Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Windows update bloccato, ancora!

Problemi con i sistemi operativi di casa Microsoft? Questa è la sezione che fa per te!

Windows update bloccato, ancora!

Messaggioda mmorabito » mar set 27, 2005 3:58 pm

Salve a tutti!
La settimana scorsa ho beccato un virus, anzi due (colpa mia ho aperto l'email sbagliata!): win32/bagle.BI e win32/bagle.CI
Credo di averli cancellati con NOD32 in windows in modalità provvisoria ed ho anche seguito una procedura di rimozione manuale che ho trovato in rete.
+++++++++++++++++++
Istruzioni per l'eliminazione

L'euristica estesa di NOD32 è stata in grado di intercettare questa variante di Bagle ancora prima di aggiornare il database delle firme digitali. Per tutti gli utenti che non usassero NOD32, Future Time ha rilasciato/aggiornato un apposito programma di rimozione

http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleBB

Istruzioni per l'eliminazione manuale

Disattivare il ripristino automatico di configurazione in Windows XP/ME.

Da Start->Esegui, scrivere REGEDIT e premere Invio per accedere al Registro di sistema.
Eliminare sotto la colonna "Nome", la chiave "winshost.exe", nelle seguenti chiavi di Registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Cancellare la cartella “FirstRun” nella seguente chiave di Registro:

HKEY_CURRENT_USER\Software\FirstRun

Cambiare il valore “Start” come qui riportato nelle seguenti chiavi di Registro:

HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000003"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000002"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000002"

Chiudere l’editor del Registro di sistema.
Usando l’”Esplora” di Windows cercare il file HOSTS (senza estensione) all’interno di queste cartelle:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

Se appare, cliccare due volte su questo file (HOSTS). Selezionare “Scegliere il programma da utilizzare dall’elenco”, quindi “Accetta”, e dopo selezionare NOTEPAD.
NON CONTRASSEGNARE "Usa sempre quest'applicazione per aprire questo tipo di file”
Cancellare tutte le stringhe che iniziano con un numero, salvo questa:

127.0.0.1 localhost

Salvare i cambiamenti effettuati ed uscire da Notepad
Riavviare il computer ed eseguire una scansione del disco utilizzando l’antivirus aggiornato per cancellare qualsiasi presenza residua del worm.
++++++++++++++++++++++++++

Apparentemente tutto risolto, ma... non funziona più windows update e molti dei siti internet che utilizzano script attivi o simili (perdonatemi l'imprecisione, non sono esperta!).
Nelle opzioni internet, nella scheda protezione, tutte queste cose risultano attivate.
Ha smesso di funzionare anche windows media player, ma questo non sarebbe un grosso problema... esistono altri software per i file multimediali!

Che faccio? Formatto? Io preferirei di no!

Ho fatto anche una scansione con HiJackThis e vi allego il log file.

+++++++++++++++++++++++++++++
Logfile of HijackThis v1.99.1
Scan saved at 23.20.50, on 26/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Novatel Wireless\MobiLink\iilserver.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programmi\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programmi\Babylon\Babylon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Documents and Settings\ASUS6842\Desktop\Nuova cartella\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programmi\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmi\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSIns ... icton.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4458455053
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: MobiLink IILServer - Novatel Wireless, Inc. - C:\Programmi\Novatel Wireless\MobiLink\iilserver.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

+++++++++++++++++++++++++++

Ho consultato l'archivio dei messaggi, ma non ho trovato una situazione uguale alla mia (o non ho saputo trovare?)

Aspetto con ansia un vostro imput! Grazie in anticipo.

Marina
Avatar utente
mmorabito
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: mar set 27, 2005 3:28 am

Messaggioda Michael » mar set 27, 2005 4:31 pm

Sei in Off-Section credo...
Io voglio soldi, SOLO SOLDI!!
Non me ne frega niente del monopolio!
Avatar utente
Michael
Silver Member
Silver Member
 
Messaggi: 1543
Iscritto il: mer dic 01, 2004 7:13 pm
Località: xxx

Messaggioda mmorabito » mar set 27, 2005 4:47 pm

Michael ha scritto:Sei in Off-Section credo...


Perdona l'ignoranza.... cioè?
Avatar utente
mmorabito
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: mar set 27, 2005 3:28 am


Messaggioda ba_61 » mar set 27, 2005 4:51 pm

Doveva essere postato alla sezione "Sicurezza".
Avatar utente
ba_61
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6290
Iscritto il: lun gen 10, 2005 11:36 pm

Messaggioda Michael » mar set 27, 2005 4:56 pm

Credo che il titolo non sia aderente alla traccia...

PS: hai messo tu "http://www.asus.com.tw" come pagina iniziale, il resto non sembra sospetto...
Io voglio soldi, SOLO SOLDI!!
Non me ne frega niente del monopolio!
Avatar utente
Michael
Silver Member
Silver Member
 
Messaggi: 1543
Iscritto il: mer dic 01, 2004 7:13 pm
Località: xxx

Messaggioda mmorabito » mar set 27, 2005 5:02 pm

Perdono.
Io ho dato per scontato che fosse un problema delle impostazioni di windows.
Ora lo sposto alla sessione sicurezza.

Scusate!

Marina
Avatar utente
mmorabito
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: mar set 27, 2005 3:28 am

Messaggioda crazy.cat » mar set 27, 2005 5:13 pm

Andiamo avanti qui
http://www.MegaLab.it/forum/viewtopic.php?t=16472
ed è nella sezione sicurezza.

I messaggi li spostiamo solo noi moderatori.

Chiudo
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sistema Operativo

Chi c’è in linea

Visitano il forum: Google [Bot] e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising