Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

problema spy-bot Opzioni
Viky68
Inviato: Tuesday, December 21, 2004 1:00:13 AM

Rank: AiutAmico

Iscritto dal : 1/30/2003
Posts: 272
ciao,
ho un problema! Spy-bot quando ha finito la scansione nei risultati c'è sempre questo messaggio di errore:Errore durante la scansione!: Cabrotor (Datei C:\WINDOWS\win.ini kann nicht geöffnet werden. Impossibile accedere al file.
Il file è utilizzato da un altro processo) ()
il sistema mi è instabile ho gia' fatto tutte le scansioni che dice ALFONSO nella sua guida di protezione al pc!adesso provo a mandarti il log hijack se puoi controllalo.grazie
Logfile of HijackThis v1.98.2
Scan saved at 0.39.13, on 21/12/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\ROXIO\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WHEELMOUSE\WH_EXEC.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\DSLAGENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUMENTI\DOWNLOADS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O7 "EPUSB1:" /M "Stylus C64"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Ser (Copia 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P30 "EPSON Stylus C64 Ser (Copia 2)" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU"
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

POSSO CANCELLARE L'ULTIMA VOCE NON FACCIO SCANSIONI ON-LINE!
Sponsor
Inviato: Tuesday, December 21, 2004 1:00:13 AM

 
alfonso
Inviato: Tuesday, December 21, 2004 12:11:13 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Il log e pulito da spyware, ho cercato la parola Cabrotor e a quanto pare risulta essere un virus, per accertarti se hai un virus nel sistema fai una scansione on line da questo indirizzo
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym

nel caso trovi virus segnati nome del virus e nome del file infetto.

Collaboratore Aiutamici
Viky68
Inviato: Tuesday, December 21, 2004 11:59:24 PM

Rank: AiutAmico

Iscritto dal : 1/30/2003
Posts: 272
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Il log e pulito da spyware, ho cercato la parola Cabrotor e a quanto pare risulta essere un virus, per accertarti se hai un virus nel sistema fai una scansione on line da questo indirizzo
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym

nel caso trovi virus segnati nome del virus e nome del file infetto.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
OK ho fatto la scansione risultato NESSUN VIRUS il sistema è pulito.cosa devo fare? devo provare a disinstallare spy-bot e reinstallarlo?perfavore dimmelo tu!grazie<img src=icon_smile_sad.gif border=0 align=middle>
dead
Inviato: Wednesday, December 22, 2004 9:18:34 AM

Rank: AiutAmico

Iscritto dal : 9/20/2004
Posts: 1,600
Il Cabrotor è un trojan che apre una backdoor che permette operazioni molto pericolose, come spegnere Windows ed addirittura scaricare files dal tuo PC.
Il fatto che l'antivirus non rilevi nulla <i>potrebbe</i> essere che il trojan vero è proprio è stato già eliminato ed il problema che hai tu è solo un residuo.
Tuttavia vai qui http://www.f-secure.com/v-descs/cabrotor.shtml
e controlla manualmente che nessuno dei files o delle chiavi di registro menzionate siano presenti sul tuo PC.


Sono cosi avanti che quando guardo indietro vedo il futuro.
alfonso
Inviato: Wednesday, December 22, 2004 12:42:01 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
A quanto vedo dal log non utilizzi un programma Firewall, questo serve proprio a bloccare le porte di accesso hai Trojan, scarica e installa questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1184
leggi la descrizione.


Collaboratore Aiutamici
Viky68
Inviato: Thursday, December 23, 2004 12:02:10 AM

Rank: AiutAmico

Iscritto dal : 1/30/2003
Posts: 272
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Il Cabrotor è un trojan che apre una backdoor che permette operazioni molto pericolose, come spegnere Windows ed addirittura scaricare files dal tuo PC.
Il fatto che l'antivirus non rilevi nulla <i>potrebbe</i> essere che il trojan vero è proprio è stato già eliminato ed il problema che hai tu è solo un residuo.
Tuttavia vai qui http://www.f-secure.com/v-descs/cabrotor.shtml
e controlla manualmente che nessuno dei files o delle chiavi di registro menzionate siano presenti sul tuo PC.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
Sono andato sul sito di f-secure ma nel registro di sistema come specificato nel sito che chiave è che devo cercare? forse load power profile ?non so bene l'inglese grazie
dead
Inviato: Thursday, December 23, 2004 8:20:39 AM

Rank: AiutAmico

Iscritto dal : 9/20/2004
Posts: 1,600
Oltre ai files
CaBrONaToR.exe
CaBrONeDiT.exe
8======D.exe
ASDAPI.EXE

Nelle chiavi: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

devi cercare il valore:

LoadPowerProfile

Per semplicità cercalo su tutto il registro con la funzione Trova...

Già che ci sei prova a fare anche un'altra cosa:
da Start > Esegui: cmd.exe
Nella finestra che ti si aprirà fai:
cd\ (+invio)
cd C:\WINDOWS (+invio)
type win.ini (+invio)
Se ti si apre, clicca col DX sulla finestra, scegli "seleziona tutto" e fai Ctrl+C
poi apri il Notepad, fai Ctrl+V e posta tutto qui, cosi vediamo cos'ha che non va il win.ini


Edited by - dead on 12/23/2004 08:39:49


Sono cosi avanti che quando guardo indietro vedo il futuro.
Viky68
Inviato: Thursday, December 23, 2004 11:39:39 PM

Rank: AiutAmico

Iscritto dal : 1/30/2003
Posts: 272
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Oltre ai files
CaBrONaToR.exe
CaBrONeDiT.exe
8======D.exe
ASDAPI.EXE

Nelle chiavi: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

devi cercare il valore:

LoadPowerProfile

Per semplicità cercalo su tutto il registro con la funzione Trova...

Già che ci sei prova a fare anche un'altra cosa:
da Start > Esegui: cmd.exe
Nella finestra che ti si aprirà fai:
cd\ (+invio)
cd C:\WINDOWS (+invio)
type win.ini (+invio)
Se ti si apre, clicca col DX sulla finestra, scegli "seleziona tutto" e fai Ctrl+C
poi apri il Notepad, fai Ctrl+V e posta tutto qui, cosi vediamo cos'ha che non va il win.ini


Edited by - dead on 12/23/2004 08:39:49
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
ciao,ho trovato nelle chiavi di registro "load power profile"(nome)dati:"Rundll32exe.powrprof.dll,LoadCurrentPwrScheme"sia in Run che in Run Service cosa devo fare?guarda che ho provato a fare ESEGUI:cmd.exe ma no va mi dice che impossibile trovare il file "cmd" o uno dei suoi componenti.Verificare che il percorso e il nome del file siano corretti e che tutte le librerie necessarie siano disponibili.
dead
Inviato: Friday, December 24, 2004 1:01:33 AM

Rank: AiutAmico

Iscritto dal : 9/20/2004
Posts: 1,600
Questa volta mi hai fatto faticare <img src=icon_smile.gif border=0 align=middle>, ma alla fine ho trovato qui http://www.viruslist.com/en/viruses/encyclopedia?virusid=42968 una corrispondenza tra il Cabrotor della f-secure ed il Backdoor.Cabro della Symantec.
Sul sito della Symantec spiegamo chiaramente:

Delete the value

LoadPowerProfile windir%\ASDAPI.exe

from the registry keys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Quindi il load power profile powrprof.dll che hai trovato tu non va cancellato (è il profilo di impostazione delle opzioni di risparmio energetico).
Se non hai trovato altre tracce il tuo PC dovrebbe essere libero da virus.

Per quanto riguarda il cmd.exe è semplicemente la finestra di prompt del dos.
Se non riesci ad aprirla da Start > Esegui puoi aprirla da:
Start > Tutti i ptogrammi > Accessori > prompt dei comandi (o prompt di msDos su win98, credo).
Una volta aperta esegui la stessa procedura di copia ed incolla che ti ho descritto sopra.










Sono cosi avanti che quando guardo indietro vedo il futuro.
Viky68
Inviato: Friday, December 24, 2004 2:20:59 PM

Rank: AiutAmico

Iscritto dal : 1/30/2003
Posts: 272
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Questa volta mi hai fatto faticare <img src=icon_smile.gif border=0 align=middle>, ma alla fine ho trovato qui http://www.viruslist.com/en/viruses/encyclopedia?virusid=42968 una corrispondenza tra il Cabrotor della f-secure ed il Backdoor.Cabro della Symantec.
Sul sito della Symantec spiegamo chiaramente:

Delete the value

LoadPowerProfile windir%\ASDAPI.exe

from the registry keys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Quindi il load power profile powrprof.dll che hai trovato tu non va cancellato (è il profilo di impostazione delle opzioni di risparmio energetico).
Se non hai trovato altre tracce il tuo PC dovrebbe essere libero da virus.

Per quanto riguarda il cmd.exe è semplicemente la finestra di prompt del dos.
Se non riesci ad aprirla da Start > Esegui puoi aprirla da:
Start > Tutti i ptogrammi > Accessori > prompt dei comandi (o prompt di msDos su win98, credo).
Una volta aperta esegui la stessa procedura di copia ed incolla che ti ho descritto sopra.








<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
GRAZIE DELLA BELLA NOTIZIA (scusami se hai dovuto faticare)il prompt di ms-dos si apre ma con i valori che mi hai detto di digitare non va!il mio sistema operativo è windows 98se ho gia' provato a digitare degli altri valori ma niente(al posto di windows ho aggiunto 98)ti faccio i miei migliori auguri di BUON NATALE grazie
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.