www.MegaLab.it

da **Holden** » mar gen 23, 2007 4:06 pm

Ho questo problema: ho xp home all'avvio dopo essere entrato ed aver caricato le impostazioni personali mi compare il desktop con solo l'immagine di fondo senza trai bar nè le varie icone. Dopo 3-5 min L'hard disck frulla e mi compaiono le iconoe e la tray bar.
Secondo voi cos'è?
l'antivirus mi ha rilveto dei troyan ma non li riesco a cancellare poichè sono in uso da altra applicazione
Aiutatemi

ba_61: titoli appropriati

da **Bilbovm** » mar gen 23, 2007 4:10 pm

ma il tuo antivirus non ha la possibilità programmareuna scansione al riavvio, e cioè prima che parta Windows? in modo da eliminare tutto quello che non ci deve esssere?

Non ce l'ha? cambia antivirus....

da **Holden** » mar gen 23, 2007 4:12 pm

ho AVS non so se ce l'ha
ora ci provo a guardare

da **Holden** » mar gen 23, 2007 4:15 pm

no non l'ho trovato

da **ba_61** » mar gen 23, 2007 4:34 pm

Holden ha scritto:l'antivirus mi ha rilveto dei troyan ma non li riesco a cancellare poichè sono in uso da altra applicazione

Esegui la scansione in modalità provvisoria e con il punto di ripristino disattivato.

da **Holden** » mar gen 23, 2007 4:43 pm

in pratica cosa dovrei fare??

da **Holden** » mar gen 23, 2007 5:00 pm

Non mi sapreste per favore consigliare un programma per effettuare un controlli sulla procedura di avvio o un antivirus o comunque un qualcosa che per,metta di eliminare i file bloccati poichè in uso?

da **ba_61** » mar gen 23, 2007 5:15 pm

Holden ha scritto:in pratica cosa dovrei fare??

http://www.MegaLab.it/2556

http://www.MegaLab.it/2330

[search]

Holden ha scritto:Non mi sapreste per favore consigliare un programma per effettuare un controlli sulla procedura di avvio o un antivirus o comunque un qualcosa che per,metta di eliminare i file bloccati poichè in uso?

Un Topic, una domanda:

http://www.MegaLab.it/2427

da **Holden** » mar gen 23, 2007 5:51 pm

Mi spiace ma delete doctor non funziona!
Vorrei sapere: c'è un modo per scoprire quale processo mi stà usando il file che voglio eliminare (non è explorer.exe)
Grazie ancora

da **Holden** » mar gen 23, 2007 6:24 pm

credo che sia annidato nella ram! infatto ho cancellato il dll ma all'avvio del pc me lo ha rigenerato! e l'effwetto è bizzarro poichè il pc funziona bene ma all'avvio mi ritarda la comparsa di tray ed icone di 4 minuti è come se non eseguisse explorer.exed per intenderci.
Sono alla frutta

da **Amantide** » mar gen 23, 2007 7:55 pm

Postaci il log di Hijackthis.

Sposto in Sicurezza.

da **Holden** » mer gen 24, 2007 1:48 pm

ho scoperto di avere un worm trojan che si replica all'avvio :NSPak.
ma il mio antivirus si blocca quando lo rileva e non lo riesce ad eliminare.
Cosa mi consigliate di fare ??

da **Amantide** » mer gen 24, 2007 1:51 pm

Holden ha scritto:ho scoperto di avere un worm trojan che si replica all'avvio :NSPak.
ma il mio antivirus si blocca quando lo rileva e non lo riesce ad eliminare.
Cosa mi consigliate di fare ??

Amantide ha scritto:Postaci il log di Hijackthis.

da **Holden** » mer gen 24, 2007 2:02 pm

ok, l'ho già fatto ma non so cosa fare poi..

da **crazy.cat** » mer gen 24, 2007 2:05 pm

Devi allegare alla discussione il risultato della scansione, altrimenti non sappiamo cosa gira nel tuo pc e non possiamo aiutarti.

da **Holden** » mer gen 24, 2007 2:10 pm

ecco il risultato della scansione:

Logfile of HijackThis v1.99.1
Scan saved at 13.03.01, on 24/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\Centrino HC\Centrino_HC.exe
C:\WINDOWS\system32\windows2k1.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Opera\Opera.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCSVR.EXE
C:\Documents and Settings\User\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\User\ChangeResolution.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programmi\Centrino HC\Centrino_HC.exe" -quiet
O4 - HKLM\..\Run: [Name of App] C:\Programmi\SAMSUNG\FW LiveUpdate\Liveupdate.exe
O4 - HKLM\..\Run: [SvcManager] windows2k1.exe
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E06IXLRD_1106031] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - Startup: Microsoft Office Outlook.lnk = C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d ... o-eula.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3C28CAA-FAA4-4C01-B4C8-E91C252316DB}: NameServer = 193.70.192.25 193.70.152.25
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Machine Debug Manager MDMwuauserv (MDMwuauserv) - Unknown owner - C:\WINDOWS\system32\28266.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

da **crazy.cat** » mer gen 24, 2007 2:16 pm

Rifai la scansione e selezioni le caselle di queste righe e poi premi fix, con Unlocker cancelli gli ultimi due file exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\User\ChangeResolution.exe (sospetto???)
O4 - HKLM\..\Run: [SvcManager] windows2k1.exe
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe

Fai una scansione anche con questo programma
http://www.trendmicro.com/ftp/products/ ... redder.exe

da **Holden** » mer gen 24, 2007 2:31 pm

mi spiace devo sconnettermi torno verso le 5 e vi faccio sapere com'è andata seguendo le vostre instruzioni
Grazie, come sempre, dell'enorme aiuto

da **Amantide** » mer gen 24, 2007 3:23 pm

Oltre a ciò che ti ha detto di fare crazy.cat fai anche questo.
vai su Start -->

Esegui

scrivi cmd e premi Ok.
Incolla questo comando e premi Invio:
sc stop MDMwuauserv

dopodichè esegui anche questo comando:
sc delete MDMwuauserv

Dev'essere eliminato anche questo file:
c:\secure32.html

Controlla anche se c'è questo file C:\WINDOWS\system32\paytime.exe

da **Holden** » mer gen 24, 2007 8:40 pm

ho eseguito il fix com mi avede detto ma come faccio a concellarli con l'Unlock??

www.MegaLab.it

Problema visualizzazione desktop all'avvio

Problema visualizzazione desktop all'avvio

Chi c’è in linea