Per la seconda volta in un mese mi è misteriosamente scomparso NORTON INTERNET SECURITY 2007.
Ora non riesco nemmeno più a riscaricarlo in quanto il download manager non risce a portare a termine il download (segnala "errore di comunicazione").
Con vecchi download manager (l'ultimo del 30 01 2007) faccio il download di NIS, ma non riesco a terminare l'apertura del file (can not open output file).
Sono assolutamente in regola col contratto e l'estensione della garanzia.
Ho Windows XP.
Aiuto !
Potrebbe essere la variante di un virus (bagle) che blocca lo scaricamento di antimalware...
Posta un log di hijackthis e vediamo se ci sono virus attivi...
guida uso HijackThis (al punto 4)
ho fatto come mi hai consigliato.Qua sotto c'è il Log file (in cui non ci ho capito assolutamente niente...).Ora?
Grazie dell'aiuto!!!!
Logfile of HijackThis v1.99.1
Scan saved at 13.31.56, on 03/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\Programmi\Ringo\Hub.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet
Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?
LinkId=69157
R1 - HKLM\Software\Microsoft\Internet
Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings,ProxyOverride = local.
R0 - HKCU\Software\Microsoft\Internet
Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D
-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0
\ActiveX\AcroIEHelper.dll
O2 - BHO: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} -
C:\WINDOWS\system32\pbitv2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
- C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no
file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-
484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} -
C:\WINDOWS\system32\pbitv2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di
High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched]
"C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe "
O4 - HKLM\..\Run: [PCMService]
"c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File
comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Configuration Loader] msheader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32
\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0]
"C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [QuickTime Task]
"C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper]
"C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Mercora] "C:\Programmi\Tiscali
Jukebox\MercoraClient.exe" -startup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File
comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding
-boot
O4 - HKLM\..\Run: [PaperPort PTD]
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch]
C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt]
C:\Programmi\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0]
C:\Programmi\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File
comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk =
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Ringo Launcher.lnk =
C:\Programmi\Ringo\Hub.exe
O8 - Extra context menu item: Converti destinazione link in Adobe
PDF - res://C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file
PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe
PDF - res://C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file
PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF -
res://C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente -
res://C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF -
res://C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF
esistente - res://C:\Programmi\Adobe\Acrobat 7.0
\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-
11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10
\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-
3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-
f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file
missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-
d088-4134-82b7-f2ba38496583} - %windir%\Network
Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-
11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC}
(MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary...AClient.cab312
67.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec
AntiVirus scanner) -
http://security.symantec.com/sscv6/S...bin/AvSniff.ca
b
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX
Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl
Class) -
http://v5.windowsupdate.microsoft.co...ontrols/en/x86
/client/wuweb_site.cab?1095412010203
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI
Utility Class) -
http://security.symantec.com/sscv6/S...mon/bin/cabsa.
cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
(MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary...lient.cab31267
.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} -
http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro
Class) - http://messenger.zone.msn.com/binary...o.cab47946.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire
Showdown Class) -
http://messenger.zone.msn.com/binary...wn.cab31267.ca
b
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F}
- C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-
94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems -
C:\Programmi\File comuni\Adobe Systems
Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32
\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -
Macrovision Corporation - C:\Programmi\File
comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. -
C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - -
C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner -
C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico
- Unknown owner -
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe (file
missing)
O23 - Service: Virtual CD v4 Security service (SDK - Version)
(VCSSecS) - H+H Software GmbH - C:\Programmi\Virtual CD v4
SDK\system\vcssecs.exe
Esattamente come pensavo! Hai il Bagle una brutta carogna... Seleziona e schiaccia fix checked le seguenti stringhe:
C:\WINDOWS\system32\hldrrr.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC}
Eliminare questi non ti servirà comunque per estirpare tutto il virus...
Fai così: scarica e fai andare questo: kill sgrunt
Prova a scaricare The Avenger: http://swandog46.geekstogo.com/avenger.zip
dimmi se te lo fa andare o meno
kill sgrunt mi dice di avermi liberato da sgrunt poi scompatto avenger;lo faccio partire: mi esce un avviso sui rischi che corro nell'utilizzarlo, poi nel main frame di avenger non so cosa fare..comunque il programma si apre correttamente..
Ok allora 6 fortunato!Originariamente inviato da e.delendati
comunque il programma si apre correttamente..
Dimmi il nome che trovi in C:\Documents and setting e poi ti dico cosa fare
in C:/Documents and settings/ trovo 4 cartelle:
all users
Proprietario
Enrico (il mio nome utente)
e una cartella nascosta Default User
Avvia il file avenger.exe (non connesso ad internet)
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento
Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice
Files to delete:
C:\Documents and Settings\enrico\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\enrico\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
folders to delete:
C:\Documents and Settings\enrico\Dati applicazioni\hidires
C:\WINDOWS\exefld
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc si riavvia da solo, se no riavvialo manualmente.
Alla fine allegami il log di Avenger che si trova in C:/avenger.txt
allora: ho fatto come hai detto e sembra essere riuscito però mi ha dato qualche problema una volta riavviatosi windows..si è aperto un frame msdos di windows dove diceva che non trovava il disco di windows. facendo continua però ha finito ed è uscito questo log file di avenger
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\doehtbxm
*******************
Script file located at: \??\C:\Documents and Settings\jqurloxt.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Documents and Settings\enrico\Dati applicazioni\hidires\m_hook.sys deleted successfully.
File C:\Documents and Settings\enrico\Dati applicazioni\hidires\hidr.exe deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
Folder C:\Documents and Settings\enrico\Dati applicazioni\hidires deleted successfully.
Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |hldrrr deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Non potrò risponderti immediatamente perchè devo andare cmq ti ringrazio tantissimo dell'aiuto. ho risolto il problema o c'è ancora da smanettare?
È normale che sia uscita quella finestra
Perfetto! da quello che mi hai dato ho visto che si è cancellato tutto correttamente....
Quindi adesso in teoria dovresti riuscire ad installare qualsiasi antivirus...
Dopo posta ancora il log di hijackthis per l'utlima revisione
Permessi di invio
Rispondi quotando