PDA

Visualizza versione completa : Due cose antipatiche


nino48
20-10-2004, 16.19.04
In questi ultimi tre giorni ho sostenuto una accanita lotta con virus, worm, dialer e menate simili :S che hanno infettato il portatile di mio figlio, un Acer 1604 LC, con XP Home. Sembra, ma non troppo, che sia riuscito a spuntarla usando i vari Stinger, Cleaner, SpyBot, varie scansioni online, mentre quel maledetto Norton , aggiornato, quasi dormiva :bed . Immaginate che in certi momenti mi trovavo in TaskManager più di 300 processi in esecuzione e la CPU al 100%, praticamente il PC inutilizzabile, non parliamo di navigare in Internet. Comunque, restano due problemi che ancora non riesco a risolvere, il primo:
ormai apparentemente riesco a navigare, ma mano mano che apro i siti noto un progressivo rallentamento fino ad arrivare alla impossibilità di aprire le pagine, o di riuscire ad aprirle dopo ripetuti tentativi, comunque spesso le pagine sono incomplete. Che succede?? E'l'Explorer danneggiato ho sarà rimasto ancora qualcosa?

La seconda cosa:

Ho sdradicato il maledetto Norton (W), ho scaricato l'AVG che quando tento di installarlo mi apre questa finestra: "C:\Windows\System32\Autoxec.NT. Il file non è adatto all'esecuzione di applicazioni DOS e Microsoft Windows. Scegliere "Chiudi" per terminare l'applicazione od "Ignora"". Qualsiasi delle due scelgo l'installazione viene interrotta. :anger: Non è che quell' Autoexec.NT è fasullo o modificato da qualche verme? :mm: Scusate se sono stato molto prolisso, ma ho cercato di essere il più chiaro possibile. Vi abbraccio tutti e vi ringrazio per l'aiuto che vorrete darmi. Nino

crazy.cat
20-10-2004, 16.25.42
Questo è l'autoexec.nt di un xp home.Prova a controllare con il tuo perchè può mancare o essere danneggiato.

@echo off
REM AUTOEXEC.BAT non viene utilizzato per inizializzare l'ambiente MS-DOS.
REM AUTOEXEC.NT viene utilizzato per inizializzare l'ambiente MS-DOS a meno che
REM non sia specificato un file di avvio differente in un PIF di applicazione.
REM Installazione di estensioni CD ROM
lh %SystemRoot%\system32\mscdexnt.exe
REM Installazione di redirector di rete (caricare prima di dosx.exe)
lh %SystemRoot%\system32\redir
REM Installazione del supporto DPMI
lh %SystemRoot%\system32\dosx

Prova a mandare qui il log della scansione di Hijackthis e così vediamo se può essere avanzato qualche cosa.

nino48
20-10-2004, 16.54.09
Eccoli. Devo aggiungere che l'Autoexec.NT me lo trovo C:\386 in C:\WINDOWS\repair,in risorse del computer ed in C:\Documenti and Setting\Nome Utente\Recent. Grazie per la velocità.


Logfile of HijackThis v1.98.2
Scan saved at 16.37.56, on 20/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Downlo~1\vgrjtr6\ldvbj.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\serviced.exe
C:\WINDOWS\System32\svcmgt.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\WINDOWS\System32\wuamgrder.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\updmgr.exe
C:\Documents and Settings\Fra\Dati applicazioni\nlrn.exe
D:\Antivirus vari\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arces.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.arces.it/
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\System32\XMVBBU~1.DLL
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Wlan Driver] serviced.exe
O4 - HKLM\..\Run: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunServices: [Wlan Driver] serviced.exe
O4 - HKLM\..\RunServices: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\RunServices: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunOnce: [Wlan Driver] serviced.exe
O4 - HKLM\..\RunOnce: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Wlan Driver] serviced.exe
O4 - HKCU\..\Run: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\Run: [Snrc] C:\Documents and Settings\Fra\Dati applicazioni\nlrn.exe
O4 - HKCU\..\RunOnce: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\RunOnce: [Wlan Driver] serviced.exe
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097864431875
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab



@echo off

REM AUTOEXEC.BAT non viene utilizzato per inizializzare l'ambiente MS-DOS.
REM AUTOEXEC.NT viene utilizzato per inizializzare l'ambiente MS-DOS a meno che
REM non sia specificato un file di avvio differente in un PIF di applicazione.

REM Installazione di estensioni CD ROM
lh %SystemRoot%\system32\mscdexnt.exe

REM Installazione di redirector di rete (caricare prima di dosx.exe)
lh %SystemRoot%\system32\redir

REM Installazione del supporto DPMI
lh %SystemRoot%\system32\dosx

REM La riga seguente abilita il supporto Sound Blaster 2.0 su NTVDM.
REM Il comando per l'impostazione dell'ambiente BLASTER è il seguente:
REM SET BLASTER=A220 I5 D1 P330
REM dove:
REM A specifica la porta I/O di base del Sound Blaster
REM I specifica la riga del livello di interrupt
REM D specifica il canale DMA a 8 bit
REM P specifica la porta I/O di base MPU-401
REM T specifica il tipo di scheda Sound Blaster
REM 1 - Sound Blaster 1.5
REM 2 - Sound Blaster Pro I
REM 3 - Sound Blaster 2.0
REM 4 - Sound Blaster Pro II
REM 6 - SOund Blaster 16/AWE 32/32/64
REM
REM Il valore predefinito è A220 I5 D1 e P330. Se le opzioni non vengono
REM specificate, verrà utilizzato il valore predefinito. (NOTA: poiché tutte
REM le porte sono virtuali, non occorre che le informazioni qui fornite corrispondano
REM alle reali impostazioni dell'hardware.) NTVDM supporta soltanto Sound Blaster 2.0.
REM L'opzione T deve essere impostata a 3, se specificata.
SET BLASTER=A220 I5 D1 P330 T3

REM Per disabilitare il supporto Sound Blaster 2.0 su NTVDM, specificare un indirizzo
REM di porta I/O di base del Sound Blaster non valido. Ad esempio:
REM SET BLASTER=A0

crazy.cat
20-10-2004, 17.09.46
Prova a controllare l'autoexec.nt che hai in c:\i386 se è uguale al mio copialo nella directory C:\Windows\System32\
Hai molti exe poco conosciuti, per un paio mi manda su siti giapponesi o tedeschi.
Ti consiglierei questa soluzione,ti permette di fare uno scan da cd o floppy di boot così dovresti riuscire ad ammazzare tutto quello che resta.
http://www.zanezane.net/articoli.asp?id=187

Le voci qui sotto sono molto sospette

C:\WINDOWS\Downlo~1\vgrjtr6\ldvbj.exe
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\System32\XMVBBU~1.DLL

O4 - HKLM\..\Run: [Wlan Driver] serviced.exe
O4 - HKLM\..\Run: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\Run: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunServices: [Wlan Driver] serviced.exe
O4 - HKLM\..\RunServices: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\RunServices: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunOnce: [Wlan Driver] serviced.exe
O4 - HKLM\..\RunOnce: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\Run: [Wlan Driver] serviced.exe
O4 - HKCU\..\Run: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\Run: [Snrc] C:\Documents and Settings\Fra\Dati applicazioni\nlrn.exe
O4 - HKCU\..\RunOnce: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\RunOnce: [Wlan Driver] serviced.exe

nino48
20-10-2004, 20.22.24
Allora.....ho fatto la scansione con Cleanbot, come da te consigliato, e mi ha trovato altre schifezze :S tipo Sdbot.worm, IRC/Flod e per concludere Mydoom. Chiaramento ha ripulito il tutto. Per adesso sto navigando e sembra che tutto sia ritornato normale :act: speriamo bene.

Per quanto riguarda l'Autoexec.NT è perfettamente uguale a quello tuo, a meno di quelle altre righe che fanno riferimento alla Sound Blaster, lo puoi vedere nel mio precedente post. Pensi che lo posso copiare in System 32??. Grazie per l'aiuto e per la pazienza. Nino

nino48
20-10-2004, 20.37.08
Mi sono rallegrato troppo presto :anger: sono ritornati i rallentamenti nella navigazione, fino alla apertura di pagine incomplete, sto scrivendo con un altro PC :anger: Mi sembrerebbe più che altro un problema di Explorer, può qualcuno dei virus avere sfasciato qualcosa di Explorer e quindi farlo impappinare durante la navigazione??? Non vorrei arrivare alla formattazione, per cui aspetto qualche ulteriore consiglio. Sempre GRAZIE da Nino.

crazy.cat
21-10-2004, 08.07.09
l'autoexec.nt ricopialo pure in windows\system.
Ricontrolla con hijackthis se sono ricomparse delle voci strane.
Reinstalla internet explorer 6 sp1 per sicurezza.
Le patch di sicurezza di windows update sono installate tutte?

nino48
25-10-2004, 18.06.17
Ciao "crazy.cat", scusami se non mi sono fatto sentire prima, ma ho avuto altro genere di problemi. Venendo al mio problema, ho reinstallato Explorer, mi sono collegato a Windows Update ed ho scaricato tutte le patch possibili, ho fatto l'ennesima ripassata con CleanBot, che non ha trovato più nulla, ho ricontrollato con hijackthis, che mi dà tutto pulito, ma continuo ad avere il solito problema di rallentamento nella navigazione Internet, fino al blocco. Insomma il sistema sembra pulito, tantè che nell'uso normale va in maniera perfetta, solo quando vado in Internet si presentano nuovamente i problemi. Altri suggerimenti??? Grazie per la pasienza vi abbraccio tutti. Nino.

nino48
25-10-2004, 18.08.17
P.S. mi sono scordato di dire che l'Autoexec è andato bene e mi ha permesso di installare l'AVG. By.

Lionsquid
27-10-2004, 00.19.54
ma hai rimosso TUTTE le le linee segnalate da crazy.cat?? C'era ancora un bel pò di spazzatura....

ti consiglio di procedere con altri tools...

spybot o adaware (o entrambi), verifica l'impegno di memoria del processo IEXPLORE.EXE ... svuota, manualmente è meglio, tutti i file temp. di internet,...installa SpywareBlaster per bloccare ulteriori intrusioni automatiche

riposta il log di hijackthis.... una seconda controllata non farà male

nino48
27-10-2004, 16.40.39
Eccolo:
Logfile of HijackThis v1.98.2
Scan saved at 16.30.05, on 27/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\serviced.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\wuamgrder.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\svcmgt.exe
C:\WINDOWS\System32\winapi32.exe
C:\WINDOWS\System32\svcmgt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Utilità Pulizia\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arces.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.arces.it/
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Wlan Driver] serviced.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [MSNMGR] winapi32.exe
O4 - HKLM\..\Run: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\Run: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\RunServices: [Wlan Driver] serviced.exe
O4 - HKLM\..\RunServices: [MSNMGR] winapi32.exe
O4 - HKLM\..\RunServices: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\RunServices: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\RunOnce: [Wlan Driver] serviced.exe
O4 - HKLM\..\RunOnce: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Wlan Driver] serviced.exe
O4 - HKCU\..\Run: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\Run: [MSNMGR] winapi32.exe
O4 - HKCU\..\RunServices: [MSNMGR] winapi32.exe
O4 - HKCU\..\RunOnce: [Wlan Driver] serviced.exe
O4 - HKCU\..\RunOnce: [Microsoft Support Service] svcmgt.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097864431875
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7D26B42-A93E-4B09-A52B-04F3B00D1CE6}: NameServer = 80.21.193.22 151.99.125.1

Lionsquid
27-10-2004, 19.06.14
Originariamente inviato da nino48
Eccolo:
Logfile of HijackThis v1.98.2
Scan saved at 16.30.05, on 27/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\serviced.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
xx C:\WINDOWS\System32\wuamgrder.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\svcmgt.exe
C:\WINDOWS\System32\winapi32.exe (ho qualche dubbio)
C:\WINDOWS\System32\svcmgt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Utilità Pulizia\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arces.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.arces.it/
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Wlan Driver] serviced.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [MSNMGR] winapi32.exe
O4 - HKLM\..\Run: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\Run: [Windows Automatic Update] wuamgrder.exe questo è sicuramente PESTE!!
O4 - HKLM\..\RunServices: [Wlan Driver] serviced.exe
O4 - HKLM\..\RunServices: [MSNMGR] winapi32.exe
O4 - HKLM\..\RunServices: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\RunServices: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\RunOnce: [Wlan Driver] serviced.exe
O4 - HKLM\..\RunOnce: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Wlan Driver] serviced.exe
O4 - HKCU\..\Run: [Microsoft Support Service] svcmgt.exe
O4 - HKCU\..\Run: [MSNMGR] winapi32.exe
O4 - HKCU\..\RunServices: [MSNMGR] winapi32.exe
O4 - HKCU\..\RunOnce: [Wlan Driver] serviced.exe
O4 - HKCU\..\RunOnce: [Microsoft Support Service] svcmgt.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097864431875
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7D26B42-A93E-4B09-A52B-04F3B00D1CE6}: NameServer = 80.21.193.22 151.99.125.1


non ci siamo...

le voci da rimuovere sono ancora là... quindi... o non le hai rimosse... oppure si sono ricreate al primo accesso al web....

Svuota MANUALMENTE i file temporanei, segando la cartella se necessario, poi procedi con procexp a rimuovere (terminare) i processi attivi sospetti, poi con hijackthis le rimuovi definitivamente...

se hai qualche dubbio vedi qui se trovi qualche risposta > http://www.wintricks.it/faq/sicurezza_web.html

in rosso quelli che ritengo FORTEMENTE sospetti

in arancio quelli dubbi, ma sospetto siano porcheria visto che sono infiltrate ovunque.... troppo infiltrate per essere in buonafede ;)
(non solo... MSNMGR non ha niente a che vedere con un winapi32.exe :S )

nino48
28-10-2004, 16.27.37
Finalmente sembra, stavolta realmente, che tutto sia tornato a posto. Quel maledetto (W) "wuamgrder.exe" è stato duro a morire, immaginate che anche in modalità provvisoria non si faceva trovare. Solo in modalità provvisoria e dos sono riuscito ad ucciderlo. E' ovvio che ho killato tutte le altre porcherie segnalate dal log di HiackThis e finalmente sto navigando da circa 5 minuti senza intoppi. Una cosa è certa: ormai riuscire a navigare con una certa tranquillità è una impresa.

Bene, ormai da anni frequento questo forum, è posso asserire senza ombra di smentita che in esso si trovano sempre degli amici che ti aiutano sempre a sbrogliare le intrigate matasse di tutto ciò che riguarda i PC. (D) (D)

Questa volta un grazie particolare va a "crazy.cat" ;act: :act: ed a "Lionsquid" :act: :act:

Ciao a tutti e grazie sempre.

Lionsquid
28-10-2004, 20.57.47
Originariamente inviato da nino48
..cut...

Una cosa è certa: ormai riuscire a navigare con una certa tranquillità è una impresa.

...cut...

... si trovano sempre degli amici che ti aiutano sempre a sbrogliare le intrigate matasse di tutto ciò che riguarda i PC.

...cut...

Ciao a tutti e grazie sempre.

;) contento per te, chi persevera ottiene! (Y)


...su questo non ho dubbi, magari si può essere più o meno fortunati a beccare l'amico che ha la dritta giusta... ma non manca mai la disponibilità ;)

Ciao!

nino48
29-10-2004, 17.09.07
Ciao Lionsquid, solo adesso noto che siamo cointerrani, se la cosa non ti dispiace, quando ti capiterà di venire a Palermo o quando capiterà a me di venire a Trapani, sentiamoci per prendere insieme un caffe od una birra. Ti abbraccio Nino. (D) (D) (D)

Lionsquid
29-10-2004, 19.13.32
Volentieri (D)

Ciao