per ora l'ho rifatto e niente traccia di o15....aspetto qualche giornoe se non si ripresenta tiro un respiro di sollievo e mi arrendo all'idea di essere pervenuta ,in questo forum tra Angeli!
per ora l'ho rifatto e niente traccia di o15....aspetto qualche giornoe se non si ripresenta tiro un respiro di sollievo e mi arrendo all'idea di essere pervenuta ,in questo forum tra Angeli
come non detto
è appena ricomparso l'errore
deve allarmarmi che nei temp c'è questo Acr1C7F.tmp e quando cerco di eliminarlo mi dice che è in uso in un altro programma?
rifatta anche la scansione ma o15 non c'è....
pensavo di usare DelPsGuard
ma questo
mi ha allarmata.P.S. Se scompare la barra in basso, quando finisce di fare tutte le operazioni fare:
ctrl-alt-canc-->nuova operazione-->scrivere: eplorer.exe e premere invio
E' una cosa sicura? :master:
Ok,adesso starai ridendo ma ad un'incapace assoluta i dubbi vengono.
Aspetto un responso..grazie
1. delpsguard è sicuro, no problem.
2. ci sono alcune cose che non mi convincono nel tuo log. per esempio:
O4 - HKLM\..\Run: [netyiqxn] "c:\windows\system32\netyiqxn.exe"
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
oltre alle voci già citate.
Acr1C7F.tmp nei file temporanei è quasi certamente la fonte del tuo problema.
ora però sono piuttosto stanco e preferisco rimandare tutto a domani
siamo in due!(sono 12 ore che combatto con sto aggeggio).
rimando anch'io a domani(non si sa mai che la notte porti consigli!)
gia che ci sei fai analizzare questo:netyiqxn.exe su www.virustotal.com
l'avevo detto anche io prima di farlo analizzare,perche non mi convince!
prova a d eliminare i file temp con atf clenaer che lo scarichi da qui----> www.atribune.org/ccount/click.php?id=1
vai sul menu(main)poi spunta la voce select all e poi su empty selected.aspetta il messaggio done clenanig!
vedi se ricompare il file .tmp in questione.
Per ora mi sembra pittosto stabile...se mi ridà problemi riprovo con questa procedura
Ti tengo aggiornato
grazie mille davvero!
PS comunque ho provato a far analizzare quel file ma mi dice 0 bytes ricevuti,quando invece è 8 kbs
ok,tienici aggiornato e facci sapere come risolvi il problema!
Fino ad ora sembrava essersi stabilizzato(niente errore o altro).
Poi si è improvvisamente disconnesso internet.
faccio ctrl+alt+can e compare "foezzi.exe".Vado nei temp e rivedo la maledetta icona a forma di bocca che prima compariva su plezzi,exe.
Rifaccio hijackthis,fixo i file da togliere(solo foezzi e whataboutarabit).
Faccio dinuovo la pulizia disco,uso anche DELPSGUARD che,però,non mi trova niente a parte il famoso Acr1C7F.tmp che,però,dice usato da un altro programma(immagino che x eliminarlo dovrei andare in modalità provvisoria ma non ho la minima idea di come farlo).
Rifaccio la scansione con AdAware e Avg ,niente di strano. :master:
mi connetto non dà stranezze. :master:
Riprovo,per sicurezza,con hijackthis,stavolta nessun file sospetto(sotto il log),ma quando vado in ctrl+alt+canc mi dà in esecuzione "netyiqxn".
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16.21.50, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Java\jre1.6.0\bin\jusched.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Nadia\IMPOST~1\Temp\Rar$EX03.890\HiJac kThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.d ll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programmi\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programmi\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.d ll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Scarica link utilizzando Mega Manager... - C:\Programmi\Megaupload\Mega Manager\mm_file.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5B507D7-4332-4E94-988F-AB3AB0A6125D}: NameServer = 85.37.17.11 85.38.28.69
O17 - HKLM\System\CS3\Services\Tcpip\..\{457DA571-9C81-41FA-A9CF-72C51CEDD00F}: NameServer = 85.37.17.11 85.38.28.69
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ERSKIJG - Unknown owner - C:\DOCUME~1\Nadia\IMPOST~1\Temp\ERSKIJG.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: JCWDH - Unknown owner - C:\DOCUME~1\Nadia\IMPOST~1\Temp\JCWDH.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: XZMYXXQHVSZYUPDH - Unknown owner - C:\DOCUME~1\Nadia\IMPOST~1\Temp\XZMYXXQHVSZYUPDH.e xe (file missing)
--
End of file - 6680 bytes
Siete 2 angeli...lo so già che una buona idea l'avrete
Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (ctrl+v)le scritte:
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | netyiqxn.exe
folders to delete:
C:\DOCUME~1\Nadia\IMPOST~1\Temp
files to delete:
c:\windows\system32\netyiqxn.exe
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Il programma rilascia un log con le operazioni eseguite.
Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.
per la modalita provvisoria,riavvia il pc e premi ripetutamente F8 quando si carica il bios(schermata nera) Ed esce l'impostazioni avanzate di windows,metti mod.provvisoria e invio,ed esegui il software detto da tognazzi.
Fai per favore questi controlli, senza eliminare nulla (!),
da Start>Esegui scrivi regedit dai l'OK
ATTENZIONE ora sei nel registro di configurazione di sistema
ora aiutandoti con i + portati in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
clicca sul + della cartellina gialla AdvancedOptions
riportami tutti i nomi delle sotto-cartelle che hanno nomi composti da 5 lettere, la prima lettera maiuscola e le altre 4 in minuscolo
ora risali "l'albero" e richiudi con i -
Portati ora in
HKEY_CURRENT_USER\SOFTWARE\Macromedia
clicca sul + della cartellina gialla Macromedia
e vedi se è presente la sotto-cartella ShockPlayer32
stessa cosa, chiudi tutto con i -
Portati ora in
HKEY_CURRENT_USER\SOFTWARE\Microsoft
apri la cartellina gialla Microsoft
e vedi se è presente la sotto-cartella RFC1156Agent
risali chiudendo con il -
Fatte queste verifiche ed in presenza anche di una sola di queste
Scarica
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile un file con estensione .zip (data+ora+.zip)
Vai su www.sendmefile.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.
se non riesci a scaricarlo perchè ti viene chiusa la pagina fammelo sapere.
NB
non cancellare nulla quando sei nel registro di configurazione di sistema
Permessi di invio
Rispondi quotando