www.MegaLab.it

[easyrap]

Un saluto a tutti voi di MegaLab.
Da un po' di giorni mi succede una cosa strana e non riesco a capire da cosa può dipendere, magari voi riuscite ad indicarmi la strada per evitare di formattare.
Praticamente detta in soldoni, mi si cancellano automaticamente alcune
chiavi di registro, relative ai programmi che si avviano all'accensione di
WinXP. Me ne sono accorto perché tra i tanti non mi partiva il Control
Center di Nod32.
Ho provato con ccleaner, "ripristino configurazione di sistema" e salvandomi con regedit il file di registro per poi rimettere le chiavi mancanti ma non ho risolto. Anzi ho capito che tutto va liscio finché uso sempre la stessa identità, ma poiché il Pc è condiviso con mia madre, quano lo usa l'altra identità, al successivo riavvio ci sono delle chiavi di registro mancanti ed anche importando il file di registro con regedit, ogni volta che si cambia identità spariscono di nuovo. Di sicuro non è mia madre che le cancella perché so per certo che non è in grado di farlo e poi non avrebbe proprio motivo.
Io non so più che pesci prendere, voi avete qualche idea?
Grazie a chi risponderà
Ecco la mia configurazione:

Hardware Information
--------------------
CPU : AMD Athlon 64 Processor 3500+ 2200 MHz
Bus Speed : 200 MHz
Motherboard : NEC MS-7168
System : Packard IMEDIA 6508
BIOS : AMI 080012
Memory : 895 MB
Sound : Realtek AC97 Audio
Video : ATI RADEON XPRESS 200

Alcuni Software istallati:
Antivirus Nod32
Firewall Kerio
SpamFighter
Nero

[kap]

uhmmm....tua mamma possiede un account amministratore?


attiva il controllo eutristica estesa di nod32 (una delle cose più fighe di nod), in questo modo il registro di sistema non potrà subire alcuna modifica

...ah, e ricordati di pulire il registro con ccleaner oppure con Easy Cleaner

[easyrap]

uhmmm....tua mamma possiede un account amministratore?

sì ma non è il tipo che si mette a modificare le impostazioni e la configurazioni del pc, usa solo word e powerpoint :)

attiva il controllo eutristica estesa di nod32 (una delle cose più fighe di nod), in questo modo il registro di sistema non potrà subire alcuna modifica

Ok l'ho fatto, staremo a vedere speriamo funzioni :)

...ah, e ricordati di pulire il registro con ccleaner oppure con Easy Cleaner

con ccleaner già lo faccio spesso, ora provo easy cleaner
Grazie per i consigli

[kap]

sì ma non è il tipo che si mette a modificare le impostazioni e la configurazioni del pc, usa solo word e powerpoint :)

non intendo volontariamente, ovvio

fai una ripassatina anche con uno dei tanti programmi antispyware, per citartene uno spybot

sciauz

[easyrap]

fai una ripassatina anche con uno dei tanti programmi antispyware, per citartene uno spybot

Fatto ma purtroppo continuano a sparire quelle chaivi di registro... eppure il pc è pulito, ho usato sia ccleaner che easy cleaner, scansionato con nod32 in euristica avanzata e ad-aware e non mi ha trovato nessun trojan... ora devo provare a disistallare e reistallare i programmi le cui voci di registro si cancellano forse così si risolve

[kap]

uhmmm...che programmi sono?

[easyrap]

uhmmm...che programmi sono?

Scusa il ritardo ma finora è stata una settimana piena
Di quelli che più mi interessano e dei ho la certezza che "spariscono" sono:
1) il Control Center di Nod32 (nod32kui.exe)
2) lo SpamFighter Agent (SFAgent.exe)
3) il Pannello di controllo del Modem USB Ericsson B-Quick (gsicon.exe)
4) Pannello di controllo Ati Radeon Xpress 200 (atiptaxx.exe)

Ora la situazione è pure peggiorata, non serve più cambiare l'identità ma basta il semplice riavvio... il tutto è successo dopo quualche giorno che ho istallato SpamFighter ma non credo che ci sia incompatibilità altrimenti non avrebbe funzionato prima bene poi improvvisamente no... avrò istallato qualcos'altro che non ricordo che ha fatto impazzire il pc... eppure ho scansionato cono tutto il possibile ed il pc è pulito da virus & co
Mi sa che devo passare al formattone

[kap]

allora posta un bel log di HijackThis

[Cassius83]

potrebbe essere un dialer.. I dialer, una volta penetrati nel sistema informatico, modificano le impostazioni del modem (aggiungendo nuove connessioni, che di solito assumono il nome di Internet, Internet1 o altre fantasiose sigle) e disconnettendo la connessione di default, "ricollegano" il modem a numeri a pagamento: 899 etc. Il DIALER, può essere scaricato confondendosi tra FILE SCHARING, SUONERIE, LOGHI o insediarsi anche tramite il semplice clic del mouse su di un link apparentemente inoffensivo presente su alcuni siti web. Una volta penetrato nel sistema, provvede immediatamente a modificare o cancellare alcune chiavi di registro creando una nuova connessione remota (ad eccezione della linea ADSL).
prova a guardare se si e aggiunta una connessione nuova...
oppure come ha detto il nostro saggissimo kap...hijackthis...
ciaoooo!!!

[easyrap]

MAh per quanto riguarda i dialer penso che siamo totalmente fuoi strada, non ce n'è traccia. Il log di Hijack è questo:

Codice: Seleziona tutto

Logfile of HijackThis v1.99.1
Scan saved at 21.47.19, on 26/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programmi\ESET\nod32kui.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\OE-QuoteFix\oequotefix.exe
C:\Programmi\Html2pop3\html2pop3.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Carlo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} -

C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} -

C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDD56976-651B-46DC-888E-27B702758A3C}: NameServer = 193.70.152.15

193.70.152.25
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File

comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal

Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe



MA da quel che ho visto non ci sono cose sospette, giusto una chiave

[Amantide]

il tutto è successo dopo quualche giorno che ho istallato SpamFighter ma non credo che ci sia incompatibilità altrimenti non avrebbe funzionato prima bene poi improvvisamente no... avrò istallato qualcos'altro che non ricordo che ha fatto impazzire il pc...

Inizia con il disinstallare tutti i programmi e drviver installati ultimamente, perché questo comportamento quasi sicuramente è dovuto all'incompatibilità fra qualche software o driver.

P.S. Questa voce
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
è da fixare, però non è pericolosa, si tratta dei residui della disinstallazione di FlashGet.