cercasi un vero esperto - Archivio - Windows 2000

Benvenuto Ospite

Aiutamici Forum » Discussioni Disattivate (solo archivio) » Archivio - Windows 2000 » cercasi un vero esperto

cercasi un vero esperto

Opzioni

Topic Precedente · Topic Sucessivo

marcodb

Inviato: Tuesday, April 18, 2006 7:21:42 PM

Rank: Member

Iscritto dal : 10/4/2004
Posts: 0

Quando navigo mi si aprono costntemente altre finestre

Spybot and hyjck mi danno questi risultati.

--- Search result list ---
Command Service: Impostazioni (Chiave di registro, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Impostazioni (Chiave di registro, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

Command Service: Impostazioni (Chiave di registro, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService

Logfile of HijackThis v1.99.1
Scan saved at 19.18.36, on 18/04/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Netscape\Netscape\Netscp.exe
C:\Documents and Settings\marcos.MARCOS-4494416A\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCD0C40D-80AD-4340-91D4-7340EC471F7A}: NameServer = 62.94.0.1 62.94.0.2
O20 - Winlogon Notify: H323TSP - C:\WINNT\system32\j26mlcj11fo.dll
O20 - Winlogon Notify: IPConfMSP - C:\WINNT\system32\e4jm0e11eh.dll (file missing)
O20 - Winlogon Notify: ShellScrap - C:\WINNT\system32\mv8sl9l71.dll (file missing)
O20 - Winlogon Notify: StillImage - C:\WINNT\system32\fp2003fme.dll (file missing)
O20 - Winlogon Notify: Welcome - C:\WINNT\system32\h42olef31h2.dll (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINNT\services.exe (file missing)

Torna in alto

Sponsor

Inviato: Tuesday, April 18, 2006 7:21:42 PM

Torna in alto

alfonso

Inviato: Tuesday, April 18, 2006 11:12:29 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132

Prova a inserire il log completo di Hijack

il log va fatto in avvio normale e non in modalità provvisoria.

Collaboratore Aiutamici

Torna in alto

marcodb

Inviato: Tuesday, April 18, 2006 11:21:52 PM

Rank: Member

Iscritto dal : 10/4/2004
Posts: 0

Innanzitutto ti ringrazio del tempo he mi hai concesso.
Poi spero di averti inteso.
Apro hijack faccio lo scan con log e ottengo questo: qui mi perdo.

Logfile of HijackThis v1.99.1
Scan saved at 23.19.05, on 18/04/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Netscape\Netscape\Netscp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\StopDialers\StopDialer.exe
C:\Documents and Settings\marcos.MARCOS-4494416A\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCD0C40D-80AD-4340-91D4-7340EC471F7A}: NameServer = 62.94.0.1 62.94.0.2
O20 - Winlogon Notify: Installer - C:\WINNT\system32\g440lehm1h4a.dll
O20 - Winlogon Notify: IPConfMSP - C:\WINNT\system32\e4jm0e11eh.dll (file missing)
O20 - Winlogon Notify: ShellScrap - C:\WINNT\system32\mv8sl9l71.dll (file missing)
O20 - Winlogon Notify: Welcome - C:\WINNT\system32\h42olef31h2.dll (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINNT\services.exe (file missing)

Torna in alto

marcodb

Inviato: Tuesday, April 18, 2006 11:23:11 PM

Rank: Member

Iscritto dal : 10/4/2004
Posts: 0

Innanzitutto ti ringrazio del tempo he mi hai concesso.
Poi spero di averti inteso.
Apro hijack faccio lo scan con log e ottengo questo: qui mi perdo.

Logfile of HijackThis v1.99.1
Scan saved at 23.19.05, on 18/04/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Netscape\Netscape\Netscp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\StopDialers\StopDialer.exe
C:\Documents and Settings\marcos.MARCOS-4494416A\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCD0C40D-80AD-4340-91D4-7340EC471F7A}: NameServer = 62.94.0.1 62.94.0.2
O20 - Winlogon Notify: Installer - C:\WINNT\system32\g440lehm1h4a.dll
O20 - Winlogon Notify: IPConfMSP - C:\WINNT\system32\e4jm0e11eh.dll (file missing)
O20 - Winlogon Notify: ShellScrap - C:\WINNT\system32\mv8sl9l71.dll (file missing)
O20 - Winlogon Notify: Welcome - C:\WINNT\system32\h42olef31h2.dll (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINNT\services.exe (file missing)

Torna in alto

alfonso

Inviato: Wednesday, April 19, 2006 3:21:55 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132

Ciao ,
esegui queste operazioni

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono.

==================================
O20 - Winlogon Notify: Installer - C:\WINNT\system32\g440lehm1h4a.dll
O20 - Winlogon Notify: IPConfMSP - C:\WINNT\system32\e4jm0e11eh.dll (file missing)
O20 - Winlogon Notify: ShellScrap - C:\WINNT\system32\mv8sl9l71.dll (file missing)
O20 - Winlogon Notify: Welcome - C:\WINNT\system32\h42olef31h2.dll (file missing)
==================================

Con la funzione CERCA di Windows, cerca ed elimina questi file,
==================================
g440lehm1h4a.dll
e4jm0e11eh.dll
mv8sl9l71.dll
h42olef31h2.dll
==================================

Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

Fai una scansione con questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1286

sempre in modalità provvisoria fai una scansione Antivirus

Nel sistema non é presente ne un Firewall, ne un Antivirus e dovresti aggiornarlo dal windows update

ma il problema penso sia molto più grave, il log é quasi inesistente, quindi ti consiglierei di formattare il disco fisso e reinstallare tutto, probabilmente il sistema é infetto da qualche virus.

Collaboratore Aiutamici

Torna in alto

marcodb

Inviato: Thursday, April 20, 2006 3:18:07 PM

Rank: Member

Iscritto dal : 10/4/2004
Posts: 0

Grazie Alfonso ho ftto come hai detto e ho riscontrato i seguenti problemi

spybot e Et removal (registra il terzo_) non rimuovono qyuesti 2 file

ReDeleting: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
13.28.13 -> Deleting: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
Deleting: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Ho messo kaspersky antivirus aggiornato ma niente virus.

Ho aggiornato con windowws update.

Penso che il virus si chiami boodhound e mi esce una pagina www.amena.com

E' il caso di riformattare?

Un grazie sentito Marcp

Torna in alto

alfonso

Inviato: Friday, April 21, 2006 5:43:23 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132

Dal log che hai inserito il sistema é seriamente danneggiato, non serve a nulla instakllare un antivirus su un computer infetto, il virus disattiverebbe l'antivirus

prova a fare una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym

la scansione on line non rimuove i virus, ma ti dice esattamente se il computer é infetto

se fossi in te formatterei e reinstallerei tutto a nuovo, installando Antivirus e Firewall prima di fare il primo collegamento a internet.

Collaboratore Aiutamici

Torna in alto

marcodb

Inviato: Friday, April 21, 2006 6:21:20 PM

Rank: Member

Iscritto dal : 10/4/2004
Posts: 0

Hai ragione. Ho 70 file infetti ma nessun o in memoria, navigavo tranquillamente con la googeltoolbar...

Grazie, provvedero' subitissimo o almeno spero...

Ciao Marco

Torna in alto

Utenti presenti in questo topic

Guest

Aiutamici Forum » Discussioni Disattivate (solo archivio) » Archivio - Windows 2000 » cercasi un vero esperto

Salta al Forum

Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Invia topic via Email

RSS Feed

Watch this topic

Stampa topic

Normale

Threaded