www.MegaLab.it

[giampolo]

carissimi
un cordiale saluti a tutti
il problema è il seguente:
non è possibile installare service pack2 perché l'applicazione ftp.exe è in uso da un altro programma ... ma quale??
ho notato però che autometicamente di attiva ogni volta un tentativo di connessione analogica a chissa quale numero...ma la disattivazione del vecchio modem... dovrebbe rendere innoqua la richiesta...
può essere legata a questa connessione la soluzione al problema??

[crazy.cat]

Cominciamo a vedere un log della scansione di hijackthis
http://www.MegaLab.it/2286
per capire cosa gira di strano nel tuo pc.

[giampolo]

ecco quello che è venuto fuori dalla scansione...
cosa ne pensi?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.50.35, on 28/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\MSMSGS.EXE
C:\WINDOWS\wault.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Piso & Boccuccia\Impostazioni locali\Temp\Directory temporanea 1 per HiJackThis_v2.zip\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [RegClean] "C:\Program Files\RegClean\RegClean.exe" -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\MSMSGS.EXE" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0034139761
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Windows Auto Update Tool - Unknown owner - C:\WINDOWS\wault.exe

--
End of file - 3212 bytes

[crazy.cat]

Vedendo questa riga
O23 - Service: Windows Auto Update Tool - Unknown owner - C:\WINDOWS\wault.exe
direi che hai beccato questo virus
http://www.sophos.com/security/analyses ... botjq.html

Usa unlocker o killbox per cancellare il file wault.exe e controlla la presenza di questi file, che direi sono da eliminare pure questi e sostituirli con copie funzionanti presi dal cd di windows o da un altro pc con uguale sistema operativo.
"The file <System>\sfc_os.dll is modified in order to disable the System File Checker. The modified version is detected as Disabled System File Check DLL.

The files <System>\ftp.exe and <System>\tftp.exe are replaced by non-functional versions of those applications."

[giampolo]

La tua intuizione è stata davvero grande .... ma non ha risolto completamente il problema ....
il file wault.exe sembra sia stato cancellato... ed era proprio questa applicazione attiva che impediva l'installazione del sp2... e chiudendola temporaneamente nel task manager sono riuscito a saltare questo ostacolo... (anche se poi l'installazione non è ancora riuscita a causa di un mancato download)
però il problema è rimasto perché questa applicazione si riapre automaticamente....
cosa ne pensi?

[crazy.cat]

Evidendemente qualcosa lo ricrea.
Hai trovato e cancellato anche gli altri file che ti avevo indicato?

www.kaspersky.com e fai una scansione online, se trova dei virus posta il log della scansione e vediamo poi come eliminare i virus trovati.

[giampolo]

ebbene...non ne sono ancora venuto fuori ... non disponendo di un buon antivirus ho deciso di formattare tutto... ...
ho sentito parlare di una procedura veloce che si limita a creare l'immagine del sistema ed evita la noiosa e lunga procedura di ricreare tutto
sai di cosa si tratta??

[crazy.cat]

Se non hai Ghost o acronis, puoi usare drive immage xml
http://www.MegaLab.it/2413
Prima però devi installare tutto, poi fai l'immagine e la tieni di scorta.

Un ottimo antivirus è questo
http://www.activevirusshield.com/antivi ... /index.adp?