www.MegaLab.it

da **glicine** » gio mar 08, 2007 3:10 pm

Amantide Crazy ha postato mentre componevo il mio post. sto già procedendo in tal senso [:)]

ora rimuovo i 5 files di CRTATL.DLL

speriamo la cosa non mi dia più problemi [std]

grazie ad entrambi [prego]

da **glicine** » gio mar 08, 2007 3:58 pm

fatto tutto. dimenticavo questo però [acc2]

glicine ha scritto:ah, una strana cosa. ieri mi è comparso sul desktop hijackthis.exe.

la cosa strana è che l'icona non è quella della dinamite, ma quella di un exe normale (rettangolo bianco bordato di blu). e soprattutto non si elimina

da **Amantide** » gio mar 08, 2007 4:14 pm

glicine ha scritto:fatto tutto. dimenticavo questo però
glicine ha scritto:ah, una strana cosa. ieri mi è comparso sul desktop hijackthis.exe.

la cosa strana è che l'icona non è quella della dinamite, ma quella di un exe normale (rettangolo bianco bordato di blu). e soprattutto non si elimina

Qualche messaggio più su ti avevo risposto anche a questa domanda.

da **glicine** » gio mar 08, 2007 4:24 pm

sì scusami, me l'ero perso. ho cliccato sul link presente nella notifica mail e mi ha redirettato direttamente al post di crazy successivo al tuo [:)]

cerco unlocker

da **glicine** » gio mar 08, 2007 4:46 pm

ho scaricato UNLOCKER ma il file ancora si elimina.

nella finestra dei percorsi bloccati mi si informa che ci sono 5 percorsi bloccati, tutti afferenti al processo explorer.exe.

li blocco tutti e 5, vado a rieliminare il file ma non va. rimane sempre un solo percorso bloccato, sempre relativo ad explorer.exe e con
PID 4036 (non so cosa significhi PID).

ho provato anche a terminare explorer.exe ma niente

da **glicine** » ven mar 09, 2007 5:56 pm

up

da **Amantide** » ven mar 09, 2007 10:07 pm

Proviamo ad eliminarlo con Avenger.

Scarica The Avenger, estrai archivio in una cartella ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno del form copia ed incolla questo script:

Files to delete:
[qui inserisci il percorso completo del file da eliminare]

Dopodichè clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi alle successive domande Si .
Il pc dovrebbe riavviarsi da solo,se cosi non fosse riavvialo manualmente.

da **glicine** » ven mar 09, 2007 10:20 pm

fatto ma quando do la conferma dopo aver cliccato la prima volta sul semaforo verde mi da' errore.

ecco l'error log

Error: selected file does not appear to be a valid script.
Error code: 1813

da **glicine** » ven mar 09, 2007 10:28 pm

non so se possa essere utile, ma ho trovato due file associati ad hijackthis con estensione .pf nella cartella windows/prefech

da **Amantide** » ven mar 09, 2007 11:47 pm

Quella cartella contiene i dati sui programmi usati, non dovrebbe creare nessun problema.

Mi fai vedere lo script che avevi creato per Avenger?

da **glicine** » sab mar 10, 2007 12:03 am

C:\Documents and Settings\nomemio\Desktop\HIJACKTHIS.EXE

da **Amantide** » sab mar 10, 2007 12:06 am

glicine ha scritto:C:\Documents and Settings\nomemio\Desktop\HIJACKTHIS.EXE

Sei sicuro che il file abbia l'estensione .EXE?

da **glicine** » sab mar 10, 2007 12:13 am

sicurissimo [:)]

da **Amantide** » sab mar 10, 2007 12:22 am

Oh, peggio di un virus quello [:D]

Prova a selezionarlo ed eliminarlo con AGVPFIX allora.

da **glicine** » sab mar 10, 2007 12:34 am

e finalmente se ne andò [applauso+]

essì, peggi odi un virunzolo [devil]

grassie mile signorina.

cotanta gentilezza meriterebbe almeno un caffe' (o una birra) ma data la situazione, il massimo che posso fare è ringraziarti ancora [std]

da **sissifra** » dom mar 11, 2007 9:43 pm

Allora ho bisogno di aiuto, all'avvio di windows mcafee rileva una modifica di sistema che regolarmente non accetto e subito dopo viene rimosso uno script. questo però succede ad ogni avvio e facendo la scansione non viene rilevato nulla di attinente.
vi posto il mio log. come devo intervenire?
Ho virus o simili, cosa devo fare?
Logfile of HijackThis v1.99.1
Scan saved at 20.33.00, on 11/03/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programmi\McAfee\MPF\MPFSrv.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
c:\programmi\internet explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {40DD12F6-6165-4A19-BD65-3DFB8510D3D5} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programmi\mcafee\virusscan\scriptcl.dll
O2 - BHO: (no name) - {896C6939-1B7C-4C1F-A55D-F20FDBA1673D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programmi\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7C77CEF-AF04-4EAA-995B-5414BB3659A6}: NameServer = 85.37.17.5 85.38.28.77
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FILECO~1\McAfee\EmProxy\emproxy.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programmi\McAfee\MPF\MPFSrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

da **Amantide** » dom mar 11, 2007 10:13 pm

Il log è pulito, ci sono solo queste 2 voci da fixare ma non sono pericolose:
O2 - BHO: (no name) - {40DD12F6-6165-4A19-BD65-3DFB8510D3D5} - (no file)
O2 - BHO: (no name) - {896C6939-1B7C-4C1F-A55D-F20FDBA1673D} - (no file)

Il problema potrebbe essere dovuto alla totale mancanza di Service Pack, quindi ti consiglierei di installare il SP2 ed eseguire il Windows Update.

da **sissifra** » dom mar 11, 2007 11:49 pm

Ecco quello che mi individua ad ogni avvio mcafee
Processo: C:\Programmi\Unlocker\UnlockerAssistant.exe
Elementi interessati: HKEY_USERS\S-1-5-21-1454471165-73586283-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\me\:Range
Non consento la modifica e subito dopo mi rimuove lo script VBS/Psyme.
Suggerimenti?

da **Amantide** » dom mar 11, 2007 11:53 pm

sissifra ha scritto:Suggerimenti?

Togliere UnlockerAssistant dall'avvio automatico, tanto è inutile.
Basta che rifai la scansione con Hijacthis e fixi questa voce:
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"

SP2 è comunque da installare. [;)]

www.MegaLab.it

Qual è il virus?

help con virus....

Chi c’è in linea