Condividi:        

Un quesito da profano

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Un quesito da profano

Postdi Bigmike » 24/07/05 17:22

Chiedo venia sin dall'inizio.
Vi ho letto un po' di volte e ho cercato di seguire diverse vostre indicazioni anche se per me é molto difficile capire qualcosa in quanto sono molto ignorante in materia e mi limito all'abc.
Come sistema ho XP
Come anitvirus ho ANTIVIR
Inoltre ho installato ed uso regolarmente Spywareblaster, Ad-Aware, XoftSpy, SpybotSearch&Destroy.
Ho anche messo, seguendo i vostri consigli, Hijackthis.
Di tutte queste cose mi limito a fare almeno un aggiornamento alla settimana e un controllo di tutti.
Ora la questione:
é da un certo periodo che Antivir mi apre una finestrella con la seguente dicitura: C:\SYSTEM VOLUME INFORMATION\_RESTORE{67866640-D69D-4C7F-810B-09CE7B1E6FD4}\RP215\A0048788.EXE

e subito dopo quest'altra scritta:

Is the Trojan horse TR/Dldr.Bandos.F

Ora....leggendo qua e là il forum mi sembra di aver capito che non tutto quello che sembra essere un Trojan alla fine lo é e che si rischia di eliminare cose che alla fine sono utili al buon funzionamento del pc.
Magari qualcuno si farà una grassa risata leggendomi...ma va bene lo steso....ci sta....Se qualcuno mi potesse dire anche cosa fare (cioé se eliminare quel file (o quel che é) mi farebbe una grnade cortesia.
Risolto questo che penso sia più facile, avrei anche un altro dilemma....ma preferisco fare una cosa alla volta.
Chiedo in ultima battuta a chi mi risponderà di scrivere la risposta come se dovesse darla ad un bambino scemo altrimenti mi perdo subito.
Gracias.
Bigmike
Newbie
 
Post: 6
Iscritto il: 24/07/05 17:09

Sponsor
 

Postdi Mikizo » 24/07/05 17:25

Posta un log di HijackThis (o se ti riesce analizzalo da solo utilzzando questa guida: http://www.pc-facile.com/guida_hijackthis_t148946/
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi toni84 » 24/07/05 17:31

ciao allora segui queste semplice e poche operazioni:

1-Disattiva il ripristino di configurazione di sistema
Start>pannello di controllo>sistema>vai sulla scheda riprtistino configurazione di sistema,metti la spunta nella casella>applica>ok

2-Avvia in modalita provvisoria
Dopo aver fatto il passaggio di sopra riavvia il pc,dopo le prime scritte premi in continuazione il tasto F8 poi ti uscirà una schermata con delle opzioni,tu scegli "AVVIA IN MODALITA' PROVVISORIA"

3-Una volta dentro
Start>pannello di controllo>opzioni cartelle>portati sulla scheda visualizzazione>metti la spunta nella casella "visualizza file e cartelle nascoste">applica>ok

4-Ripeti sempre in modalità provvisoria le varie scansioni,dalle opzioni internet svuota i cookie e i file temporanei,se usi firefox strumenti>opzioni>privacy>cookie clicca su svuota,cache clicca su svuota!!

Torna in modalità normale(riavvia il pc)penso che abbiamo risolto dato che abbiamo svuotato il system restore disattivando il ripristino di configurazione di sistema ;) ;) ;) ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Bigmike » 24/07/05 17:32

Già fatto...e ne ho cancellato uno come mi diceva.
Di questo mi ha detto che é sconosciuto.
In ogni caso riprovo a mettere tutto qui sotto:

Logfile of HijackThis v1.99.1
Scan saved at 13.09.53, on 24/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
C:\Programmi\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\Toshiba\TOSHIBA Controls\TFncKy.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Michele\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... earch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fineco.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... earch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fineco.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programmi\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] C:\Programmi\Toshiba\TOSHIBA Controls\TFncKy.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programmi\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId= ... lcid=0x409
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Ba ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCCF8F5F-7B17-4298-90FE-A1E2CB41A41B}: NameServer = 85.37.17.13 151.99.125.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOCUME~1\MICHELE\IMPOST~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Bigmike
Newbie
 
Post: 6
Iscritto il: 24/07/05 17:09

Postdi toni84 » 24/07/05 17:39

casomai riprova,dal log non appare niente anzi è propio pulito l'unico consiglio che posso darti e di seguire le operazioni messe sopra e di aggiornare il java,disinstalla la vecchia dal pannello di controllo(è vecchie e contiene molte falle)e installare la 1.05,ciao ciao
http://www.java.com/it/download/windows_xpi.jsp
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Mikizo » 24/07/05 17:45

Visto il log pulito, è probabile che l'avviso di Antivir sia un semplice avviso di aver inrecettato e bloccato il trojan nel momento in cui questo stava infettando il sistema.

Il fatto che si riproponga lo stesso trojan può dipendere dalle tue navigazioni o da qualche programma non pulitissimo che hai installato di recente (ma è molto più probabile la prima ipotesi)
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Bigmike » 24/07/05 21:08

toni84 ha scritto:ciao allora segui queste semplice e poche operazioni:

1-Disattiva il ripristino di configurazione di sistema
Start>pannello di controllo>sistema>vai sulla scheda riprtistino configurazione di sistema,metti la spunta nella casella>applica>ok

2-Avvia in modalita provvisoria
Dopo aver fatto il passaggio di sopra riavvia il pc,dopo le prime scritte premi in continuazione il tasto F8 poi ti uscirà una schermata con delle opzioni,tu scegli "AVVIA IN MODALITA' PROVVISORIA"

3-Una volta dentro
Start>pannello di controllo>opzioni cartelle>portati sulla scheda visualizzazione>metti la spunta nella casella "visualizza file e cartelle nascoste">applica>ok

4-Ripeti sempre in modalità provvisoria le varie scansioni,dalle opzioni internet svuota i cookie e i file temporanei,se usi firefox strumenti>opzioni>privacy>cookie clicca su svuota,cache clicca su svuota!!

Torna in modalità normale(riavvia il pc)penso che abbiamo risolto dato che abbiamo svuotato il system restore disattivando il ripristino di configurazione di sistema ;) ;) ;) ciao ciao



Scusa Tony,
ma se faccio questa procedura rischio di "perdere" anche cose che mi interesano?
Come ho già detto non capisco niente e non vorrei perdere alcuni aggiornamenti e altre cose che uso per lavoro. Faccio trading e ho dovuto cambiare alcune impostazioni ecc. ecc (almeno così ricordo).
Vado tranquillo o poi mi devo ricordare cosa ho fatto negli ultimi tempi?.
Grazie e scusa ancora.
Bigmike
Newbie
 
Post: 6
Iscritto il: 24/07/05 17:09

Postdi toni84 » 24/07/05 21:13

ciao non perdi niente stai tranquillo,annuli solo i vecchi punti di ripristino(system restore)ed allora se c'è qualche virus li si puo eliminare dato che è una cartella nascosta e protetta!!

PS:Se hai gia usato il riprtistino cioè hai riportato indietro il pc per vari motivi disattivando quell'opzione il pc non si riaccende,se invece non hai usato nessun punto di ripristino vai tranquillo!!!ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Bigmike » 24/07/05 22:52

toni84 ha scritto:ciao non perdi niente stai tranquillo,annuli solo i vecchi punti di ripristino(system restore)ed allora se c'è qualche virus li si puo eliminare dato che è una cartella nascosta e protetta!!

PS:Se hai gia usato il riprtistino cioè hai riportato indietro il pc per vari motivi disattivando quell'opzione il pc non si riaccende,se invece non hai usato nessun punto di ripristino vai tranquillo!!!ciao ciao


Ok...Fatto tutto con esito negativo.
Risulta tutto a posto....Non so se rallegrarmi o meno.
Ho rimesso tutto a posto come prima del tentativo di controllo suggeritomi.

Dimenticavo....come firewall uso ZoneAlarm....spero vada bene.

Grazie per questo aiuto....molto genitili. ;)
Bigmike
Newbie
 
Post: 6
Iscritto il: 24/07/05 17:09

Postdi Bigmike » 24/07/05 22:54

Il secondo quesito....e scusate se approfitto ancora della vostra cortesia é il seguente:

Ogni volta che accendo il pc mi appare questo messaggio:

Si è verificato un errore in _VWUPSRV.EXE. L'applicazione verrà chiusa.

Se cerco nelle cartelle/file il nome _VWUPSRV.EXE il pc non trova niente.
A questo punto presumo che si tratti di qualche file perso.....O no?
Che faccio?

Grazie ancora una volta.
Bigmike
Newbie
 
Post: 6
Iscritto il: 24/07/05 17:09

Postdi Mikizo » 24/07/05 23:17

Se te la cavi con l'inglese, leggi qui:
http://castlecops.com/t124751-Error_Mes ... eeded.html
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Bigmike » 25/07/05 13:09

Mikizo ha scritto:Se te la cavi con l'inglese, leggi qui:
http://castlecops.com/t124751-Error_Mes ... eeded.html


Con l'inglese me la cavo a malapena e ho provato a cercare di capire quello che dicevano e seguire le indicazioni...ma nulla é cambiato.
Forse é dovuto ad un iniziale problema di aggiornamento nell'update di Antivir che poi non so come ho risolto.
Possibile che tutto nasca da lì come mi sembra di aver capito possa essere.
Fatto sta che al momento non ne vengo a capo. :roll:
Bigmike
Newbie
 
Post: 6
Iscritto il: 24/07/05 17:09


Torna a Sicurezza e Privacy


Topic correlati a "Un quesito da profano":


Chi c’è in linea

Visitano il forum: Nessuno e 36 ospiti