Kuma

Expert
  • Numero contenuti

    12,100
  • Iscritto

  • Ultima visita

Su Kuma

  • Livello
    Oracolo
  • Compleanno 05/21/1961

Contact Methods

  • Website URL
    http://www.kuma215.it
  • ICQ
    0

Profile Information

  • Località
    Japan
  1. Ciao piuma... l'ultimo log non rileva files infetti (quello rilevato non fa parte del Bagle e non è una minaccia) il file ntuser.dat riguarda il profilo utente, che rappresenta ciò che l’utente stesso vede quando fa accesso ad un computer; con estensione .log probabilmente e solo una registrazione degli eventi... con tale estensione non può essere un'infezione.... Attualmente che problemi riscontri???
  2. Ciao, ben arrivato e buon anno anche a te; Se pensi che il problema sia il CID, disinstalla MESSANGER e reinstallalo senza accettare gli sponsor Scarica questi programmi che ti serviranno anche per una futura manutenzione: Ccleaner (pulizia generale) + Vise Registry Cleaner + Lingua italiana una volta scaricato, (dopo averlo decompresso) copialo nella cartella "Language" del programma Quando installi Ccleaner ricordati che se lasci le spunte di defualt ,verrà installata anche la toolbar yahoo (togli le spunte se non la vuoi) STAMPA queste istruzioni (oppure salvale in un file sul desktop) Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup CON TUTTE LE APPLICAZIONI CHIUSE.... .Avvia Hijack e clicca su "do a system scan only" Metti la spunta a queste voci e clicca su "fix checked O4 - HKLM\..\Run: [stupid Data Dart Wave] C:\Documents and Settings\All Users\Dati applicazioni\flag ace stupid data\win wait.exe Ripulisci il sistema con Ccleaner ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a : Pulisci il registro con Vise Registry Cleaner 1.x (Pulizia del Registro) (è normale che nel log visualizzi che alcune voci non possono essere rimosse) NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale. rifai il log di Hijack e mettilo qui per un ulteriore controllo (il log va fatto in modalità normale) specificando se il problema ti pare che si sia risolto e le cose che non sei riuscito a fare ---------------- Se dopo la pulizia, (dopo il riavvio) il sistema ti sembra che funzioni correttamente, Disabilita il Ripristino di configurazione su tutte le unità; (nota che questo ELIMINERà TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..) Quindi riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito --
  3. Ciao... ci sono già aperti altri post a questo riguardo (se li trovo te li linko) in linea di massima, devi terminare dal Task Manager il processo se esiste (Knight) inserire la penna ed eliminare i file infetti, cercare nel Pc (nelle cartelle Windows e System32) la presenza degli stessi files ed eliminarli... Prova anche ad usare questo tool apposito: KnightFix = http://www.wininizio.it/storage/kfiles/AntiKnight.rar Per la pulizia del registro, rimandiamo a più tardi (quando trovo i link) questa è la pulizia manuale (nel caso il tools fallisse) Per prima cosa cerca sul pc i files chiamati "autorun.inf" ed eliminali (è probabile che sia nella cartella: C:\WINDOWS) Aprire il Task Manager e forzare la terminazione, nel caso fosse attivo, del processo knight.exe. Inserire la pendrive infetta nel pc ed aprirne il contenuto. Impostare sulle opzioni di visualizzazione delle cartelle la possibilità di mostrare i file nascosti e i file di sistema. Eliminare dalla pendrive i file knight.exe e autorun.inf. Eliminare dalla cartella C:\WINDOWS il file knight.exe. Cercare ed eliminare dal registro di Windows ogni occorrenza del termine "knight". Probabili richiami al registro HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1568509c-8a41-11dc-b036-000000000000}] \Shell\auto\command - X:\Knight.exe open \Shell\AutoRun\command - X:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open \Shell\explore\command - X:\Knight.exe open \Shell\find\command - X\Knight.exe open \Shell\install\command - X:\Knight.exe open \Shell\open\command - X:\Knight.exe open _________("X" è la lettera del tuo HD principale)____ Altro tool (grazie a Steve) * Scaricate questo tool (spagnolo) http://www.plusexpert.cl/download/AntiKnight.rar - estrai tutti i file in una cartella - inserisci la pendrive nel pc - apri il file AntiKnight - clicca su "buscar y reparar" - Alla fine togli la pendrive e riavvia il sistema
  4. Ciao... gli screenshot non servono a nulla ... Mica posso mettermi io a ricopiare a mano tutti i CLSID Se c'è un log copiali ed incollali direttamente da quello in modo che si possano copiare ed incollare su un motore di ricerca o in uno dei database online...
  5. Ciao, la voce è legittima, ma potrebbe anche essere usata da alcuni Malwares (il più famoso è NewMedia Codec, ma ce ne sono anche altri) tuttavia se non risultano file infetti nel PC, anche se per caso, la voce fosse riferita ad un'infezione, non ci sarebbero dei rischi (non esitendo il file che richiama) Non ho idea se sia il tuo caso (solitamente non mi fido di reegseeker che più di una volta ha causato problemi) Al limite prova a postare il CLSID (la serie alfanumerica chiusa tra parentesi che controlliamo) Un esempio: {a0c51615-738a-4542-801a-5af61614e182}\InProcServer32] @="C:\\WINDOWS\\system32\\higjxe.dll" (in questo caso si tratta di malware [spyfalcon]) Puoi anche incollare il CLSID su Google per trovare le info, oppure affidati a questo sito (per i files): http://www.bleepingcomputer.com/filedb/
  6. Ciao, dipende da che portatile usi... leggi qui: http://www.wininizio.it/forum/index.php?showtopic=67872
  7. [ben]jjump[/ben] Ciao, posta il log di HIJACK completo dalla prima all'ultima riga che vediamo cosa si carica... Visto che ci siamo, preleva l'ultima versione per fare il log (quella che usi è ormai vecchia) Istruzioni e Download Hijack ___ PS___ Speriamo che non sia troppo infetto, perchè molti tools non lavorano con windows 98 :angel_not:
  8. Ciao Wile... puoi provare ad usare uno dei tool di monitoraggio (System Safe Monitor) http://www.wininizio.it/forum/index.php?sh...mp;#entry251106
  9. Ciao... sono entrambi legittimi e puoi disabilitarli entrambi... Mi pare che caricano l'icona per i settaggi nella TrayBar, e siccome non credo che modifichi i settaggi ogni giorno, puoi anche raggiungerli all'occorrenza dal Pannello di Controllo (i files con estensione CPL fanno infatti parte delle icone del pannello di controllo) Se disabiliti il primo, controlla solo se l'audio funziona correttamente
  10. Ciao... non me ne intendo proprio... Guarda se qualcuno può tradurti questo dal francese: http://www.commentcamarche.net/forum/affic...ure-check-cable Questa te la traduco io dall'inglese: It looks like your laptop is trying to do a network boot. You will have to go into the BIOS and disable network boot and/or rearrange the boot order so it boots off a local device and not the LAN. Sembrerebbe che il portatile tenti di fare un avvio dal Network. Devi entrare nel BIOS e disabilitare il "Network Boot" e/o riordinare l'ordine delle periferiche d'avvio che deve essere eseguito da un disco locale e non da una rete (Lan)
  11. Ciao e benvenuto anche da parte mia Disinstalla (da installazione applicazioni) questa se presente: Adssite Advanced Toolbar e anche Search Assistant Da Start\Esegui digita: (uno alla volta seguito da Invio) regsvr32 /u gzmrt.dll regsvr32 /u adssite_sidebar.dll regsvr32 /u nssCD6.dll --- Scarica questi programmi che ti serviranno anche per una futura manutenzione: Ccleaner (pulizia generale) + Vise Registry Cleaner + Lingua italiana una volta scaricato, (dopo averlo decompresso) copialo nella cartella "Language" del programma Quando installi Ccleaner ricordati che se lasci le spunte di defualt ,verrà installata anche la toolbar yahoo (togli le spunte se non la vuoi) STAMPA queste istruzioni (oppure salvale in un file sul desktop) Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva "nascondi file protetti di sistema" e Togli la spunta da: "Nascondi le estensioni dei file per i tipi di file conosciuti"(Pannello di controllo > Opzioni Cartella > Visualizzazione) Avvia il sistema in Modalità Provvisoria CON TUTTE LE APPLICAZIONI CHIUSE.... .Avvia Hijack e clicca su "do a system scan only" Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked O2 - BHO: Media Holding Enterprises, LLC - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - (no file) O2 - BHO: rightonads optimizer - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - C:\WINDOWS\system32\gzmrt.dll O2 - BHO: Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nssCD6.dll O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Programmi\Adssite Advanced Toolbar\toolbar.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart O15 - Trusted Zone: www.powersoft.name O15 - Trusted Zone: www.superspots.biz Trova e se ci sono elimina questi files o cartelle usando esplora risorse C:\WINDOWS\system32\gzmrt.dll C:\WINDOWS\system32\adssite_sidebar.dll C:\WINDOWS\system32\nssCD6.dll Ripulisci il sistema con Ccleaner ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a : Pulisci il registro con Vise Registry Cleaner 1.x (Pulizia del Registro) (è normale che nel log visualizzi che alcune voci non possono essere rimosse) NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale. rifai il log di Hijack e mettilo qui per un ulteriore controllo (il log va fatto in modalità normale) specificando se il problema ti pare che si sia risolto e le cose che non sei riuscito a fare ---------------- Se dopo la pulizia, (dopo il riavvio) il sistema ti sembra che funzioni correttamente, Disabilita il Ripristino di configurazione su tutte le unità; (nota che questo ELIMINERà TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..) Quindi riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito --
  12. Esistono programmi per fare quello che dici, il problema è che probabilmente i driver per NT non sono compatibili con Windows 98 e rischi di creare conflitti e mandare tutto in blocco
  13. Ciao... è sicuramente a causa di un'infezione... per ora comincia a postare un log di Hijack (sposto nell'apposita sezione)
  14. ciao... Sei infetto da INSTAN ACCESS (istruzioni più sotto) il Bagle pare non ci sia, ma combofix ti ha rimosso un altro trojan (knight.exe) questo virus, purtroppo, infetta il Pc e tutti i drive portatili (penne USB) anzi, è probabile che ti sei infettato proprio tramite una penna USB... Adesso ogni volta che inserirai la penna infetta, rischi di reinfettarti (se la apri)... il virus ha anche un meccanismo inverso, cioè il file eliminato da combofix, si autocopia in ogni drive portatile inserito nelle prese USB per infettarle Per prima cosa cerca sul pc i files chiamati "autorun.inf" ed eliminali (è probabile che sia nella cartella: C:\WINDOWS) Aprire il Task Manager e forzare la terminazione, nel caso fosse attivo, del processo knight.exe. Inserire la pendrive infetta nel pc ed aprirne il contenuto. Impostare sulle opzioni di visualizzazione delle cartelle la possibilità di mostrare i file nascosti e i file di sistema. Eliminare dalla pendrive i file knight.exe e autorun.inf. Eliminare dalla cartella C:\WINDOWS il file knight.exe. Cercare ed eliminare dal registro di Windows ogni occorrenza del termine "knight". Qui ti metto quelle rilevate, ma potrebbero essercene altre..[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1568509c-8a41-11dc-b036-000000000000}] \Shell\auto\command - G:\Knight.exe open \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open \Shell\explore\command - G:\Knight.exe open \Shell\find\command - G:\Knight.exe open \Shell\install\command - G:\Knight.exe open \Shell\open\command - G:\Knight.exe open _________ INSTANT ACCESS: DISINSTALLA QUICK TIME (lo reistallerai in seguito) e poi elimina la cartella in C:\Programmi\QuickTime Avvia in MODALITà PROVVISORIA e Taglia il file indicato ed Incollalo sovrascrivendo l'originale: (in pratica il file buono è quello all'interno della cartella BAK) C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe <-- TAGLIA C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe <-- INCOLLA C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe <-- TAGLIA C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe <-- INCOLLA C:\Programmi\CCleaner\bak\ccleaner.exe <-- TAGLIA C:\Programmi\CCleaner\ccleaner.exe <-- INCOLLA C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe <-- TAGLIA C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe <-- INCOLLA C:\Programmi\OLYMPUS\OLYMPUS Master\bak\Monitor.exe <-- TAGLIA C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe <-- INCOLLA C:\Programmi\PC Tools Firewall Plus\bak\FirewallGUI.exe <-- TAGLIA C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe<-- INCOLLA C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe <-- TAGLIA C:\Programmi\Spyware Terminator\Spywareterminatorshield.Exe <-- INCOLLA C:\WINDOWS\system32\bak\ctfmon.exe <-- TAGLIA C:\WINDOWS\system32\ctfmon.exe<-- INCOLLA Il log di Hijack non evidenzia nulla, ma ci sono dei file sospetti creati di recente (visualizzati da combofix) Fai una scansione Avanzata come descritto qui ed allega il log in formato HTML http://forum.wininizio.it/index.php?showtopic=36981&hl= Vediamo se Kaspersky li rileva come infetti... se non li rileva, per avere un maggior riscontro, falli analizzare su VIRUS TOTAL (nella mia firma) C:\Documents and Settings\andrea\bhkbgail.exe C:\Documents and Settings\andrea\zieggcmh.exe
  15. Ciao... mettici Spyware Terminator: http://www.wininizio.it/forum/index.php?s=...st&p=251105 una volta installato, vai nelle opzioni del programma ed impostalo per bloccare solo le minacce conosciute (altrimenti è troppo potente e potresti avere problemi nell''installazione di qualche programma) Non so dirti per l'altro problema... se succede da poco, ripristina il sistema ad una data precedente (quando il problema non c'era) però in questo caso, devi anche disinstallare nuovamente quell'antispy ecc...