Un file che non si trova - Sicurezza VIRUS

Benvenuto Ospite

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Un file che non si trova

Un file che non si trova

Opzioni

Topic Precedente · Topic Sucessivo

domino

Inviato: Saturday, March 19, 2005 9:48:39 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16

Saluti a tutti,cerco un aiuto. Alla scansione dell'antivirus mi viene rilevato questo file "C:\WINDOWS\Downloaded Program Files\SAHUninstall_.exe" e dice che è una minaccia Adware ma l'eliminazione non è riuscita. Lo vado a cercare dentro la cartella e non lo trovo, con la ricerca il file non esiste. Prima di questa scansione ne ho fatte altre due, una con Spybot Search e una con Ad-Aware eliminando certi file.Mi potete dare qualche consiglio?
Vi saluto cordialmente. Renato

Torna in alto

Sponsor

Inviato: Saturday, March 19, 2005 9:48:39 PM

Torna in alto

alfonso

Inviato: Saturday, March 19, 2005 10:45:49 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132

Vai a questo indirizzo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175

e segui i consigli descritti, in particolare disattiva il ripristino di configurazione e fai la scansione antivirus in modalità provvisoria

poi inviami il log di Hijack.

Collaboratore Aiutamici

Torna in alto

domino

Inviato: Monday, March 21, 2005 12:49:12 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16

Ciao Alfonso e grazie.
Ho fatta la scansione antivirus in modalità provvisoria ed è risultata uguale all'altra.
Poi ho fatto questo che ti spedisco.
Saluti Renato

Logfile of HijackThis v1.99.1
Scan saved at 12.37.53, on 21/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmon.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Messenger\msmsgs.exe
C:\DOCUME~1\Renato\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/home/index_nf.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SplashDisplayer] C:\WINDOWS\System32\ISTHTB.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Yahoo Update] Yahoo.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\RunServices: [Yahoo Update] Yahoo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo Update] Yahoo.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Programmi\Advanced JPEG Compressor\ajcieex.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O16 - DPF: ImageUploader - http://fotoalbum1.aruba.it/admin/ImageUploader.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{4977776B-EB8C-40B9-B3DE-01151076C821}: NameServer = 85.37.17.14 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4977776B-EB8C-40B9-B3DE-01151076C821}: NameServer = 85.37.17.14 151.99.125.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Torna in alto

alfonso

Inviato: Monday, March 21, 2005 1:25:22 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132

Ciao ,
esegui queste operazioni

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

E sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

PER SICUREZZA FAI ANCHE UN CONTROLLO ANTIVIRUS ON LINE DA QUESTO INDIRIZZO
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym

Collaboratore Aiutamici

Torna in alto

domino

Inviato: Thursday, March 24, 2005 1:27:37 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16

Ciao Alfonso, come da tue istruzioni ho fatto tutto. Però con il mio antivirus mi rileva sempre questo file "C:\WINDOWS\Downloaded Program Files\SAHUninstall_.exe". Con quello in linea invece mi rileva questi "C:\WINDOWS\Downloaded Program Files\lsp_.dll è infettato con Adware.SAHAgent C:\WINDOWS\Downloaded Program Files\SAHAgent_.exe è infettato con Adware.SAHAgent C:\WINDOWS\Downloaded Program Files\SahHtml_.exe è infettato con Adware.SAHAgent C:\WINDOWS\Downloaded Program Files\SAHUninstall_.exe è infettato con Adware.SAHAgent C:\temp\sahagent.exe è infettato con Adware.SAHAgent" dei quali ho trovato solo l'ultimo e quindi eliminato.
Ora se mi puoi consigliare cosa posso ancora fare. Faccio presente però, che oltre alla visione dei file infetti, nel computer non noto alcuna anomalia.
Saluti e grazie. Renato

Torna in alto

alfonso

Inviato: Thursday, March 24, 2005 7:57:22 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132

Prova cosi

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=homeandCodSw=257andSH=N

riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

e fai una scansione con il Norton Antivirus rimuovendo il file infetto

quindi vai al menu START - ESEGUI digita il comando <b>regedit</b> e premi invio, nella finestra nella colonna di sinistra entra in queste cartelle

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

nella finestra di sinistra dovresti trovare questa riga
<b>"SAHBundle"=":Temp:\bundle.exe"
</b> selezionala con il pulsante destro del mouse e rimuovila

poi entra in questa cartella e rimuovi l'ultima voce

HKEY_LOCAL_MACHINE\Software\[/b]VGroup[/b]

quindi esci da regeditm svuota la cartella C:\temp\ e riavvia, fai un ulteriore controllo antivirus.

Collaboratore Aiutamici

Torna in alto

Utenti presenti in questo topic

Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Un file che non si trova

Salta al Forum

Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Invia topic via Email

RSS Feed

Watch this topic

Stampa topic

Normale

Threaded