Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » problema con sospensione

2 pages: [1] 2
problema con sospensione Opzioni
Topic Precedente · Topic Sucessivo
GPZGPZ
Inviato: Thursday, April 21, 2005 7:24:58 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Da pochi giorni se provo a mettere in sospendi o stand by il mio pc con windows xp il pc invece si riavvia.
Allego il log del programma hijackthis.
Attendo vostre istruzioni urgenti grazie mille :-)))

Logfile of HijackThis v1.99.1
Scan saved at 17.37.33, on 20/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Compaq\Compaq Management Agents\cpqalert.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\WINDOWS\Explorer.EXE
c:\ma\marchost.exe
C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
C:\Programmi\Network Associates\VirusScan\Mcshield.exe
C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
c:\ma\rstate.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\rundll32.exe
C:\ma\rstate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\CheckPoint\SecuRemote\bin\SR_GUI.exe
C:\Programmi\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\WINDOWS\System32\MsPMSPSv.exe
c:\ma\rsstatus.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\Programmi\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Spr\spr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programmi\Sybase\SQL Anywhere 8\Win32\dbeng8.exe
C:\Documents and Settings\115657\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.consulenti-globali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\java\abrdoc.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Live Support Host] "c:\ma\marchost.exe" -servicehelper
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Mobile Automation Agent] c:\ma\rstate.exe /LOGON
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Office10\OSA.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Pagine simili - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.abbeynational-web.net
O15 - Trusted Zone: http://www.anasf.it
O15 - Trusted Zone: http://www.cinestar.it
O15 - Trusted IP range: http://62.101.98.76
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E5C3ED6-8B56-44D8-822E-327354053495}: NameServer = 157.28.116.241,157.28.1.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{6390BFF8-A7EC-4543-B154-D69ED338AE1B}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = mediolanum.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E5C3ED6-8B56-44D8-822E-327354053495}: NameServer = 157.28.116.241,157.28.1.50
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mediolanum.it
O20 - Winlogon Notify: abrdoc - C:\WINDOWS\java\abrdoc.dll
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Insight Local Alerter (CPQALERT) - Hewlett-Packard Company - C:\Programmi\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Insight Web Agent (cpqWebDmi) - Hewlett-Packard Company - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: Remote Diagnostics Enabling Agent (DfwWebAgent) - Hewlett-Packard - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: Live Support Host (marchost) - Unknown owner - c:\ma\marchost.exe" -service (file missing)
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Manage Anywhere Studio Agent (MobileAutmationAgentService) - Mobile Automation, Inc. - c:\ma\rstate.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programmi\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programmi\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Programmi\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
Torna in alto
 
Sponsor
Inviato: Thursday, April 21, 2005 7:24:58 PM

 
Torna in alto
 
a.roselli
Inviato: Tuesday, April 26, 2005 6:00:24 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,051
Ciao ,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\java\abrdoc.dll
-
O15 - Trusted Zone: http://www.abbeynational-web.net
O15 - Trusted Zone: http://www.anasf.it
O15 - Trusted Zone: http://www.cinestar.it
O15 - Trusted IP range: http://62.101.98.76
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
-
O20 - Winlogon Notify: abrdoc - C:\WINDOWS\java\abrdoc.dll
-
O23 - Service: Live Support Host (marchost) - Unknown owner - c:\ma\marchost.exe" -service (file missing)
==================================

Se eliminando le due righe con C:\WINDOWS\java\abrdoc.dll dovesse comparire problemi, puoi ripristinarle direttamente con HijackThis come spiegato nella guida, il file comunque non e legittimo e andrebbe eliminato

ci sono poi alcuni programmi strani di cui non ho trovato informazioni in rete, ad esempio
c:\ma\marchost.exe
c:\ma\rstate.exe
C:\Spr\spr.exe
conosci questi programmi?


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE . CANCELLA CRONOOLOGIA


in modalità provvisoria utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

Prova a fare una scansione antivirus on line da questo indirizzo
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym


Scusami per il ritardo della risposta.
alfonso_aiutamici@hotmail.it
Torna in alto
 
GPZGPZ
Inviato: Wednesday, April 27, 2005 11:38:50 AM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Ciao e grazie farò tutto quello che mi hai detto di fare con molta attenzione.
I tre programmi che mi chiedi c:\ma\marchost.exe non lo conosco
c:\ma\rstate.exe non lo conosco
C:\Spr\spr.exe ok so cos'è.
tre programmi
Torna in alto
 
alfonso
Inviato: Wednesday, April 27, 2005 12:00:41 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Quando hai fatto le correzioni, inviami un nuovo log aggiornato.
Collaboratore Aiutamici
Torna in alto
 
GPZGPZ
Inviato: Thursday, April 28, 2005 2:37:09 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
"Se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura".
Ho fatto tutto tranne che il ripristino dell configurazione perchè il problema è rimasto.
Ti allego un nuovo log:


Logfile of HijackThis v1.99.1
Scan saved at 14.35.54, on 28/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
c:\ma\marchost.exe
C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
C:\Programmi\Network Associates\VirusScan\Mcshield.exe
C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
c:\ma\rstate.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe
C:\Programmi\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\rundll32.exe
C:\ma\rstate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\CheckPoint\SecuRemote\bin\SR_GUI.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
c:\ma\rsstatus.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\Programmi\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Spr\spr.exe
C:\Programmi\Sybase\SQL Anywhere 8\Win32\dbeng8.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Spr\Spazio\BIN\INIT.BIN
C:\WINDOWS\System32\wisptis.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\115657\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.consulenti-globali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\java\abrdoc.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Live Support Host] "c:\ma\marchost.exe" -servicehelper
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Mobile Automation Agent] c:\ma\rstate.exe /LOGON
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Office10\OSA.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Pagine simili - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted IP range: http://62.101.98.76
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E5C3ED6-8B56-44D8-822E-327354053495}: NameServer = 157.28.116.241,157.28.1.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{6390BFF8-A7EC-4543-B154-D69ED338AE1B}: NameServer = 193.70.192.25 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = mediolanum.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E5C3ED6-8B56-44D8-822E-327354053495}: NameServer = 157.28.116.241,157.28.1.50
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mediolanum.it
O20 - Winlogon Notify: abrdoc - C:\WINDOWS\java\abrdoc.dll
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Insight Local Alerter (CPQALERT) - Hewlett-Packard Company - C:\Programmi\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Insight Web Agent (cpqWebDmi) - Hewlett-Packard Company - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: Remote Diagnostics Enabling Agent (DfwWebAgent) - Hewlett-Packard - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: Live Support Host (marchost) - Unknown owner - c:\ma\marchost.exe" -service (file missing)
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Manage Anywhere Studio Agent (MobileAutmationAgentService) - Mobile Automation, Inc. - c:\ma\rstate.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programmi\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programmi\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Programmi\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe

Attendo grazie.
Torna in alto
 
alfonso
Inviato: Thursday, April 28, 2005 3:15:37 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Prova a fare un controllo antivirus da questo indirizzo
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym

se il problema e solo la sospensione del computer non può dipendere da spyware, nel mio vecchio computer la sospensione era stata disattivata da windows stesso con un messaggio per incompatibilità dell'hardware.
Collaboratore Aiutamici
Torna in alto
 
GPZGPZ
Inviato: Thursday, April 28, 2005 4:33:13 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Le righe che avevamo cancellato le devo per caso reinserire ?
Windows però a me non ha dato nessun messaggio di incompatibilità.
Ora faccio lo scanvirus con symantec da te indicato.
Torna in alto
 
alfonso
Inviato: Thursday, April 28, 2005 7:21:24 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Quelle che avevi eliminato ci sono ancora, o non li hai eliminati o si tratta di un virus che lo reinserisce, appunto ti ho consigliato di fare il controllo antivirus on line.
Collaboratore Aiutamici
Torna in alto
 
GPZGPZ
Inviato: Thursday, April 28, 2005 8:54:56 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Ho fatto l'analisi on line antivirus. Il risultato è stato quello seguente:
C:\WINDOWS\system32\req.dll è infettato con Trojan Horse
C:\WINDOWS\java\abrdoc.dll è infettato con Adware.Adpopup
C:\Documents and Settings\115657\Desktop\backups\backup-20050428-000534-325.dll è infettato con Adware.Adpopup

Cosa devo fare ora ?
Torna in alto
 
alfonso
Inviato: Friday, April 29, 2005 10:32:50 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao ,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\java\abrdoc.dll
-
O4 - HKLM\..\Run: [Live Support Host] "c:\ma\marchost.exe" -servicehelper
-
O4 - HKLM\..\Run: [Mobile Automation Agent] c:\ma\rstate.exe /LOGON
-
O15 - Trusted IP range: http://62.101.98.76
-
O17 - HKLM\System\CCS\Services\Tcpip\..\{6390BFF8-A7EC-4543-B154-D69ED338AE1B}: NameServer = 193.70.192.25 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = mediolanum.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E5C3ED6-8B56-44D8-822E-327354053495}: NameServer = 157.28.116.241,157.28.1.50
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mediolanum.it
O20 - Winlogon Notify: abrdoc - C:\WINDOWS\java\abrdoc.dll
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
-
O23 - Service: Live Support Host (marchost) - Unknown owner - c:\ma\marchost.exe" -service (file missing)
-
O23 - Service: Manage Anywhere Studio Agent (MobileAutmationAgentService) - Mobile Automation, Inc. - c:\ma\rstate.exe
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
abrdoc.dll
marchost.exe
rstate.exe
ckpNotify.dll
req.dll
backup-20050428-000534-325.dll

==================================

ELIMINA LE CARTELLE IN ROSSO
c:\<font color=red><b>ma</font id=red></b>
C:\WINDOWS\<font color=red><b>java</font id=red></b>


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE . CANCELLA CRONOOLOGIA

IN MODALITA' PROVVISORIA utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

IN MODALITA' PROVVISORIA fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

Fai nuovamente una scansione on line e se sono presenti ancora virus non ti rimane che formattare e reinstallare tutto.
Collaboratore Aiutamici
Torna in alto
 
GPZGPZ
Inviato: Friday, April 29, 2005 11:36:45 AM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Prima di iniziare a fare la nuova procedura ho fatto alcune verifiche.
Le cartelle c:\ma e c:\WINDOWS\java ce le ha anche un mio collega il quale sul suo PC identico al mio (aziendale) non ha il mio problema. Quindi non vorrei cancellarle perchè temo sia una cartella inerente al programma della Società per cui lavoro.
Avrei anche un po' di timore a cancellare la lista dei file indicati perchè se poi non mi funziona il programma perchè uno o più files non erano da cancellare, come li recupero ?
Chiedo, non sono un esperto anzi, da umile utente di PC, non potremmo provare ad eliminare solo i tre virus/trojan che lo scan on line ha evidenziato e vedere se sono quelli il problema ?
Grazie ma preferisco andare piano altrimenti poi gli errori li devo pagare io (il PC è in subnoleggio).
Torna in alto
 
alfonso
Inviato: Friday, April 29, 2005 11:45:52 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Puoi evitare di cancellare i file che sono contenuti nella cartella c:\ma, invece devi eliminare la cartella C:\WINDOWS\java che contiene quel file infetto.

Se comunque i tuoi problemi solo solo per lo standby lascia tutto come si trova ed evita di utilizzare lo standby.

Collaboratore Aiutamici
Torna in alto
 
GPZGPZ
Inviato: Friday, April 29, 2005 11:56:48 AM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Io intendevo anche di evitare di cancellare la lista di singoli files che tu mi hai elencato, e fare invece il resto, OK ?
Torna in alto
 
GPZGPZ
Inviato: Friday, April 29, 2005 4:57:17 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Ho fatto tutto.
Il sistema però mi impedisce di
cancellare il file ckpNotify.dll e la cartella C:\WINDOWS\java perchè dice che sono in uso da parte di altri programmi.
C'è un trojan ovvero abrdoc.dll che non si cancella nè pulisce e che quindi nemmeno il McAfee riesce ad eliminare.
Ora però funziona il stand by ma non funziona ancora il sospendi.
Si è aggiunto un problema che ora mi rompe le scatole più di tutto ovvero quando faccio arresta sistema il programma da questa finestra di errore
"istruzione a "0x10054b10" ha fatto riferimento alla memoria a "0x10054b10". La memoria non poteva essere "read".
Ok per terminare applicazione, annulla per debug.
Facendo ok il pc invece di arrestarsi si riavvia !!
Per favore, vorrei almeno ritornare a quando non mi funzionava il sospendi ed eliminare questo nuovo problema.
E sapere se per caso il trojan indicato può essere rimosso in qualche modo.
Grazie.
Torna in alto
 
GPZGPZ
Inviato: Friday, April 29, 2005 4:58:37 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Ho fatto tutto.
Il sistema però mi impedisce di
cancellare il file ckpNotify.dll e la cartella C:\WINDOWS\java perchè dice che sono in uso da parte di altri programmi.
C'è un trojan ovvero abrdoc.dll che non si cancella nè pulisce e che quindi nemmeno il McAfee riesce ad eliminare.
Ora però funziona il stand by ma non funziona ancora il sospendi.
Si è aggiunto un problema che ora mi rompe le scatole più di tutto ovvero quando faccio arresta sistema il programma da questa finestra di errore
"istruzione a "0x10054b10" ha fatto riferimento alla memoria a "0x10054b10". La memoria non poteva essere "read".
Ok per terminare applicazione, annulla per debug.
Facendo ok il pc invece di arrestarsi si riavvia !!
Per favore, vorrei almeno ritornare a quando non mi funzionava il sospendi ed eliminare questo nuovo problema.
E sapere se per caso il trojan indicato può essere rimosso in qualche modo.
Grazie.
Torna in alto
 
GPZGPZ
Inviato: Friday, April 29, 2005 5:11:44 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Facendo arresta sistema e dicendo invece annulla all'errore che esce, il pc mi da questo errore:
STOP: C000021a errore irreversibile di sistema
processo di sistema windows logon process terminato in modo inatteso cn stato di 0xc0000005 ( 0x00000000 0x00000000 ) il sistema è stato chiuso.

Dopo poco il PC si riavvia.
Accidenti sono preoccupato ora.
Torna in alto
 
GPZGPZ
Inviato: Friday, April 29, 2005 5:12:26 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Non ho ancora fatto il ripristina configurazione.
Cosa faccio ?
Torna in alto
 
alfonso
Inviato: Friday, April 29, 2005 5:45:34 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Apri Hijack e ripristina il backup, le istruzioni sono nello stesso articolo di Hijack.
Ma secondo me, visto la presenza di virus ti converrebbe formattare e reinstallare tutto a nuovo altrimenti il problema ti rimane.
Collaboratore Aiutamici
Torna in alto
 
GPZGPZ
Inviato: Friday, April 29, 2005 5:49:58 PM
Rank: Member

Iscritto dal : 8/17/2002
Posts: 0
Fatto ma ora il problema alla chiusura rimane accidenti.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » problema con sospensione


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.