Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Problemi con explorer

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Messaggioda tarocco_fett » lun gen 17, 2005 5:17 pm

intanto che aspetto...vi mando il log di Hijack almeno vi rendo il compito piu' facile..grazie in anticipo.
la cosa e' stranissima ho formattato ieri quindi non ho praticamente nulla istallato....... [cry+]



Logfile of HijackThis v1.98.0
Scan saved at 17.14.55, on 17/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\spolsv.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Shareaza\Shareaza.exe
C:\Programmi\ICQ\Icq.exe
C:\Programmi\Yahoo!\Messenger\YPager.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\pietro\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] spolsv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] spolsv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] spolsv.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5714632918
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6CABEA3-DB29-402F-B45E-883EA5B7BEE9}: NameServer = 217.141.251.204 151.99.125.1
Avatar utente
tarocco_fett
Senior Member
Senior Member
 
Messaggi: 236
Iscritto il: ven apr 23, 2004 7:29 pm

Messaggioda simone.west » lun gen 17, 2005 5:53 pm

spiega che tipo di problema hai [afro]
Più donne è poligamia,due è bigamia,una sola donna è monotonia...
Avatar utente
simone.west
Senior Member
Senior Member
 
Messaggi: 392
Iscritto il: mer set 01, 2004 5:56 pm
Località: lago lombardo

Messaggioda Mr.TFM » lun gen 17, 2005 5:53 pm

simone.west ha scritto:spiega che tipo di problema hai [afro]
http://www.MegaLab.it/forum/viewtopic.php?t=11578
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)


Messaggioda Rancid » lun gen 17, 2005 6:12 pm

Questo
C:\WINDOWS\System32\spolsv.exe


sembra arrivare dritto dritto da questo worm:

http://www.sophos.com/virusinfo/analyse ... botcs.html
Non è la mera fotografia che mi interessa. Quel che voglio è catturare quel minuto, parte della realtà.
The Medium Is The Messagge
Avatar utente
Rancid
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2417
Iscritto il: mar nov 25, 2003 1:58 pm
Località: Haunted City

Messaggioda simone.west » lun gen 17, 2005 6:57 pm

chiedo venia [sedia]
Più donne è poligamia,due è bigamia,una sola donna è monotonia...
Avatar utente
simone.west
Senior Member
Senior Member
 
Messaggi: 392
Iscritto il: mer set 01, 2004 5:56 pm
Località: lago lombardo

Messaggioda tarocco_fett » lun gen 17, 2005 10:26 pm

grazie [applauso]

lo devo levare col fix direttamente da hijackthis?
o no? come faccio a levarlo?


ho seguito le istruzioni nel link, e dice:

Locate the HKEY_LOCAL_MACHINE entries:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SpoolService= spolsv.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SpoolService= spolsv.exe
and delete them if they exist.
Close the registry editor.

ora io ho fatto tutto ma lo spolsv.exe non e' dove dice SpoolService ma c'e scritto firewall e qualche cosa...che faccio lo elimino lo stesso? nn vorrei fare danni
Avatar utente
tarocco_fett
Senior Member
Senior Member
 
Messaggi: 236
Iscritto il: ven apr 23, 2004 7:29 pm

Messaggioda crazy.cat » mar gen 18, 2005 11:51 am

Le puoi eliminare con hijack
O4 - HKLM\..\Run: [Sygate Personal Firewall] spolsv.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] spolsv.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] spolsv.exe
tutte e tre le righe, dalla modalità provvisoria elimini anche il file exe,e ti fai una scansione dei virus con Scangui,trovi l'articolo su come usare in home page.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda tarocco_fett » mar gen 18, 2005 12:58 pm

ho trovato questo file: SPOLSV.EXE-26B87F73.pf

e' questo che devo cancellare da modalita' provvisoria?

la scansione posso farla con avg , che gia' e' istallato? o no?
Avatar utente
tarocco_fett
Senior Member
Senior Member
 
Messaggi: 236
Iscritto il: ven apr 23, 2004 7:29 pm

Messaggioda crazy.cat » mar gen 18, 2005 1:03 pm

Devi trovare SPOLSV.EXE, abilita anche la visione dei file nascosti.
Fai la scansione con Scangui per avere un altro "parere",tanto devi solo copiarti alcuni file non vai ad installare niente di nuovo.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising