Ho scansionato il mio computer con AVG ed ho trovato 22 oggetti pericolosi del tipo trojan horse generic 3 QDO, dopodichè li ho eliminati. In ogni caso i problemi che avevo in precedenza non li ho risolti: non funziona più il tasto di scorrimento del portatile, ho difficoltà nello spegnimento e alcuni programmi non funzionano più come launch manager ed empowering technology. che faccio? formatto tutto e non se ne parla più?
cosa mi consigliate?
grazie, un saluto
Roberto
ciao roberto.
posta log di hijackthis (la procedura è spiegata al punto 4 della guida di rimozione antimalware)
nel tuo caso il viruz a quanto pare è già rimosso ma serve per vedere che cosa è successo ai programmi che sia avviavano automaticamente (acer empowering technology, ecc.)
come da te richiesto ti posto il log completo di hijackthis:
grazie, ciao, Roberto
Logfile of HijackThis v1.99.1
Scan saved at 11.45.12, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\Acer\IMPOST~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/yco...//it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.live.com/login.srf?id=2...=1040&_lang=IT
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/yco...//it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://it.intl.acer.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
il tuo log è pulito.
se vuoi puoi fixare:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
ma non è il trojan.
dunque cosa posso fare? infatti rimangono i problemi di prima: non funziona il tasto di scorrimento del mouse del portatile e non si aprono più Acer ePower Management e Launch Manager. Inoltre adesso ogni volta che accendo il PC compare una finestra con questa scritta:
RTHDCPL.EXE Rilocazione della DDL del sistema non valida
La DDL user 32.ddl del sistema è stata rilocata in memoria. L'applicazione non sarà eseguita correttamente.
La DDL C:Windows\system32\HHCTRL.OCX è stata rilocata poichè occupava uno spazio di indirizzamento riservato a una delle DDL del sistema di Windows. Contattare il fornitore della DDL per ottenere una nuova DDL.
ciao e ancora grazie
Roberto
RTHDCPL.EXE
è un processo relativo alla scheda audio realtek.
anche ALCMTR.EXE che ti ho consigliato di fixare è della realtek.
può darsi che il nuovo messaggio di errore sia dovuto al fix che ti ho consigliato di fare, anche se sarebbe molto strano perchè ALCMTR.EXE lo si fixa sempre e che io sappia non ha mai dato problemi.
puoi provare a ripristinare la voce ALCMTR.EXE sempre dall'hijackthis e vedere se il nuovo messaggio di errore scompare.
per gli altri devi provare altri sistemi, gli scan online se si tratta di un virus oppure i file in questione (launch manager, ecc.) per qualche motivo si sono corrotti.
dal log di hijackthis non si nota nulla di particolare, per esempio la dicitura "file missing" (file mancante) accanto alle voci dei programmi acer.
prima ho scansionato di nuovo con AVG e questo è il risultato:
WINDOWS\system32\kernel32.ddl
WINDOWS\system32\user32.ddl
WINDOWS\ntoskrnl.exe
Result: Change
Status: Changed
ho provato ad eliminare i file sopraindicati, ma l'operazione risulta impossibile.
che significa tutto ciò?
potrebbe essere legato ai problemi di cui ho parlato prima?
P.S quando è comparsa quella finestra non avevo ancora fixato il file che mi avevi indicato
ciao, grazie ancora
Roby
sei sicuro che l'estensione dei file sia .ddl e non piuttosto .dll?Originariamente inviato da vetromiele
prima ho scansionato di nuovo con AVG e questo è il risultato:
WINDOWS\system32\kernel32.ddl
WINDOWS\system32\user32.ddl
WINDOWS\ntoskrnl.exe
Result: Change
Status: Changed
ho provato ad eliminare i file sopraindicati, ma l'operazione risulta impossibile.
che significa tutto ciò?
potrebbe essere legato ai problemi di cui ho parlato prima?
P.S quando è comparsa quella finestra non avevo ancora fixato il file che mi avevi indicato
ciao, grazie ancora
Roby
comunque i tre file che segnala avg sono file di sistema legittimi.
avg segnala un "cambiamento" (change).
può darsi che siano stati in qualche modo contaminati dal viruz, o più probabilmente che si siano corrotti per altri motivi.
scusa, hai ragione, sono dll !
Permessi di invio
Rispondi quotando