Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Controllo Log: Il Pc si riavvia da solo!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Controllo Log: Il Pc si riavvia da solo!

Messaggioda ballacoilupi72 » gio nov 16, 2006 9:24 pm

Mi dareste un occhiata al log per favore?
ognitanto quando sono connesso il pc si riavvia da solo e non ho ancora capito perché!


Logfile of HijackThis v1.99.1
Scan saved at 20.20.00, on 16/11/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Alex\_a_i_g_i_a_c_k_t_h_i_s.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKCU\..\Run: [Startup Manager] C:\Documents and Settings\Alex\Dati applicazioni\Systweak\ASO 2\smstartUp manager.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2675351851
O17 - HKLM\System\CCS\Services\Tcpip\..\{8863F1B4-DE7A-4374-827E-67D3D41CB67B}: NameServer = 85.37.17.47 85.38.28.82
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Print Spooler Service (e6eipoifev) - Unknown owner - C:\a.exe (file missing)
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ilkeygi » gio nov 16, 2006 11:48 pm

ciao ,ci sono due voci che non mi convincono granchè:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8863F1B4-DE7A-4374-827E-67D3D41CB67B}: NameServer = 85.37.17.47 85.38.28.82

Conosci un server che ha quest'indirizzo (85.37.17.47 85.38.28.82)?

e

O23 - Service: Print Spooler Service (e6eipoifev) - Unknown owner - C:\a.exe (file missing)

prova ad aspettare altri pareri, comunque mi sembrerebbero due voci da fixare. [:-D]
Avatar utente
ilkeygi
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ott 18, 2006 9:30 pm
Località: Biella

Messaggioda Amantide » ven nov 17, 2006 11:48 am

La prima voce èleggittima invece questa è da fixare
O23 - Service: Print Spooler Service (e6eipoifev) - Unknown owner - C:\a.exe (file missing)

Abilita la visualizzazione dei file nascosti e di sistema e vedi se questo file è ancora presente nel computer.

Poi apri il regedit (purtroppo non so se anche sul win2000 si apre come su XP), arriva fino alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e nella scheda a destra vedi se è presente questo valore
"SYSTEMSars32"="%windir%\csrss.exe"
che sarebbe da eliminare.

E già che ci sei prova a riparare le impostazioni di winsock con questo tool LSPfix, che le voci di
O10 - Unknown file in Winsock LSP: non mi piacciono molto.

Il riavvio improvviso può essere dovuto anche alle cause hardware, prova a vedere nel registro eventi se c'è qualche errore.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Messaggioda crazy.cat » ven nov 17, 2006 3:12 pm

Amantide ha scritto:E già che ci sei prova a riparare le impostazioni di winsock con questo tool LSPfix, che le voci di
O10 - Unknown file in Winsock LSP: non mi piacciono molto.

Tutto buono
http://www.castlecops.com/lsp-172.html
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Amantide » ven nov 17, 2006 6:43 pm

crazy.cat ha scritto:
Amantide ha scritto:E già che ci sei prova a riparare le impostazioni di winsock con questo tool LSPfix, che le voci di
O10 - Unknown file in Winsock LSP: non mi piacciono molto.

Tutto buono
http://www.castlecops.com/lsp-172.html

L'avevo visto anche io... ma non mi piace lo stesso che ci sia scritto Unknown file in Winsock LSP, nemmeno se si tratta di AVG. E' talmente famoso quell' antivirus, che non si può permettere di piazzare le voci Unknown in giro per il computer.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda ballacoilupi72 » ven nov 17, 2006 8:32 pm

la voce a.exe l'avevo già fissata ma ricompare all'avvio! era un virus ripulito durante una precedente scansione con Kaspersky!
adesso provo a cercarlo nei file nascosti!
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda crazy.cat » ven nov 17, 2006 8:33 pm

ballacoilupi72 ha scritto:ladesso provo a cercarlo nei file nascosti!

No, fai in questo modo
http://www.MegaLab.it/2578
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ballacoilupi72 » ven nov 17, 2006 8:42 pm

la voce a.exe non c'è nemmeno nei file nascosti!
neanche "SYSTEMSars32"="%windir%\csrss.exe" è presente nel registro!
provo a fixare ancora a.exe e faccio una scansione antispyware!
poi vediamo!
Grazie per le risposte! mitici come sempre! [8D] [:-D] [8D]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ballacoilupi72 » ven nov 17, 2006 8:43 pm

seguo il consiglio di crazy.cat!
mi hai anticipato! [8D] [:-D]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ballacoilupi72 » ven nov 17, 2006 8:56 pm

l'elenco dei servizi è a posto! non vedo niente di superfluo o anomalo!
di "csrss" non c'è traccia nel registro! e di "a.exe" non c'è traccia tra i file! però ricompare nelle voci del log!
[boxed] [sbigot]
Faccio pulizia di file temporanei, cookies, registro ecc!
vediamo cosa succede!
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda crazy.cat » ven nov 17, 2006 8:58 pm

Prova ad aprire il registro e fare una ricerca di questa stringa
e6eipoifev

Da qualche parte ci deve essere....
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ballacoilupi72 » ven nov 17, 2006 9:31 pm

ho trovato!
csrss in c:\windows\system32 (AVG non lo vede come virus!)
csrss in c:\windows|system32\dllcache

come ho fatto a non trovarlo prima? [:I]
elimino csrss in c:\windows\system32 ?
cosi è impossibile perché mi dice in esecuzione! provo con deletedoctor o da provvisoria?
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda Amantide » ven nov 17, 2006 10:28 pm

ballacoilupi72 ha scritto:ho trovato!
csrss in c:\windows\system32 (AVG non lo vede come virus!)
csrss in c:\windows|system32\dllcache

come ho fatto a non trovarlo prima? [:I]
elimino csrss in c:\windows\system32 ?
cosi è impossibile perché mi dice in esecuzione! provo con deletedoctor o da provvisoria?

No, questo è il file "buono", quello "cattivo" doveva essere in C:\Windows\
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda ballacoilupi72 » sab nov 18, 2006 11:20 am

file " csrss " c'è solo quello in system 32! [cry] [boxed]

windows mi ha tolto alcuni controlli sul sistema: ci sono delle funzioni che non mi si aprono più (pannello di controllo, proprietà desktop,registro ecc.!) dice che ci sono restrizioni! "contattare l'amministratore..."!
come faccio a cambiare le opzioni di amministratore se non mi fa andare nel pannello di controllo?
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda Amantide » sab nov 18, 2006 11:33 am

Non mi dire che hai eliminato il file csrss.exe in C:\Windows\system32\?
Prova a fare il ripristino configurazione di sistema ad un punto antecedente al presentarsi di questo problema.

Altrimenti, se hai in possesso il CD d'installazione di XP, inseriscilonel lettore CD e da Start--> Esegui esegui questo comando
SFC /SCANNOW
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda ballacoilupi72 » sab nov 18, 2006 4:24 pm

C:\Windows\system32 non l'ho eliminato!

xò devo dirvi che ho appena formattato e sto ripristinando tutto! ho appena ristabilito la connessione internet!
i problemi che avevo nel sistema mi hanno costretto a formattare: colpa mia! c'era anche un po' di caos con le partizioni nonchè con alcune applicazioni
basta partizioni e due sistemi operativi!
vi ringrazio per l'aiuto e mi scuso per il disturbo! non pensavo di dover formattare,purtroppo ho preteso troppo dal mio pc e dalle mie capacità e ho fatto un po' di caos!
adesso ho Windows 2000 fresco fresco!
Grazie ancora! [:-D] [8D]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ballacoilupi72 » gio nov 30, 2006 11:04 pm

Rieccomi a voi! riutilizzo questo mio precedente messaggio senza cosi aprire un'altra discussione!

da un po' di giorni sul log compaiono due voci sospette che,seppur fixate, ritornano.
La scansione con AVG 7.5 e a-squared non ha trovato niente!
le voci sono:
O17 - HKLM\System\CCS\Services\Tcpip\..\{39BED05E-8C28-4E2C-A881-77D45DED44CD}: NameServer = 85.37.17.47 85.38.28.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{39BED05E-8C28-4E2C-A881-77D45DED44CD}: NameServer = 85.37.17.47 85.38.28.82

Sembra siano riferite a qualche sito, o sbaglio? possibile che appaiano magari ogni volta che vado su quel sito? è normale?
altre cose pericolose non risultano ( ho controllato il log su http://www.hijackthis.de/it).
voi che ne dite? [sbigot] [boxed] [sbigot]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda Amantide » gio nov 30, 2006 11:31 pm

Sono i DNS del tuo provider internet e quindi sono le voci legittime.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda ballacoilupi72 » ven dic 01, 2006 7:33 pm

ok grazie mille!
mi era venuto il dubbio perché mi sembrava che non ci fossero mai state!
ho avuto un attimo di rimbambimento!
Sto invecchiando!
a posto! grazie! [:-D] [8D] [:-D]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising