Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiuto individuazione Virus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiuto individuazione Virus

Messaggioda maux » ven mag 25, 2007 7:01 pm

Avrei gentilmente bisogno di una vostra analisi per individuare il seguente problema sul computer del mio vicino di casa: spero di avervi allegato tutto il necessario per poter identificare il problema.
Sono 4 files numerati in ordine crescente

1) nel primo vi ho riportato l'errore che si presenta all'avvio di windows. Tale errore si presenta anche quando apro una qualsiasi cartella e non mi consente di visualizzarne i files; posso ovviare a questo problema andando in opzioni cartella-->disattiva contenuto web nella cartella. però disattivando questa opzione riesco si a vedere i files contenuti nelle varie cartelle ma non riesco a fare il copia-incolla fra le cartelle...è come se questo comando mi risultasse sconosciuto...

Immagine

2) contiene l'analisi del pc con everest(magari vi torna utile)

3) il report della scansione con antivir che mi ha trovato 5virus ma è riuscito solamente a cancellarne 4.

C:\_RESTORE\ARCHIVE
FS20.CAB
ArchiveType: CAB (Microsoft)
--> A0554055.CPY
[DETECTION] Is the Trojan horse TR/StartPage.aco.1
C:\WINDOWS\Downloaded Program Files
gsi0050.exe
[DETECTION] Is the Trojan horse TR/Dialer.CJ.1567
WAS DELETED!
gsi0029.exe
[DETECTION] Is the Trojan horse TR/Dialer.CJ.1832
WAS DELETED!
gsi0030.exe
[DETECTION] Is the Trojan horse TR/Dialer.CJ.78
WAS DELETED!
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
gsi0030.exe
[DETECTION] Is the Trojan horse TR/Dialer.CJ.78
WAS DELETED!

1496 directories were scanned
52105 files were scanned
0 warning messages were issued
4 files were deleted
0 files were repaired
5 detections

4) Infine il report della scansione con hijackthis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.55.26, on 23/05/2007
Platform: Windows ME (Win9x 4.90.3000)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SCANREGW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMMI\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMMI\ARESCOM\MODEM TELINDUS ARESCOM ND220\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMMI\ALICE TI AIUTA\BIN\MPBTN.EXE
C:\PROGRAMMI\ALICE\ALICE ENTERNET\APP\ENTERNET.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS_V2.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bussolaweb.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bussolaweb.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMMI\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE (User 'Default user')
O4 - .DEFAULT Startup: DSLMON.lnk = C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe (User 'Default user')
O4 - .DEFAULT Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: DSLMON.lnk = C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {605BF56B-B688-154C-885E-7B76EEB1338D} - http://archives.totalwebmasters.biz/it/ ... vizi02.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\SYSTEM\BROWSEUI.DLL
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\SYSTEM\BROWSEUI.DLL

dove pensate stia il problema?
grazie per l'aiuto
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Messaggioda crazy.cat » ven mag 25, 2007 7:35 pm

1) Nelle varie opzioni di ie ci sono anche i controlli activex prova ad abbassare i vari livelli di protezione che trovi.
2) No
3) Cerca negli articoli nostri "Come disattivare ripristino configurazione"
4) Questo somiglia tanto ad un dialer
O16 - DPF: {605BF56B-B688-154C-885E-7B76EEB1338D} - http://archives.totalwebmasters.biz/it/ ... vizi02.exe
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Aiuto individuazione Virus

Messaggioda ziofil » ven mag 25, 2007 7:37 pm

maux ha scritto:O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {605BF56B-B688-154C-885E-7B76EEB1338D} - http://archives.totalwebmasters.biz/it/ ... vizi02.exe




Per me sta porcheria é da eliminare....
Avatar utente
ziofil
Bronze Member
Bronze Member
 
Messaggi: 894
Iscritto il: ven nov 11, 2005 12:12 pm
Località: Provincia di Ascoli Piceno


Messaggioda maux » ven mag 25, 2007 7:46 pm

crazy.cat ha scritto:3) Cerca negli articoli nostri "Come disattivare ripristino configurazione"

a cosa mi serve disattivare il ripristino configurazione?

crazy.cat ha scritto:4) Questo somiglia tanto ad un dialer
O16 - DPF: {605BF56B-B688-154C-885E-7B76EEB1338D} - http://archives.totalwebmasters.biz/it/ ... vizi02.exe

come devo fare per rimuoverlo?
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Messaggioda crazy.cat » ven mag 25, 2007 7:49 pm

maux ha scritto:
crazy.cat ha scritto:3) Cerca negli articoli nostri "Come disattivare ripristino configurazione"

a cosa mi serve disattivare il ripristino configurazione?

crazy.cat ha scritto:4) Questo somiglia tanto ad un dialer
O16 - DPF: {605BF56B-B688-154C-885E-7B76EEB1338D} - http://archives.totalwebmasters.biz/it/ ... vizi02.exe

come devo fare per rimuoverlo?


Ad eliminare questo virus
C:\_RESTORE\ARCHIVE
FS20.CAB
ArchiveType: CAB (Microsoft)
Freccia A0554055.CPY
[DETECTION] Is the Trojan horse TR/StartPage.aco.1

cancella la riga con hijackthis, cerca nel tuo pc se è presente il file servizi02.exe e poi svuota con ccleaner temp e temporanei di internet
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda maux » ven mag 25, 2007 7:58 pm

crazy.cat ha scritto:Ad eliminare questo virus
C:\_RESTORE\ARCHIVE
FS20.CAB
ArchiveType: CAB (Microsoft)
Freccia A0554055.CPY
[DETECTION] Is the Trojan horse TR/StartPage.aco.1

cancella la riga con hijackthis, cerca nel tuo pc se è presente il file servizi02.exe e poi svuota con ccleaner temp e temporanei di internet


ricapitolando:
1) disattivo ripristino configurazione
2) con hijackthis cancello la riga "C:\_RESTORE\ARCHIVE
FS20.CAB
ArchiveType: CAB (Microsoft)
Freccia A0554055.CPY
[DETECTION] Is the Trojan horse TR/StartPage.aco.1 "
3) elimino "servizi02.exe" svuotando temp e temporanei di internet con ccleaner.

esatto?
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Messaggioda crazy.cat » ven mag 25, 2007 8:08 pm

maux ha scritto:esatto?

No.

1) Giusto
2) sbagliato, il virus si toglie disattivando il ripristino e riavviando il pc.
3) Cancelli la riga con hijackthis, cerchi il file e pulisci con ccleaner.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda maux » sab mag 26, 2007 4:43 pm

crazy.cat ha scritto:1) Nelle varie opzioni di ie ci sono anche i controlli activex prova ad abbassare i vari livelli di protezione che trovi.


Ho provato a modificare il livello di protezione ma non mi consente di fare "applica"...come mai?
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Messaggioda maux » sab mag 26, 2007 5:04 pm

quando tento di modificare il livello, o non mi fa fare l'applica oppure mi restituisce l'errore:

ERROR
c:\windows\system\netcpl.cpl
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising