella "Tangent Software" con sottocartella "The Bodh Tree" in cui ci sono i files "error.txt" e "TIPS.NUM"

tutto ciò è ancora presente. elimino manualmente?


inoltre ripropongo questa domanda, visto che intuisco che non è una cosa si rimette a posto con "cure" varie

- ho mozilla come browser default e mio profilo è saltato. cosa strana: il profilo di default di mozilla prevede una serie di segnalibri (preferiti) legati allafondazione mozilla. nessuna traccia neanche di quelli. ah proposito da quale menù a tendina posso reinserire il mio profilo (l'ho backuppato).

p.s.: ora riscorro tutto il topic e faccio il resto di ciò che mi hai indicato

edit
dopo aver postato la risposta, nel caricamento della pagina, ho notato in basso a destra c'erano le scritte "connessione a pagead2.googlesyndication.com" eppoi nella pagina di transizione prima della rivisualizzazione del forum "connessione a impit.tradedoubler.com".
non so, non avevo mai notato queste cose: sono server a cui vi appoggiate o ciò è ulteriore indice di problemi?

attualmente nel firewall ho disabilitato l'accesso a svcmon.exe. riabilito?

[glicine]

microsoft antispyware. cosa devo cancellare? c'è un modo per fare il log di modo che tu mi consigli cosa cancellare?

process explorer: l'ho scaricato lo stesso e si conferma sospetto svcmon.exe.
alle voci "description" e "company name" non c'è scritto nulla. non so tu che ne dici, a questo punto io cancellerei anche le 4 voci sospette emerse da hijack

in merito a trend micro ho seguito per bene la procedura indicata ma mi esce "Pattern file "LPT$VPN.*" is missing, Please download a copy". non sia normale comunque la scansione è partita.....

p.s.: è da un po' che non mi "terremota" più il browser

[crazy.cat]

Svcmon eliminalo.
Hai scaricato l'aggiornamento della trendmicro?
E' un file zip e poi devi estrarne il contenuto nella cartella dove hai messo il sysclean.com
Rifai la scansione, ti serve quel file.

Per microsoft antispyware elimna quello che ti propone lui.

Per mozilla apri poi una discussione a parte, ci sono anche già troppi argomenti in questa.

[glicine]

crazy se t'ho detto che seguito le istruzioni vuol dire che ho fatto anche ciò che mi hai ripetuto ora in merito a syclean.

per ms antispyware elimino sia le voci "severe" che quelle meno "pericolose". proprio tutto?

in merito a mozilla forse aprirò il topic per sapere. ma sono andato sul sito della foundation e ho fatto in altro modo