www.MegaLab.it

da **Amantide** » ven nov 03, 2006 4:05 pm

Un altra cosa: disinstalla BearShare MediaBar. Meglio non averlo [8D]

da **DR_EviL** » ven nov 03, 2006 5:53 pm

In C:\WINDOWS non è presente nessuna cartella system32 e neanche dal comando cerca con la ricerca dei file nascosti abilitata è possibile trovarla....(la cosa è preoccupante)

comunque ho trovato "ati2dvaa.dll" in C:\WINDOWS\ServicePackFiles\i386.

in C:\Programmi\File comuni\
-la cartella \Services non ha alcun file di colore verde, mentre le altre due cartelle (\System e \Microsoft shared) ne hanno moltissimi (soprattutto nelle sottocartelle)

da **Amantide** » ven nov 03, 2006 6:37 pm

DR_EviL ha scritto:In C:\WINDOWS non è presente nessuna cartella system32 e neanche dal comando cerca con la ricerca dei file nascosti abilitata è possibile trovarla....(la cosa è preoccupante)

Preoccupante si [boxed]

Ma sei proprio sicuro sicuro che non si vede sta cartella? Ci deve essere per forza, altrimenti non ti funzionerebbe neanche il SO.Prova ad abilitare in Opzioni cartella la visualizzazione dei file e cartelle nascosti.

Il file che hai trovato è leggittimo. Invece per i file verdi che hai trovato in C:\Programmi\File comuni\ è meglio che posti un screenshot, prima di agire.

da **DR_EviL** » ven nov 03, 2006 7:49 pm

Sì infatti, ci deve essere per forza, in più mi ricordo che durante tutte le scansioni che ho fatto era sempre presente....sarà infognata da qualche parte.

(comunque ho controllato in opzioni cartella e la visualizzazione dei file e cartelle nascosti era già abilitata)

Questa è la cartella windows (notare non c'è system32)
http://img504.imageshack.us/img504/4434/windowsnp5.jpg

Questa invece è Programmi\File comuni\system (i file in verde sono quei 4, ma nelle sottocartelle (sia di system che di microsoft shared) ce n'è una miriade...
http://img522.imageshack.us/img522/1818/systemcm5.jpg

da **Amantide** » ven nov 03, 2006 8:52 pm

Veramente di file verdi non ne vedo manco uno [:-D]

Io intendevo i file che hanno il nome scritto in verde, nell'articolo sulla rimozione di LinkOptimizer puoi vedere gli screenshots.

La cartella C:\WINDOWS\system32 non è visibile nemmeno tramite Esplora risorse?

da **DR_EviL** » sab nov 04, 2006 3:13 pm

Nonostante la cartella system32 sia sparita e non accenni a ripresentarsi, nonostante sia impossibile visualizzare windows firewall, penso di aver risolto quasi tutti i problemi.

Che ne dite?

Logfile of HijackThis v1.99.1
Scan saved at 15.11.04, on 04/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\File comuni\{006B8979-0702-1040-0823-021226010027}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\Documents and Settings\SelectA\Desktop\Enrico\Programmi\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [srePostpone] rundll32.exe c:\windows\system32\zonelabs\srescan.dll,DoSpecialAction
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/in ... all_it.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://dottorevil.spaces.live.com//Phot ... nPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8C2D1CF-709B-4827-B0DE-F4DDA026AC27}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

da **Amantide** » sab nov 04, 2006 3:18 pm

Fai la scansione su Virustotal di questo file
C:\Programmi\File comuni\{006B8979-0702-1040-0823-021226010027}\Update.exe
La sua posizione è alquanto sospetta

da **DR_EviL** » sab nov 04, 2006 3:52 pm

Ecco il risultato di virustotal

http://www.virustotal.com/vt/en/resulta ... f56fa1e437

Io fixerei con hijackthis...
Se non hai nulla in contrario

da **Amantide** » sab nov 04, 2006 3:59 pm

Come immaginavo, in quella posizione quel file non poteva essere nulla di buono.
Oltre a fixarlo con Hijackthis, devi eliminare il file e la cartella o dalla modalità provvisoria oppure con aiuto di Unlocker o Delete Doctor.
Fai anche la scansione con Kaspersky online ed installa A-squared o AVG Antispyware.

da **aris73** » dom nov 05, 2006 11:49 am

se non dovesse riuscire con ciò che gli hai postato potrebbe anche eliminarlo con avenger... [:-D]

www.MegaLab.it

Gromozon+altri virus

Chi c’è in linea