Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Gentilmente, mi guardate questo log di hijackthis?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Gentilmente, mi guardate questo log di hijackthis?

Messaggioda wolfymozart » mer giu 28, 2006 9:28 pm

Ciao a tutti,
visto che site sempre così gentili, mi aiutate ancora una volta?
Non capisco perché ma tutto d'un tratto, senza aver navigato in siti strani e senza aver lanciato file sospetti, non riesco più a leggere la posta, né con outlook express né con microsoft outlook... Mi esce l'errore in outlook express 0x800CCC40 e in outlook 0x800408FF dei quali su internet non si trova molto...
Poi l'antivirus mi ha beccato un trojan che non riesce ad eliminare, adaware mi ha trovato cose sospette e le ho eliminate, ma non so cosa fare...
Proprio tutto di botto la posta elettronica non funziona più...Non tenta nemmeno di connettersi...Sarà legato a qualche virus o parente stretto?
Premetto che se controllo la posta ditrettamente dal sito tutto funziona...
Adesso vado sul sito di jumpy e mi uiscito un errore stranissimo: lo metto in allegato...Sapete cos'è?
Vi metto in allegato anche il log di hijackthis...C'è qualcosa che non va?
Per favore, potete aiutarmi?
Grazie mille

Wolfy

P.S.: l'errore di outlook express è:
"Si è verificato un errore TCP/IP sconosciuto. Account: 'pop.xxx.it', Server: 'pop.xxxx.it', Protocollo: POP3, Porta: 110, Protezione (SSL): No, Numero di errore: 0x800CCC40"

Log:
Logfile of HijackThis v1.99.1
Scan saved at 22.22.10, on 28/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
c:\programmi\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
c:\programmi\mcafee.com\vso\mcvsshld.exe
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\ASUS\Wireless Console\wcourier.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\GetRight\getright.exe
C:\DOCUME~1\Wolferl\IMPOST~1\Temp\MSE000\setup.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HIjackthis\HijackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {0A4EE9AF-3FEB-56C7-2C91-86D654F6AEE5} - C:\WINDOWS\namjq1.dll (file missing)
O2 - BHO: Class - {4F0DEB98-1DEA-6A3F-D889-C1A7F804140C} - C:\WINDOWS\namjq1.dll (file missing)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programmi\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [OASClnt] C:\Programmi\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [nfnf1.exe] C:\WINDOWS\Temp\nfnf1.exe
O4 - HKLM\..\RunOnce: [wextract_cleanup0] C:\Documents and Settings\Wolferl\Desktop\W95ws2setup.exe /D:C:\DOCUME~1\Wolferl\IMPOST~1\Temp\MSE000\
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight Pro - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D67055-B82C-4846-AD8E-CC44BFA6A1ED}: NameServer = 193.70.192.25,193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5106A4E-9D8E-433D-82E9-5296502E08BA}: NameServer = 193.70.192.25,193.70.152.25
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programmi\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar utente
wolfymozart
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 10, 2006 5:12 pm

Messaggioda Mr.TFM » mer giu 28, 2006 10:12 pm

Il tuo computer è abbastanza sporco....R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {0A4EE9AF-3FEB-56C7-2C91-86D654F6AEE5} - C:\WINDOWS\namjq1.dll (file missing)
O2 - BHO: Class - {4F0DEB98-1DEA-6A3F-D889-C1A7F804140C} - C:\WINDOWS\namjq1.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D67055-B82C-4846-AD8E-CC44BFA6A1ED}: NameServer = 193.70.192.25,193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5106A4E-9D8E-433D-82E9-5296502E08BA}: NameServer = 193.70.192.25,193.70.152.25

E forse una scansione in modalità provvisoria con scangui, adaware e spybot è d'obbligo..........

Comunque aspetta anche crazy.cat.....
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Re: Gentilmente, mi guardate questo log di hijackthis?

Messaggioda crazy.cat » gio giu 29, 2006 7:16 am

wolfymozart ha scritto:mi aiutate ancora una volta?

Ma eri già iscritto con un altro nome?

Prova a far sparire queste due righe e i relativi file exe e poi vediamo se si sblocca anche la posta.

O4 - HKLM\..\Run: [nfnf1.exe] C:\WINDOWS\Temp\nfnf1.exe
O4 - HKLM\..\RunOnce: [wextract_cleanup0] C:\Documents and Settings\Wolferl\Desktop\W95ws2setup.exe /D:C:\DOCUME~1\Wolferl\IMPOST~1\Temp\MSE000\

Ho rimosso il tuo allegato perché non si aprivano i file al suo interno dava un errore di compressione.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda wolfymozart » gio giu 29, 2006 8:50 am

Ciao a tutti e grazie...
Nulla da fare, ho fatto quello che mi avete detto e non cambia nulla...
Spesso non mi si aprono le pagine internet, addirittura...
Poi per miracolo, sì...
Non ci capisco più niente...
Ho provato a guardare le impostazioni del router ma mi sembrano proprio apposto...
Che faccio?
Grazie
Per l'allegato: strano, a me winzip lo apre...
Wolfy
Avatar utente
wolfymozart
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 10, 2006 5:12 pm

Messaggioda Mr.TFM » gio giu 29, 2006 9:09 am

wolfymozart ha scritto:Ciao a tutti e grazie...
Nulla da fare, ho fatto quello che mi avete detto e non cambia nulla...
Spesso non mi si aprono le pagine internet, addirittura...
Poi per miracolo, sì...
Non ci capisco più niente...
Ho provato a guardare le impostazioni del router ma mi sembrano proprio apposto...
Che faccio?
Grazie
Per l'allegato: strano, a me winzip lo apre...
Wolfy


Ripetendo la scansione con hijack riappaiono le voci rimosse?

Hai usato scangui, adaware e spybot come ti avevo detto?
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda wolfymozart » gio giu 29, 2006 2:17 pm

No, le voci non ritornano...
Ho disattivato il ripristino di sistema, poi ho riavviato in modalità provvisoria e fatto le scansioni...
Nulla da fare...
Non capisco proprio cosa sia...
Che non riguardi virus o spyware e compagnia bella?
Ma non saprei proprio dove andare a parare...
Grazie
Avatar utente
wolfymozart
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 10, 2006 5:12 pm

Messaggioda Amantide » gio giu 29, 2006 3:35 pm

Ho trovato in rete una soluzione, vedi se ti può essere utile:

1. Sposta tutti i file dbx in una cartella nuova.
2. Riapri il Outlook, in questo modo le cartelle dbx si ricreano.
3. Importi i tuo messaggi dal percorso File--> Importa messaggi.

Forse è una cavolata però male non fa. Prova e facci sapere.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda wolfymozart » gio giu 29, 2006 4:12 pm

Ciao...Avevo già aftto anche questo...
Navigando e cercando un po' mi sa che mi è successo che per qualche infezione mio si sono modificate le impostazioni winsock2...
Ho già usato le utilities che ci sono online (tipo winsock fix o qualcosa del genere) ma non cambia nullla...
Sapete quacosa a riguardo?
Grazie
Avatar utente
wolfymozart
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 10, 2006 5:12 pm

.

Messaggioda Jho » ven lug 07, 2006 5:25 pm

Tramite Task manager arresta il servizio Mcvsescn.exe , ruavvia Outlook e vedrai che funziona.

Sto' aspettando risposte da quelli della Mcafee

Bye
Avatar utente
Jho
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven lug 07, 2006 5:20 pm

Messaggioda wolfymozart » ven lug 07, 2006 6:02 pm

Troppo tardi...
Ho già formattato il disco...
Infatti, tutto è cominciato dall'installazione di un aggiornamento McAfee che diceva che sul pc non c'era Winsock2...
Assurdo...
Chiaramente, non ho più installato il McAfee...
Maledizione!
Grazie mille
Avatar utente
wolfymozart
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 10, 2006 5:12 pm

Re: .

Messaggioda csf0137 » sab lug 08, 2006 8:38 am

Jho ha scritto:Tramite Task manager arresta il servizio Mcvsescn.exe , ruavvia Outlook e vedrai che funziona.

Sto' aspettando risposte da quelli della Mcafee

Bye


per inciso ho avutoanch'io lo stesso problema e ho risolto nello stesso modo.
Non mi funzionava piu' Outlook (pero' Free Agent si), stesso errore sconosciuto TCP/IP.
Ne mi funzionava piu' il client FTP di Total Commander che per inciso mi dava un errore del tipo "ERRORE TCP/IP reistallare il protocollo"
Seguendo le errate indicazioni di Total COmmander avevo reistallato il TCP/IP seguendo le due procedure per XP riportate dalla Microsoft senza alcun successo.
Poi mi sono accorto che pure IE dava degli errori strani.. ad esempio mi partiva regolarmente se chiamato dal menu' di avvio o da esegui+ IEXPLORE ma sembrava non trovare la connessione quando partiva chiamando direttamente una url dai preferiti. (errore non presente in Firefox o Opera.. valido per Netscape e Explorer)

Quando ho provato a monitorare le dipendenze di sistema e di task per vedere i processi interessati dall'evento "faccio qualcosa che poi non funziona" .. ho visto uno strano "tramestio" di alcuni programmi tutti piu' o meno collegati a librerie fondamentali del sistema operativo (tipo shdocvw e similari) e al servizio Mcvsescn in arrivo da McAfee.

Non ho neanche pensato al servizio di Mcafee per il grande rispetto che porto per questa societa' (dovrei dire portavo per essere piu' onesto ma diciamo che ancora "seppur svincolato dall'evento specifico" porto).
Ho prima comparato le librerie incriminate con quelle di "base" Microsoft e pur con delle piccole differenze di upgrade erano pressappoco le stesse.
Nessuna aveva strane anomalie.
Allora ho eliminato il programma di McAfee (non perche' lo ritenessi responsabile ma solo per valutare meglo le responsabilita' degli altri.. "pensa te!") .. e tutto si e' rimesso a funzionare.

c'e' pero' da dire anche un altra cosa .. non so se a favore o a "maggiore colpa" della McAfee: io ho in rete locale altri 2 computer, su entrambi e' installata la stessa versione di McAfee ed analoghi programmi (su uno addirittura mio figlio tiene 400Gb di giochini vari installati a CDC [n.d.t. acronimo per definire in maniera sarcastica e volgare l'attributo virile di un bistrattato esponente della razza canina]) eppure li (con lo stesso servizio presente) tutto funziona.

mah.. comunque, tutto e' bene quello che finisce bene. ;-)


PS. Pero' .. adesso che ci penso.. una differenza tra i tre PC esiste.
Su i due che uso come client e' instalato XP con SP2 mentre su quello che uso come server (e che e' stato afflitto dal problema) il service pack 2 non e' installato... puo' darsi che il servizio di McAfee risenta della mancanza di qualche libreria presente nei vari upgrade.
Comunque, anche se fosse, McAfee sarebbe lo stesso responsabile perche' avrebbe dovuto almeno "avvertire" senza dare per scontata la presenza di SP2. O no!?
Avatar utente
csf0137
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab lug 08, 2006 8:13 am

Messaggioda Califano » sab lug 08, 2006 10:05 pm

Grazie mille ragazzi! Avevo lo stesso problema su outlook e non capivo come risolverlo e anche io utilizzo McAfee 2006, non mi sarei mai aspettato un' incompatibilità del mio antivirus con altre applicazioni... [boxed]

Continuate così! [8D]
Avatar utente
Califano
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: sab lug 08, 2006 10:02 pm

.

Messaggioda Jho » lun lug 10, 2006 8:43 am

Il problema io l'ho rilevato su pc con windows 2000 , Xp sp2

Per ora tutti i pc che ho analizzato (a parte 1) sono risultati infettati da Agent.vp (e stranamente con mcafee non viene rilevato, mentre facendo girare Ewido o Antivir viene riconosciuto)

Sembrerebbe che dal momento in cui questo trojan entra in azione Mcvsescn.exe vada in crisi

Credo che questo virus vada a modificare il registro di windows in posti diversi da quelli documentati
Avatar utente
Jho
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven lug 07, 2006 5:20 pm

Messaggioda csf0137 » lun lug 10, 2006 11:27 am

Anche per quanto riguarda il virus direi -puo' darsi-... ma ho dei dubbi.

Anche nel mio caso infatti avevo trovato nella directory windows\temp un file JNAM1.EXE decisamente sospetto.
McAfee non lo riconosceva mentre Kaspersky me lo citava come
Trojan.Agent.Win32.fw

Che ci fosse qualcosa era certo perche' all'attivazione del virus qualcosa cercava di connettersi tramite il mio modem interno (che ora ho comunque disattivato tanto non devo fare ne ricevere fax da nessuno :) ) a un numero 'sconosciuto'. Nessun log da nessuna parte.
Per fortuna ho i numeri speciali a pagamento disabilitati quindi non e' ruscito a darmi nessun danno se non il fastidio temporale di doverlo sopprimere. [gli ho dato una testata informatica che neanche Zidane durante la partita di ier sera.. :) ]

..durante il breve periodo di attivita' il maledetto avrebbe potuto modificare il file dat di mcafee tanto da non essere riconosciuto e pure il file Mcvsescn.exe incriminato.
Pero' ho controllato su un altra macchina con lo stesso McAfee sicuramente "non inquinato" e il file Mcvsescn.exe e' esattamente lo stesso, e pure qui McAfee (certamente non corrotto dal virus) non riconosce il file eseguibile come infetto.
Ho come l'impressione che, relativamente a McAfee, sia piu' una [orrore!] dimenticanza o [purtroppo] una lentezza negli upgrade dei files contenenti le definizioni indentificative.
Avatar utente
csf0137
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab lug 08, 2006 8:13 am

.

Messaggioda Jho » lun lug 10, 2006 12:57 pm

Il problema e' che se si cancella il file (Mcvsescn.exe) al riavvio Mcafee segnala che non e' installato correttamente .
Nelle opzioni non si puo' disabilitare (anche disabilitando tutte le protezioni e-mail e scriptstopper parte sempre all'avvio)
Disinstallato e reinstallato su un sistema ripulito .. continua a dare lo stesso problema.
Ho provato a sovrascrivere Mcvsescn.exe versione 10 con Mcvsescn.exe versione 8 e stranamente all'avvio Mcafee non segnala nessun problema e non e' in esecuzione .. solo che se si fa' un update viene sostituito in automatico con la versione 10 e il problema ricomincia


csf0137 ha scritto:Anche per quanto riguarda il virus direi -puo' darsi-... ma ho dei dubbi.

Anche nel mio caso infatti avevo trovato nella directory windows\temp un file JNAM1.EXE decisamente sospetto.
McAfee non lo riconosceva mentre Kaspersky me lo citava come
Trojan.Agent.Win32.fw

Che ci fosse qualcosa era certo perche' all'attivazione del virus qualcosa cercava di connettersi tramite il mio modem interno (che ora ho comunque disattivato tanto non devo fare ne ricevere fax da nessuno :) ) a un numero 'sconosciuto'. Nessun log da nessuna parte.
Per fortuna ho i numeri speciali a pagamento disabilitati quindi non e' ruscito a darmi nessun danno se non il fastidio temporale di doverlo sopprimere. [gli ho dato una testata informatica che neanche Zidane durante la partita di ier sera.. :) ]

..durante il breve periodo di attivita' il maledetto avrebbe potuto modificare il file dat di mcafee tanto da non essere riconosciuto e pure il file Mcvsescn.exe incriminato.
Pero' ho controllato su un altra macchina con lo stesso McAfee sicuramente "non inquinato" e il file Mcvsescn.exe e' esattamente lo stesso, e pure qui McAfee (certamente non corrotto dal virus) non riconosce il file eseguibile come infetto.
Ho come l'impressione che, relativamente a McAfee, sia piu' una [orrore!] dimenticanza o [purtroppo] una lentezza negli upgrade dei files contenenti le definizioni indentificative.
Avatar utente
Jho
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven lug 07, 2006 5:20 pm

Messaggioda Califano » lun lug 10, 2006 2:34 pm

Anche io purtroppo ho ritrovato quel problema di outlook al riavvio del pc, Mcvsescn.exe si riavvia ogni volta.....che fare?
Avatar utente
Califano
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: sab lug 08, 2006 10:02 pm

Messaggioda csf0137 » lun lug 10, 2006 5:39 pm

Attualmente, a parte meditare di passare seriamente alla suite Kaspersky 6.0 .. viene garantita la non occupazione estrogenica delle risorse come nella infelice versione 5, non mi pongo il problema di "eliminare" il file.

Semplicemente alla partenza chiudo il task nella lista dei processi.

Ci vorrebbe poco a farsi un piccolo script per farlo in automatico.. del resto l'utilita' complessiva del pogramma relativamente alle regole generali del mcafee mi sembra bassina (per non dire -nulla-).

Noto pero' che nonostante i vari "rimedi" al virus mi si riprensenta sempre il solito JNAMx.exe dove x sta per 1,2,3...N a scalare.

Tra l'altro adesso mi si colloca nella lista dei task non piu' come processo relativo all'utente collegato ma come processo di sistema e quindi impossibile da eliminare con task manager. [devo usare DtaskManager o lanciargli una apposita api per il killing override usando il c++]

ho rovistato dovunque nel computer e.. non ho niente di strano.
Il maledetto si installa mentre sono connesso anche se non sto usando IE o altri programmi.

HO passato kaspersky e mcafee nei folder critici, nessun permesso sul firewall, ho cancellato la cache di sistema e quella del repristino configurazione, sono tornato alla vecchia versione java virtual machine eliminando la SUN js/jre .. hai visto mai, ho ricontrollato l'integrita' dei vari file di sistema dal kernel32 ai file di mcafee..
eppure sto str.. simpatico cosino riappare puntualmente.
Ovviamente viene installato da remoto grazie a qualche nuovo exploit
(o vecchio dato che non ho installato la sp2 perche' incompatibile con molti programmi che uso).. pero' caspita.. contavo su McAfee e invece.

ps: ho salvato il virus su hd, l'ho decompresso con UPX per metterlo in chiaro (era appunto compresso col suddetto come quasi tutti i worm di questo tipo) e ho provato una prima decompilazione.
Mah.. parrebbe connettersi a una pagina di www.google.com usando 3/4 serie di determinate password.
Ovviamente modifica il file hosts in \etc\driver facendo si che il computer risolva il dominio gogle.com con un ip che punta chissa' dove.
L'ip dovrebbe essere compreso nel file solo che e' difficile estrapolarlo, ci vorrebbe del tempo da perdere. ;-)
Ma tanto.. anche scoprendo l'ip (che sicuramente sara' un server cinese) a cosa mai potrebbe servire?

ppss: e ho pure un altro aggiornamento.
SE una volta acceso il computer elimino il file Mcvsescn.exe dalla lista dei tasks, poi chiamo un programma per eseguire una di quella operazioni che prima mi davano "error TCP" (mettiamo l'FTP di total commander) e quindi successivamente chiudo McAfee e poi lo rifaccio partire.. dopo mi si connette tranquillamente anche con il programma Mcvsescn.exe presente.
E' come se il file facesse si che "alcuni" programmi non riescano piu' ad accorgersi della presenza di una connessione.
Ad esempio Outlook ci casca.. ma Free Agent no.
IE ci casca solo se chiamato direttamente dalla libreria shdocvw per l'apertura di una URL, se chiamato direttamente invece "vede" la connessione. [boxed]
Avatar utente
csf0137
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab lug 08, 2006 8:13 am

.

Messaggioda Jho » mar lug 11, 2006 7:13 am

http://cut-thecrap.blogspot.com/2006/06 ... iling.html

csf0137 ha scritto:Attualmente, a parte meditare di passare seriamente alla suite Kaspersky 6.0 .. viene garantita la non occupazione estrogenica delle risorse come nella infelice versione 5, non mi pongo il problema di "eliminare" il file.

Semplicemente alla partenza chiudo il task nella lista dei processi.

Ci vorrebbe poco a farsi un piccolo script per farlo in automatico.. del resto l'utilita' complessiva del pogramma relativamente alle regole generali del mcafee mi sembra bassina (per non dire -nulla-).

Noto pero' che nonostante i vari "rimedi" al virus mi si riprensenta sempre il solito JNAMx.exe dove x sta per 1,2,3...N a scalare.

Tra l'altro adesso mi si colloca nella lista dei task non piu' come processo relativo all'utente collegato ma come processo di sistema e quindi impossibile da eliminare con task manager. [devo usare DtaskManager o lanciargli una apposita api per il killing override usando il c++]

ho rovistato dovunque nel computer e.. non ho niente di strano.
Il maledetto si installa mentre sono connesso anche se non sto usando IE o altri programmi.

HO passato kaspersky e mcafee nei folder critici, nessun permesso sul firewall, ho cancellato la cache di sistema e quella del repristino configurazione, sono tornato alla vecchia versione java virtual machine eliminando la SUN js/jre .. hai visto mai, ho ricontrollato l'integrita' dei vari file di sistema dal kernel32 ai file di mcafee..
eppure sto str.. simpatico cosino riappare puntualmente.
Ovviamente viene installato da remoto grazie a qualche nuovo exploit
(o vecchio dato che non ho installato la sp2 perche' incompatibile con molti programmi che uso).. pero' caspita.. contavo su McAfee e invece.

ps: ho salvato il virus su hd, l'ho decompresso con UPX per metterlo in chiaro (era appunto compresso col suddetto come quasi tutti i worm di questo tipo) e ho provato una prima decompilazione.
Mah.. parrebbe connettersi a una pagina di www.google.com usando 3/4 serie di determinate password.
Ovviamente modifica il file hosts in \etc\driver facendo si che il computer risolva il dominio gogle.com con un ip che punta chissa' dove.
L'ip dovrebbe essere compreso nel file solo che e' difficile estrapolarlo, ci vorrebbe del tempo da perdere. ;-)
Ma tanto.. anche scoprendo l'ip (che sicuramente sara' un server cinese) a cosa mai potrebbe servire?

ppss: e ho pure un altro aggiornamento.
SE una volta acceso il computer elimino il file Mcvsescn.exe dalla lista dei tasks, poi chiamo un programma per eseguire una di quella operazioni che prima mi davano "error TCP" (mettiamo l'FTP di total commander) e quindi successivamente chiudo McAfee e poi lo rifaccio partire.. dopo mi si connette tranquillamente anche con il programma Mcvsescn.exe presente.
E' come se il file facesse si che "alcuni" programmi non riescano piu' ad accorgersi della presenza di una connessione.
Ad esempio Outlook ci casca.. ma Free Agent no.
IE ci casca solo se chiamato direttamente dalla libreria shdocvw per l'apertura di una URL, se chiamato direttamente invece "vede" la connessione. [boxed]
Avatar utente
Jho
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven lug 07, 2006 5:20 pm

Re: .

Messaggioda csf0137 » mar lug 11, 2006 3:02 pm

Jho ha scritto:http://cut-thecrap.blogspot.com/2006/06/is-av-industry-failing.html


beh, almeno sono in buona compagnia. [:-D]
Avatar utente
csf0137
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab lug 08, 2006 8:13 am

Messaggioda Califano » mar lug 11, 2006 3:31 pm

Oddio.....ecco il problema, pensa che quel virus l'ho preso su un link per i warner village [le sale cinematografiche], porcaput..... [:p]
Avatar utente
Califano
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: sab lug 08, 2006 10:02 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 13 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising