• B
    User

    ho dovuto effettuare un ripristino poichè ho effettuato un riavvio per vedere la situazione e non riuscivo ad riavviare il sistema . Al riavvio avast interviene con lo script blocker. dopo riuscito a riavviare il pc e connesso il modem avast mi ha comunicato che il file infetto è
    http://81.29.241.180/acc2/spoolsv32.exe[UPX]
    ed il nome del virus è
    Win32:Agent-CPG [Trj]
    Cosa posso fare:x :arrabbiato: :arrabbiato:

    0
  • wolf.otakar
    Consiglio Direttivo

    Brandos, dimmi il percorso preciso di questo file: spoolsv32.exe!!!!

    0
  • B
    User

    il percorso dovrebbe essere quello giusto perchè lo ho preso con il copia e incolla da avast. sò però che è un file di sistema anche se con il trova non lo ho trovato:bho:

    0
  • wolf.otakar
    Consiglio Direttivo

    Puoi verificare che spoolsv32.exe si trovi in:

    C:\WINDOWS\system32\spoolsv32.exe

    p.s. attiva la visualizzazione "cartelle/file nascosti"!

    0
  • B
    User

    la situazione peggiora. Ho dovuto riavviare il pc perchè provenivano dagli hard disk degli strani tick tick ed il modem si discnnetteva. Sta per soppiare stò pc:? :mmm: :mmm: 😢 😢 😢

    0
  • wolf.otakar
    Consiglio Direttivo

    @brandos said:

    la situazione peggiora. Ho dovuto riavviare il pc perchè provenivano dagli hard disk degli strani tick tick ed il modem si discnnetteva. Sta per soppiare stò pc:? :mmm: :mmm: 😢 😢 😢

    Brandos, verifica se il file spoolsv32.exe si trova in: ```
    C:\WINDOWS\system32\spoolsv32.exe

    attivare la visualizzazione "cartelle/file nascosti"!

    
Poi, scarica ed effettua uno scan con [A-Squared](http://download5.emsisoft.com/a2FreeSetup.exe) aggiornato!
    0
  • G
    Super User

    Aggiungo:

    1. lavora in modalità provvisoria
    2. esegui una scansione con avast al riavvio (dal menu principale di avast > Programma scansione all'avvio)
    0
  • B
    User

    la notte scorsa ,durante i tick tick degli hard disk è comparsa una finestra di connessione dialer ed in basso affianco allo start è comparsa una finestra con labra rosse e 0001. quando ho cliccato exit il compiuter è andato in bomba e non mi è stato più possibile riavviarlo. Preso da scoramento sono andato a dormire.Ora ho riacceso il pc in modalità provvisoria, ed ho effettuato un ripristino.Ho installato a-squared Anti-Dialer ma non mi ha trovato nulla ma nell'avvio del modem(adsl),mi dice che explorer.exe è un possibile dialer.Nel frattempo il pc è sempre lesso:? :mmm: :mmm: :bho: :bho: :bho: :arrabbiato: :arrabbiato: :arrabbiato:

    0
  • B
    User

    dimenticavo di dire che ho trovato spoolsv.exe in H\WINDOWS\system32\spoolsv.exe ma non ho la più pallida idea di che cosa esso sia.

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Brandos,
    hai effettuato la scansione con A-Squared? Trovato nulla? :mmm:

    Cmq, scarica Virit , aggiornalo ed avvia una scansione, disattivando "momentaneamente" prima il tuo antivirus "avast".

    Vediamo un po' cosa trova! 🙂

    0
  • B
    User

    a-squared anti dialer non trova nulla ma quando connetto il modem mi avverte che explorer.exe è un probabile dialer

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Brandon,
    mi riferivo a questo A-Squared!!!

    Cmq, effettua dalla modalita' provvisoria uno scan con Virit!

    0
  • B
    User

    ho effettuato uno scan con virit(lo trovo eccezionale) e questo è il risultato:
    VirIT eXplorer Lite Log
    [SCANSIONE DELLA MEMORIA]
    OK

    06/05/2007 - 22:11:26
    [SCANSIONE DEL REGISTRO]
    {14D1A72D-8705-11D8-B120-000000000000} Infetto da BHO.Glotka.A

        • RIMOSSO * * *
          [H:]
          MASTER BOOT RECORD: OK
          BOOT SECTOR: OK

    H:\Documents and Settings\family\55222252.dll Infetto da BHO.Glotka.A
    Il file sarà spostato nella cartella di quarantena.
    H:\WINDOWS\1764618250.exe Infetto da Trojan.Win32.Small.PS

        • RIMOSSO * * *
          H:\WINDOWS\winlogon32.dll Infetto da Trojan.Win32.Small.PS
          Il file sarà spostato nella cartella di quarantena.
          H:\WINDOWS\winlogon32.exe Infetto da Trojan.Win32.Small.PS
          Il file sarà spostato nella cartella di quarantena.

    Chiavi Registro infette: 1.
    Files Infetti: 4.
    Files Sospetti: 0.
    Files Analizzati: 58075.
    Files Totali: 58075.
    Chiavi Registro rimosse: 1.
    Virus Rimossi: 1.

    Adesso puoi RIAVVIARE il computer per spostare il file nella cartella di quarantena.
    [SCANSIONE DELLA MEMORIA]
    OK

    06/05/2007 - 22:39:30
    [SCANSIONE DEL REGISTRO]
    OK
    [C:]
    MASTER BOOT RECORD: OK
    BOOT SECTOR: OK

    Chiavi Registro infette: 0.
    Files Infetti: 0.
    Files Sospetti: 0:D 😄 😄

    Comunque, quando connetto il modem a-square anti dialer continua a dirmi che explorer.exe è un probabile dialer. Perché?:?
    Comunque mi sembra che il mio pc stia ridando segni di normalità proprio quando ormai mi stavo preparando alla drammatica formattazione:x
    Quindi un grazie di cuore caro Wolf per il tempo che mi hai dedicato;)

    0
  • wolf.otakar
    Consiglio Direttivo

    @brandos said:

    Comunque, quando connetto il modem a-square anti dialer continua a dirmi che explorer.exe è un probabile dialer. Perché?:?

    Brandos anche a me ogni tanto a-squared Anti-Dialer segnala file "secondo lui sospetti", ma che in realta' non lo sono!

    Virit è un ottimo antivirus capace anche di rilevare ed eliminare numerosi rootkit; trattandosi di una versione trial, ti consiglio di disinstallarlo, poichè più anti-virus potrebbero andare in conflitto!

    Ti consiglio anche di usare per la sicurezza del tuo pc, più software Anti-Spyware: Ad-Aware - Spybot S&D - SuperAntiSpyware "tra i migliori"!!

    Posta un nuovo log con hijackthis! 🙂

    0
  • B
    User

    Con rammarico ho disinstallato Virit(dopo tutto gli devo riconoscenza) ed ecco il Logfile of HijackThis:
    Logfile of HijackThis v1.99.1
    Scan saved at 23.58.18, on 06/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
    H:\Programmi\Alwil Software\Avast4\ashServ.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\system32\spoolsv.exe
    H:\Programmi\Bonjour\mDNSResponder.exe
    H:\WINDOWS\eHome\ehRecvr.exe
    H:\WINDOWS\eHome\ehSched.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\WINDOWS\system32\slserv.exe
    H:\WINDOWS\ehome\ehtray.exe
    H:\WINDOWS\system32\RunDll32.exe
    H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
    H:\windows\system32\winlogon.exe
    H:\WINDOWS\system32\RUNDLL32.EXE
    H:\WINDOWS\system32\ctfmon.exe
    H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
    H:\Programmi\MSN Messenger\MsnMsgr.Exe
    H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
    H:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
    H:\WINDOWS\eHome\ehmsas.exe
    H:\Programmi\Alwil Software\Avast4\ashWebSv.exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    H:\WINDOWS\System32\alg.exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
    H:\WINDOWS\system32\dllhost.exe
    H:\WINDOWS\system32\slrundll.exe
    H:\WINDOWS\system32\wscntfy.exe
    H:\Programmi\a-squared Anti-Dialer\a2adguard.exe
    H:\Programmi\MSN Messenger\usnsvc.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\WINDOWS\system32\ntvdm.exe
    H:\WINDOWS\system32\rundll32.exe
    H:\PROGRA~1\IZArc\IZArc.exe
    H:\DOCUME~1\family\IMPOST~1\Temp\ARC37\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
    O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
    O4 - HKLM..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
    O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU..\Run: [Uniblue Registry Booster2] H:\Programmi\Uniblue\RegistryBooster2\RegistryBooster.exe /S
    O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O17 - HKLM\System\CCS\Services\Tcpip..{87D86D13-A550-463B-A7CC-CB0129DA6867}: NameServer = 193.70.152.15 193.70.152.25
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - H:\Programmi\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - H:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - H:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe
    :ciauz:

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Brandos,
    nel log è ricomparsa questa chiave:

     O4 - HKLM\..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
``` fixala, per il resto è pulito!

Ti consiglio di fare "anche" una scansione con [ccleaner](http://www.ccleaner.com), avviando tutte e due le opzioni del programma!

Se hai "ancora problemi" posta pure!

:ciauz:
    0
  • T
    User Newbie

    salve a tutti ragazzi!mi sn iscritto a questo forum non appena ho letto i numeri 0001
    o avuto un virus molto simile,si chiama 0004,che per un non si è fatto più vedere dopo una serie di log hijackthis
    il problema è che dopo un po,senza farsi notare,collega il tuo pc a un service a pagamento!
    x vederlo dovete aprire explorer andare in strumenti\opzioni internet\connessioni e se vedete nell'elenco apparire "service" eliminatelo subito!

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao tall99 e benvenuto nel Forum GT! 🙂

    0
  • S
    User

    ma superantispywear e anche un anti virus?il nod come lo vedete?datemi un cinsiglio, se ce un programma che fa sia da anti virus che fa anche le scsansioni etc,grazie.

    0
  • K
    User Attivo

    super antispyware è un buon programma; riconosce ed elimina svariate minacce.

    In linea di massima, oggi tutti gli antivirus nelle versioni internet security contengono i codici per eliminare anche gli spyware e gli adware.
    Se vuoi stare tranquillo, però, devi utilizzare un buon antivirus (kaspersky, trend micro, per esempio, se lo vuoi acquistare, oppure Avast se lo vuoi free), e 2 o 3 programmi antispyware.

    Un prodotto specifico è sempre più sicuro ed efficace.

    :ciauz:

    0
Effettua l'accesso per rispondere