aiuto

G

giollo63

Digital-Forum Gold Master
Registrato
10 Gennaio 2003
Messaggi
7.591
appena entro in internet nod 32 mi individua un virus crtk1 nei file temp dove trovo il simbolo (un quadrato) simile a quello relativo all'installazione di un programma

ecco il log
Logfile of HijackThis v1.99.1
Scan saved at 20.02.58, on 05/10/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMMI\ESET\NOD32KRN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\ESET\NOD32KUI.EXE
C:\WINDOWS\DIT.EXE
C:\PROGRAMMI\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\DITEXP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\DOCUMENTI\STEN\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://arianna.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O5 "LPT1:" /M "Stylus C44"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Programmi\Eset\nod32krn.exe"
O4 - HKLM\..\RunServicesOnce: [*TLf] "C:\PROGRAMMI\FILE COMUNI\SYSTEM\ODH.EXE" ju
O8 - Extra context menu item: &Cerca con Google - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pagine simili - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Link a ritroso - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: Alice - {6E5BBAA0-587A-11D9-B055-DF740BC42900} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - [

c'è qualcosa che non va? grazie
 
Ultima modifica:
Il log mi sembra pulito.

Quel file dove ti trova il virus è un file eseguibile .exe?

Cancella tutto il contenuto della cartella temp

c:windows/temp

Cancella anche i file temporanei di internet e i cookies.

Se non riesci ad eliminare il contenuto della cartella temp prova in modalità provvisoria.

Se non riesci ancora a cancellare quel file riavvia in modalità Dos e cancellalo da li con il comando

del
 
non mi compare più la schermata di allarme;
ho cancellato tutti i cookies, i file temporanei ed ho svuotato la cartella temp dove proprio all'interno di questa compariva prima e dopo che il computer si bloccasse (scusatemi ma sono poco pratico di termini tecnici) l'icona quadrata con bordatura superiore azzurra con una specie di rotellina dentata all'interno con la scritta esterna fd000839; ora, mentre scrivo, sembra riandare tutto bene
 
sembrava tutto ok però ad un certo punto è ricomparsa la schermata di allarme del nod ed il computer si è nuovamente bloccato; il virus trovato, che alla riaccensione ho trovato in quarantena, è: c\windows\khyek.ddl ed è probabilmente una variante di win32\troyan downloader.agent BQ cavallo di *****; di che cosa si tratta? ci sono soluzioni acchè il computer non vada in blocco? grazie ercolino
 
Se l'ha messo in quarantena nessun problema ora è eliminato.
 
ercolino il problema persiste; infatti nella cartella temp all'improvviso si creano dei file seguiti da quell'icona quadrata con bordatura superiore azzurra e, come se si andasse ad installare qualche programma, il computer mi va in blocco; che sarà mai; serve qualcosa oltre al log per cercare di risolvere il problema;grazie
 
Potrebbe essere il Nod32 che ti blocca il PC quando trova un virus e non il virus stesso
 
Allora vai su start--->esegui e digita

msconfig

Poi vai su avvio

Vedi qualche cosa di strano ?


Molto probabilmente il virus è attivo li e ricrea i file nella cartella temp
 
ERCOLINO ha scritto:
Allora vai su start--->esegui e digita

msconfig

Poi vai su avvio

Vedi qualche cosa di strano ?


Molto probabilmente il virus è attivo li e ricrea i file nella cartella temp
Clicca per espandere...

è da un pò che il problema non si sta verificando; ho l’impressione che durante la navigazione si vada/andava ad installare automaticamente un qualcosa che blocca il computer; ho fatto quanto da te richiesto ed in esecuzione automatica risultano spuntate le seguenti voci:
ScanRegistry
Task monitor
Sistem tray
Load power profile rundll 32exe powprof dll load current Pwr scheme *
Epson stylus…..
Adsl task bar
Nod 32 kui
Logitech utility
Dit
Load power profile rundll 32exe powprof dll load current Pwr scheme *
Scheduling agent
ATIPOLL
ATISMART
Nod 32 Kernel

Vedi cose strane? io noto che ci sono due cose (contrassegnate con l’asterisco) con lo stesso nome, spuntate, e che prima non ricordavo di avere; è possibile che siano comparse da sole e che siano la causa del problema che non mi si è ripresentato da quando ho tolto la spunta ad uno dei due?
Grazie
 
Alcune sono doppie è normale

Quelle due riguardano il risparmio energetico e sono regolari

Io non usando il risparmio energetico su win98se le ho disattivate tutte e due :)
 
grazie a tutti per i consigli utili affinchè risolvessi il problema che, per fortuna, sembra essersi risolto; da ultimo ho prvveduto a mettere in pratica l'ultimo consiglio datomi da ercolino riguardo la disattivazione delle ....doppie:icon_wink: Saluti
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso