Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Il computer del capo....

Il computer del capo.... Opzioni
Topic Precedente · Topic Sucessivo
kacafuego
Inviato: Thursday, June 29, 2006 10:54:05 AM
Rank: Member

Iscritto dal : 6/29/2006
Posts: 0
Ciao a tutti, mi sono appena iscritto!!! Sono un dilettante con i computer e devo risolvere un problema + grosso di me: il computer del mio capo ha un dirottatore (almeno uno ) + diversi virus. Ho controllato con i due programmi che voi segnalate per questo problema,Hijack This e CWShredder. quest'ultimo mi da un dirottatore mentre quando inserisco il log di Hijack This nell'analizzatore in internet dello stesso Hijack mi risultano diversi problemi. Il punto è che io non ho la capacità di distinguere cosa devo eliminare e cosa no. Inoltere se fosse mio computer domestico mi lancerei a fixare tutto quello che mi viene indicato come pericoloso e in caso di errore grave formatterei il disco fisso ( cosa che mi tocca fare ogni due o tre mesi ); dato che è il computer del capo ho paura di togliere qualche cosa di fondamentale e questo computer non può essere formattato, ha dentro tutti i dati dello studio e tutti i collegamenti ai diversi siti come camera di commercio ecc... . Se vi posto il log di Hijack mi sapete dire cosa assolutamente è nocivo e che quindi necessariamente deve essere eliminato senza correre alcun rischio?
Vi ringrazio, ciao a tutti
kacafuego
Torna in alto
 
Sponsor
Inviato: Thursday, June 29, 2006 10:54:05 AM

 
Torna in alto
 
pidue
Inviato: Thursday, June 29, 2006 10:59:30 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Posta pure, e aspetta steven75

Edited by - pidue on 06/29/2006 11:00:30
Torna in alto
 
sarwad
Inviato: Thursday, June 29, 2006 10:59:36 AM
Rank: Member

Iscritto dal : 5/3/2006
Posts: 0
io ti consiglierei di lasciare il problema al capo. se indovini sei bravo ma se sbagli ti potrà dire chi ti ha autorizzato! segnala solo che il pc ha dei problemi che deve risolvere lui.
Torna in alto
 
kacafuego
Inviato: Thursday, June 29, 2006 11:14:36 AM
Rank: Member

Iscritto dal : 6/29/2006
Posts: 0
Grazie Pidue, appena posso andare sul computer del capo ve lo posto.
Grazie Sarvad del consiglio, anche io ci avevo pensato ma il problema è che a quanto pare non posso proprio rifiutare l'incarico.
Torna in alto
 
sarwad
Inviato: Thursday, June 29, 2006 11:31:41 AM
Rank: Member

Iscritto dal : 5/3/2006
Posts: 0
fagli comunque presente che non ti assumi nessuna responsabilità e possibilmente sistemalo con lui presente
Torna in alto
 
kacafuego
Inviato: Thursday, June 29, 2006 12:17:09 PM
Rank: Member

Iscritto dal : 6/29/2006
Posts: 0
Eccomi qui con il log di Hijack this

Logfile of HijackThis v1.99.1
Scan saved at 9.23.40, on 29/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programmi\F-Secure\Common\FSMA32.EXE
C:\Programmi\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programmi\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\F-Secure\Common\FCH32.EXE
C:\Programmi\F-Secure\Common\FAMEH32.EXE
C:\Programmi\F-Secure\Common\FNRB32.EXE
C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
C:\Programmi\F-Secure\Common\FIH32.EXE
C:\Programmi\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\F-Secure\Common\FSM32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programmi\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\WINDOWS\system32\siscmon.exe
C:\Programmi\C'è Posta\CPosta.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\FILECO~1\MICROS~1\Msinfo\OFFPROV.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\aguidetti\Desktop\DIROTTATORE\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pofwc.dll/sp.html#94115
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pofwc.dll/sp.html#94115
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {C9F8ED92-66FB-4B39-044F-7CA391A1660E} - vxdman.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\exokr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Class - {FCC29CF2-2126-1210-E059-E37290935DCC} - C:\WINDOWS\system32\ieoz32.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\exokr.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [ntsq32.exe] C:\WINDOWS\ntsq32.exe
O4 - HKLM\..\Run: [addiq32.exe] C:\WINDOWS\system32\addiq32.exe
O4 - HKLM\..\Run: [javath32.exe] C:\WINDOWS\javath32.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programmi\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programmi\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LOPTCON] trycrt.exe
O4 - HKLM\..\Run: [Uint32] TRPT.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sole 24 Ore Desktop] "C:\Programmi\Sistema24Fisco\Desktop.exe" /hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [KillAndClean] "C:\Programmi\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [Kargo] sysconf16.exe
O4 - HKCU\..\Run: [avpmondll] scanSYS.exe
O4 - HKCU\..\Run: [AliceSD] bhoserv.exe
O4 - Startup: C'è Posta.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: siscmon.lnk = ?
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26C1913E-F2D9-4D22-BE0B-EB0DD175FE70}: NameServer = 85.255.116.72,85.255.112.140
O17 - HKLM\System\CCS\Services\Tcpip\..\{92C1E8BD-CA51-4678-834D-C24335995741}: NameServer = 85.255.116.72,85.255.112.140
O17 - HKLM\System\CS1\Services\Tcpip\..\{26C1913E-F2D9-4D22-BE0B-EB0DD175FE70}: NameServer = 85.255.116.72,85.255.112.140
O17 - HKLM\System\CS2\Services\Tcpip\..\{26C1913E-F2D9-4D22-BE0B-EB0DD175FE70}: NameServer = 85.255.116.72,85.255.112.140
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\atljd.exe (file missing)
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programmi\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure\Common\FSMA32.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


Ditemi per favore quello che posso eliminare senza correre alcun pericolo, grazie ancora e ciao a tutti!!!
Torna in alto
 
alfonso
Inviato: Thursday, June 29, 2006 2:12:59 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao ,
esegui queste operazioni

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono.

==================================
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pofwc.dll/sp.html#94115
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pofwc.dll/sp.html#94115
-
R3 - URLSearchHook: (no name) - {C9F8ED92-66FB-4B39-044F-7CA391A1660E} - vxdman.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
-
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\exokr.dll
-
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
-
O2 - BHO: Class - {FCC29CF2-2126-1210-E059-E37290935DCC} - C:\WINDOWS\system32\ieoz32.dll (file missing)
-
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\exokr.dll
-
O4 - HKLM\..\Run: [ntsq32.exe] C:\WINDOWS\ntsq32.exe
O4 - HKLM\..\Run: [addiq32.exe] C:\WINDOWS\system32\addiq32.exe
O4 - HKLM\..\Run: [javath32.exe] C:\WINDOWS\javath32.exe
-
O4 - HKLM\..\Run: [LOPTCON] trycrt.exe
O4 - HKLM\..\Run: [Uint32] TRPT.exe
-
O4 - HKCU\..\Run: [Sole 24 Ore Desktop] "C:\Programmi\Sistema24Fisco\Desktop.exe" /hide
-
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
-
O4 - HKCU\..\Run: [KillAndClean] "C:\Programmi\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [Kargo] sysconf16.exe
O4 - HKCU\..\Run: [avpmondll] scanSYS.exe
O4 - HKCU\..\Run: [AliceSD] bhoserv.exe
-
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\atljd.exe (file missing)
==================================

Con la funzione CERCA di Windows, cerca ed elimina questi file,
==================================
pofwc.dll
sp.html
vxdman.dll
exokr.dll
ieoz32.dll
ntsq32.exe
addiq32.exe
javath32.exe
trycrt.exe
TRPT.exe
Desktop.exe
taskdir.exe
KillAndClean.exe
sysconf16.exe
scanSYS.exe
bhoserv.exe
atljd.exe
==================================


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui alla voce 8
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=170&SH=N

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym

Utilizza questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1041
Collaboratore Aiutamici
Torna in alto
 
kacafuego
Inviato: Thursday, June 29, 2006 9:24:40 PM
Rank: Member

Iscritto dal : 6/29/2006
Posts: 0
Ciao Alfonso, grazie per la risposta. Mi sembra un poco complicata ma tenterò ugualmente di seguire passo passo le istruzioni che mi suggerisci. Il problema del capo mi ha fatto venire il mal di capo!!!<img src=icon_smile_big.gif border=0 align=middle><img src=icon_smile_big.gif border=0 align=middle> Mi è venuto un dubbio però: i primi a rispondermi mi avevano suggerito di aspettare steven che però non mi ha risposto. Vista la complessita della tua risposta ho pensato che forse la tua competenza è fuori discussione e poi controllando le risposte ai problemi degli altri ho visto che tu sei spesso presente e spesso ti occupi di queste cose. Poi esiste anche un Alfonso che mi sembra di intuire sia il costruttore di questo sito. Sei tu? Mi posso fidare allora? non è che cancello metà dei clienti dello studio? Scusami per le domande poco diplomatiche ma non posso rischiare. Spero che tu capisca.
Ciao e grazie ancora!
Torna in alto
 
a.roselli
Inviato: Thursday, June 29, 2006 9:52:42 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,044
Steven è un carissimo amico che mi da una mano per risolvere questi problemi, se ci fai caso, nel documento delle istruzsioni per usare hijack ci sono i nomi delle persone di cui ti puoi fidare

alfonso e a.roselli sono sempre io

per quanto riguarda l'affidabilità di queste risposte, si da per certo che il sistema è danneggiato, a volte i consigli dati risolvono il problema, altre volte non servono a nulla, sopratutto se alla base ci sono i virus, che non si possono ne vedere ne correggere dalla lettura di un log, i virus infettano file legittimi del sistema

I consigli possono essere complicati se eseguiti per la prima volta, ma sono operazioni che chi ha un computer dovrebbe imparare obligatoriamente

quel log comunque è molto infetto, io ti consiglierei di formattare il disco fisso e reinstallare tutto

<img src="http://www.aiutamici.com/ftp/images/avvi1.gif" border=0><img src="http://www.aiutamici.com/ftp/images/avvi2.gif" border=0><img src="http://www.aiutamici.com/ftp/images/avvi3.gif" border=0><img src="http://www.aiutamici.com/ftp/images/avvi4.gif" border=0>
alfonso_aiutamici@hotmail.it
Torna in alto
 
kacafuego
Inviato: Thursday, June 29, 2006 10:30:10 PM
Rank: Member

Iscritto dal : 6/29/2006
Posts: 0
Ti ringrazio ancora per la risposta. Domani vado dal capo e gli riferisco. Grazie ancora e ciao
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Il computer del capo....


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.