robfum

Utenti
 Visualizza profilo  Vedi la sua attività

  • Numero contenuti

    3

  • Iscritto

  • Ultima visita

Su robfum

  • Livello
    Iniziato
  1. Ciao Kuma, sono riuscito ad installare la Recovery Console di Windows con qualche ricerca, in quanto ho un Sony Vaio che arriva con una coppia di DVD da quali si può solo lanciare un'installazione completa che rade al suolo tutto e reinstalla windows e una montagna di altro software. Lanciando c:\windows\i386\winnt32.exe /cmdcons si può installare la console. Non ho usato SDFix, mi sembra tutto stabile, e preferisco non toccare più niente. Stiamo a vedere. Grazie Roberto
  2. Ciao angelique e grazie per la risposta! Al momento penso che la minaccia sia disattivata. In effetti ho 5 tasks sconosciuti in WIndows Tasks (quelli a cui facevo riferimento nel precedente messaggio). Il problema è che sono Hdden e ReadOnly e non riesco a cambiare questi attributi. Comunque sò gia che lanciavamo il famoso MONDVNMM.EXE. Il problema è che vorrei mandare questo eseguibile ai vari produttori di Antivirus/Antispyware ma non riesco perchè come ho scritto riesco a spostarlo e rinominarlo, ma non riesco a cancellarlo zipparlo copiarlo o allegarlo ad una mail, come se fosse in uso. Al momento è sul mio desktop, rinominato in UFFA. Hai idea di come poter cambiare gli attributi a questi files? Ho provato anche in safe mode. Unica cosa ancora da fare eè fare il boot con altro S.O. (penso da dvd si possa fare) Grazie Roberto Logfile of HijackThis v1.99.1 Scan saved at 13.45.28, on 04/05/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sony\VAIO Event Service\VESMgr.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Program Files\Sony\SmartWi Connection Utility\SmartWiService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Program Files\Apoint\Apoint.exe C:\Program Files\Sony\VAIO Power Management\SPMgr.exe C:\Program Files\Sony\ISB Utility\ISBMgr.exe C:\Program Files\Sony\SmartWi Connection Utility\WCULauncher.exe C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Program Files\Protector Suite QL\menusw.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Apoint\Apntex.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Sony\SmartWi Connection Utility\SmartWiTogglet.exe C:\Program Files\X-Lite\X-Lite.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\Windows Desktop Search\WindowsSearch.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Program Files\Skype\Plugin Manager\SkypePM.exe C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: del.icio.us Toolbar Helper - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [sonyPowerCfg] "C:\Program Files\Sony\VAIO Power Management\SPMgr.exe" O4 - HKLM\..\Run: [iSBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe O4 - HKLM\..\Run: [WCULauncher] C:\Program Files\Sony\SmartWi Connection Utility\WCULauncher.exe O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe" O4 - HKLM\..\Run: [VAIO Recovery] C:\WINDOWS\Sonysys\VAIO Recovery\PartSeal.exe O4 - HKLM\..\Run: [\\OBI-WAN_KENOBI\EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P43 "\\OBI-WAN_KENOBI\EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800" O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [biomenu] "C:\Program Files\Protector Suite QL\menusw.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [XSC SIP Client] "C:\Program Files\X-Lite\X-Lite.exe" O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Transfer by Image Converter 2 Plus - C:\Program Files\Sony\Image Converter 2\menu.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople O16 - DPF: {02CF1781-EA91-4FA5-A200-646E8241987C} (VaioInfo.CMClass) - http://esupport.sony.com/VaioInfo.CAB O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1159262226687 O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://fotoalbum2.aruba.it/admin/ImageUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8C6F01-9118-4DCE-9168-AA255DCBAF83}: NameServer = 192.168.1.1 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\fusstub.dll O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: SmartWiService - Sony Electronics, Inc - C:\Program Files\Sony\SmartWi Connection Utility\SmartWiService.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
  3. Salve a tutti. Da ieri mi stò scontrando con una qualche minaccia che non riesco ad identificare. Tutto è cominciato con Outpost firewall che mi avvisava che QVDZAB.EXE stava tentando di connettersi a 193.200.29.166 usando il protocollo http. Fermo il programma con il task manager. Cerco il malandrino e lo trovo in c:\document & setting\roby\local setting\temp Blocco il malandrino lo zippo con password e allego ad una mail che l'intezione di inviarlo a qualche produttore di software antivirus / antispyware, ma lascio la mail in bozze. Butto tutto il contenuto della cartella c:\document & setting\roby\local setting\temp Nel frattempo lancio una scanzione completa del sistema con Kaspersky e vado a pranzo. Al ritorno il mio fido antivirus mi annuncia: L'allegato del messaggio di posta \qvdzab.zip\qvdzab.exe: rilevata nuova variante di un virus Password-protected-EXE Lo dezzippo e lo faccio verificare da Kaspersky, ma non trova virus. Allora vado sul sito di Kaspersky e lo verifico con lo strumento on-line, e finalmente mi dice che si tratta di a variant of Win32/Dialer.RU. A questo punto decido di buttare la mail in bozze (quella col sospetto virus), svuoto la cartella posta eliminata, e riavvio il PC. Al riavvio OUTPOST mi annuncia che ho un nuovo problema. Questa volta si chiama mondwnmm.exe e stà cercando di connettersi a 85.255.115.133 sempre su porta 80. Lo cerco e lo trovo in c:\windows\system32\, e oltrettutto trovo questi messaggi nel file (è solo una parte la cosa si ripete più o meno uguale per diverse volte) "tuatg.job" (mondwnmm.exe) Started 5/2/2007 9:56:38 AM "Task Scheduler Service" 5/2/2007 9:56:38 AM ** Error ** An error has occurred that will negatively affect the operation of the service. The specific error is: 0x80070005: Access is denied. Try using the Task page Browse button to locate the application. "Task Scheduler Service" 5/2/2007 9:56:38 AM ** Error ** A failure occurred during service initialization. The specific error is: 0x80070005: Access is denied. Try using the Task page Browse button to locate the application. "Task Scheduler Service" Exited at 5/2/2007 9:56:38 AM Blocco anche questo con OUTPOST. Lo fermo nel task manager, lo testo con Kaspersky ma niente. Allora vado sul sito di Karspesky e lo testo con lo strumento online, ma non mi dà nessun risultato cioè si comporta come se non avessi premuto il tasto submit. Strano! Con qualsiasi altro file mi dà risposte anche se negative.. Verifico e mi accorgo che è un file readonly. Cerco di sproteggerlo ma non riesco mi dice che il file è in uso. Lo sposto sul desktop. E lui ci viene. Lo rinomino. SI lascia rinominare. Cerco di zipparlo..non riesco. Installo Unlocker che è un'utility per rimuover file ostici alla rimozione. Non riesce a rimuoverlo e sclgo l'opzione di rimuoverlo al successivo riavvio. Riavvio la macchina. Non si rimuove! Allora Installo HijackThis e controllo tutto. Non vedo nulla di strano.Installo e testo con Superantispam, AD-Aware, a-squared ANti-Dialer free, Spyware terminator. Nessuno trova nulla, ma in compenso al succesivo riavvio la macchina non riparte ma si riavvia. In safe mode parte ma in modalità standard no. Scelgo allora di riavviare in base all'ultima configurazione funzionante e il sistema riparte. A questo punto cercando negli eventi di sistema, per capire cosa poteva essere la causa di questi riavvii mi accorgo che il Task Scheduler è già un paio di volte che non è partito Event Type: Error Event Source: Service Control Manager Event Category: None Event ID: 7023 Date: 03/05/2007 Time: 11.27.47 User: N/A Computer: YODA Description: The Task Scheduler service terminated with the following error: Access is denied. Trovo la DLL in questione e la faccio verificare al solito modo da Kaspersky sia locale che online. Niente. A questo punto sono con un bel file sul desktop che non riesco a eliminare o zippare o copiare in nessun modo ma riesco a rinominare e spostare(!!!), il task scheduler che non riparte, un mucchio di antispyware installati e parecchi sulla situazione della mia macchina. Il file in questione potrebbe essere una cartella mascherata da file che contiene qualcosa in esecuzione....si lo sò stò vaneggiando..ma ho dormito 4 ore questa notte! Graditi suggerimenti!