PDA

Visualizza versione completa : Pagine web che si aprono da sole


imothep
06-02-2008, 12.40.41
Ciao a tutti ho un problema da ieri si aprono pagine web da sole di pubblicita' o quelle che ho nella lista preferiti, poi anche il mouse spesso va a scatti come mai? Grazie

Alhazred
06-02-2008, 13.00.39
Controlla se hai qualche spyware o roba simile con adaware e spybot search&destroy.

imothep
06-02-2008, 13.23.54
Fatto Alh ma niente non ho nulla.

crazy.cat
06-02-2008, 15.00.55
Vediamo un log della scansione di hijackthis.

che browser utilizzi?

imothep
06-02-2008, 23.20.53
Ciao vi rispondo solo adesso per ragioni di lavoro. vi posto il log. Grazie Crazy.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.19.52, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\cFosSpeed\spd.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe
C:\Programmi\Messy\bin\MessyHelper.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\eMule\emule.exe
C:\Programmi\Crawler\Toolbar\CToolbar.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\agent.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe" -scheduler
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Messy] C:\Programmi\Messy\bin\MessyHelper.exe /RunFromStartup
O4 - HKLM\..\Run: [Drive Software Does Noun] C:\Documents and Settings\All Users\Dati applicazioni\Extra Audio Drive Software\Amok team.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [DateLess] C:\DOCUME~1\micro\DATIAP~1\WAITMO~1\dupe once.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{13EBA7DC-E7FF-4D0B-BCD1-6AE170FCFA81}: NameServer = 85.37.17.9 85.38.28.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{9796803A-209F-4066-A98A-0B3D57CC7A00}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{13EBA7DC-E7FF-4D0B-BCD1-6AE170FCFA81}: NameServer = 85.37.17.9 85.38.28.75
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: d3dim32 - C:\WINDOWS\SYSTEM32\d3dim32.dll
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programmi\cFosSpeed\spd.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: ServiceLayer ServiceLayerVSS (ServiceLayerVSS) - Unknown owner - C:\WINDOWS\system32\3com_dmib.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: VideoAcceleratorService - Unknown owner - C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe (file missing)
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 8404 bytes

Alhazred
06-02-2008, 23.37.32
File mancante, si può togliere
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Sospetto, se non lo conosci toglilo
O4 - HKLM\..\Run: [Messy] C:\Programmi\Messy\bin\MessyHelper.exe /RunFromStartup

come sopra
O4 - HKLM\..\Run: [Drive Software Does Noun] C:\Documents and Settings\All Users\Dati applicazioni\Extra Audio Drive Software\Amok team.exe

come sopra
O4 - HKCU\..\Run: [DateLess] C:\DOCUME~1\micro\DATIAP~1\WAITMO~1\dupe once.exe

Completamente sconosciuto ad Hijack, se non lo conosci toglilo (se serviva può essere ripristinato col backup che genera automaticamente hijack)
O20 - Winlogon Notify: d3dim32 - C:\WINDOWS\SYSTEM32\d3dim32.dll

File mancante, puoi toglierlo
O23 - Service: ServiceLayer ServiceLayerVSS (ServiceLayerVSS) - Unknown owner - C:\WINDOWS\system32\3com_dmib.exe (file missing)

come sopra
O23 - Service: VideoAcceleratorService - Unknown owner - C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe (file missing)

Se sai di cosa si tratta ok, altrimenti toglilo
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

Ci sarebbero poi delle voci riguardanti "Crawler tool bar" che hijack ritiene sospette, ma dovrebbe essere la toolbar per la ricerca su più motori contemporanamente, giusto?

imothep
06-02-2008, 23.50.44
Non so Al mi trovi impreparato, il tutto si e' manifestato ieri dopo che ho istallato spybot.

Alhazred
07-02-2008, 00.07.38
Intanto rimuovi le voci che ho lasciato nel quote, riavvia e vedi se il problema resta o sparisce.

imothep
07-02-2008, 00.13.57
Ok provo!

imothep
07-02-2008, 00.48.24
Grazie Al sembra che per il momento il problema sia risolto!! Tnx.

crazy.cat
07-02-2008, 09.11.16
Credo che tu abbia anche un altro "ospite"

C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe

Fai una scansione con questo
http://noahdfear.geekstogo.com/FindAWF.exe
e posta il risultato.

imothep
07-02-2008, 09.51.30
Giorno Crazy scusa la poca conoscenza qual'e' il numero per fare la scansione?

imothep
07-02-2008, 09.53.45
Tra le altre cose le pagine continuano ad aprirsi " casino', offerte viaggi ecc...

imothep
07-02-2008, 10.02.46
Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\PROGRA~1\CFOSSP~1\BAK

0 File 0 byte
2 Directory 15.738.019.840 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\PROGRA~1\ESET\BAK

17/11/2007 13.52 917.504 nod32kui.exe
1 File 917.504 byte
2 Directory 15.738.019.840 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 15.738.015.744 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

18/06/2007 14.10 271.360 LaunchApplication.exe
1 File 271.360 byte
2 Directory 15.738.015.744 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\PROGRA~1\WINDOW~4\MESSEN~1\BAK

0 File 0 byte
2 Directory 15.738.015.744 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\PROGRA~1\ADOBE\ACROBA~2.0\READER\BAK

30/03/2006 16.45 313.472 AdobeUpdateManager.exe
1 File 313.472 byte
2 Directory 15.738.015.744 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK

17/12/2007 17.52 14.348 ISUSPM.exe
1 File 14.348 byte
3 Directory 15.738.015.744 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

25/09/2007 00.11 132.496 jusched.exe
1 File 132.496 byte
2 Directory 15.738.015.744 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6412-9D54

Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK\BAK

20/03/2006 16.34 213.936 ISUSPM.exe
1 File 213.936 byte
2 Directory 15.738.015.744 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

949376 12 Jan 2008 "C:\Programmi\ESET\nod32kui.exe"
917504 17 Nov 2007 "C:\Programmi\ESET\bak\nod32kui.exe"
271360 18 Jun 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe"
14348 17 Dec 2007 "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"
10256 17 Dec 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe"
14348 17 Dec 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe"
213936 20 Mar 2006 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe"
10256 17 Dec 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe"
14348 17 Dec 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe"
213936 20 Mar 2006 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe"
77824 12 Oct 2007 "C:\Programmi\Java\jre1.6.0\bin\jusched.exe"
14348 17 Dec 2007 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"
10256 17 Dec 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe"
14348 17 Dec 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe"
213936 20 Mar 2006 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe"


end of report

crazy.cat
07-02-2008, 10.23.58
Fai controllare questo file C:\Programmi\ESET\nod32kui.exe sul sito www.virustotal.com e vedi se è infetto, risulta in cartella bak ma non corrisponde con le date degli altri.
949376 12 Jan 2008 "C:\Programmi\ESET\nod32kui.exe"
917504 17 Nov 2007 "C:\Programmi\ESET\bak\nod32kui.exe"

Se è infetto aggiungi questa riga ai files to move
C:\Programmi\ESET\bak\nod32kui.exe | C:\Programmi\ESET\nod32kui.exe

Scarica Avenger http://swandog46.geekstogo.com/avenger.zip
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:


Files to move:
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe | C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

Files to delete:
C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe



Questa riga deve essere unita non ci devono essere spazi dopo il . (deve essere ISUSPM.exe)
C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà

imothep
07-02-2008, 12.11.08
File nod32kui.exe ricevuto il 2008.01.26 19:22:19 (CET)
Stato corrente: finito

Risultato: 0/32 (0.00%)
Questo il risultato Crazy.

crazy.cat
07-02-2008, 12.17.30
Allora applica lo script che ti ho dato e dopo il riavvio vedi come va il pc.

imothep
07-02-2008, 12.49.20
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\cxqmiaym

*******************

Script file located at: \??\C:\Documents and Settings\dwfmcboc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe|C:\Programmi \Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe completed successfully.


File C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe not found!
File move operation C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe|C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe failed!

Could not process line:
C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe|C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
Status: 0xc0000034

File move operation C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe| C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe completed successfully.
File C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

crazy.cat
07-02-2008, 13.14.10
Ti avevo scritto


Questa riga deve essere unita non ci devono essere spazi dopo il . (deve essere ISUSPM.exe)
C:\Programmi\File comuni\InstallShield\UpdateService\bak\bak\ISUSPM. exe


Ripeti lo script con questa riga e togli lo spazio dopo il primo . non capisco perchè viene fuori in questo modo.

Files to move:
c:\programmi\file comuni\installshield\updateservice\bak\bak\isuspm. exe | C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe

imothep
07-02-2008, 23.05.49
Ciao Crazy e ribadisco il grazie per la tua assistenza, sembra anche che ho citato di non essere molto esperto in materia. Detto cio' sto provando ad incollare come da te detto ma lo incollo e faccio done e mi esce un messaggio di errore??

Davide71
09-02-2008, 12.35.32
Ciao,

(chiedo) mai hai abilitato la visualizzazione delle estensioni dei tipi di file conosciuti, nonche' la visualizzazione dei file nascosti e di sistema?

byezzz

Giorgius
09-02-2008, 14.01.09
Sembra un RootKit, quindi gli eventuali files maligni sono nascosti molto bene all'interno del registro e dentro la cartella "impostazioni Locali" -> "Dati applicazioni" del tuo account utente Winzozzo...

Usa il tool gratuito "Sophos Anti-Rootkit 1.3.1", disabilitando prima dell'utilizzo, l'eventuale Antivirus/Antispyware e la connessione Internet del tuo Pc.
Download (Richiede registrazione OnLine): http://www.sophos.it/products/free-...otkit/download/

Alla fine della scansione scriviti i files .exe che ha rilevato il tool perchè una volta rimossi, dovrai fare una ricerca attraverso "Esplora Risorse" per eliminare manualmente eventuali files prefetch infetti...

imothep
09-02-2008, 18.00.37
Ciao a voi ragazzi e grazie per la vs disponibilita' e saluto anche Crazy, chiedendogli di portare un po di pazienza vista la mia poca esperienza. Provero' col Sophos. Grazie.

imothep
09-02-2008, 18.02.50
Giorgius la scansione ha dato questo risultato. Windows registry
Description: Hidden registry value
Location: \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\A VG7_Run
Removable: No
Notes: (type 1, length 86) "C : \ P R O G R A ~ 1 \ G r i s o f t \ A V G 7 \ a v g w . e x e / R " ... "N C E "

Giorgius
09-02-2008, 19.26.04
All'apparenza non hai nessun RootKit conosciuto, se usi MSN prova a fare la scansione con i tools spagnoli:

LiveKill Clean Messenger RC3 Build 1256
http://www.livekill.org/includes/download.php?id=3

e

MSNCleaner 1.5.6
http://msncleaner.softonic.com/

Occhio che il primo ha 2 files autoestraenti, di cui uno è il .NET Framework 2.0
Se già c'è l'hai installato passa all'autoestraente 2.

Giorgius
09-02-2008, 19.38.46
In caso di nessun responso-rimozione, usa quello che definisco a volte lo "stura lavandini" per Winzozzone XP, il "FixWareout"
http://downloads.subratam.org/Fixwareout.exe

Funziona come il tool AntiRootkit della Prevx, nato per rimuovere una specifica schifezza maligna, utile per rintracciare altre schifezze nascoste, richiede il riavvio del sistema e successivamente esegue la scansione in background, con successivo rapportino finale...

imothep
09-02-2008, 19.54.42
ok provo Giorgius.

imothep
09-02-2008, 19.58.13
Tra l'altro Giorgius adesso mi capita anche che aprendo cartelle o pagine web si bloccano e nn si chiudono e devo riavviare!!!

Giorgius
09-02-2008, 20.09.39
Dal report di Hijackthis ho visto che potrebbe esserci l'Adware "Lop.com" all'interno del tuo sistema, quindi fai scansione con questa specifica utility:
http://www.spywareedge.net/nolop/NoLop.exe

Scansione OnLine per verificare l'effettiva rimozione:
http://info.prevx.com/downloadcsi.asp

imothep
09-02-2008, 20.45.51
Livekill niente, 0 virus.Adesso provo con queste altre soluzioni possibili. Intanto ti ringrazio.

imothep
09-02-2008, 21.05.16
Search & destroy ha trovato questo : "C:\WINDOWS\TASKS\AAA12E5E918AA2B2.JOB