| Autore |
 Discussione  |
|
jada
Average Member
Città: Trieste
72 Messaggi |
 Inserito il - 08/06/2006 : 11:32:09
|
ciao!!
ho un problema su un computer con un virus che avast mi segnala come Win32:horst-c.
ho già letto qc sul forum x arginare la situazione e ho fatto come detto nella discussione
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5754&whichpage=2
mi sono arenata al regedit. a parte un po' di titubanza a cancellare così nei registri nn mi è molto chiaro cosa cercare. insomma cos'è una VOCE STRANA??????? 
se qc1 mi aiuta grazie mille!!!!!!!! 
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 08/06/2006 : 12:40:30
|
eh eh eh...
ok ok...una voce strana è per esempio: win32horstc
quella è una voce strana..perchè a colpo di occhio capisci immediatamente che non è propria del sistema ma che appartiene al tuo amico che si è installato nel pc(il trojan)....
oppure nella disc faccio un esempio..una voce strana potrebbe essere winsi32.exe...poi dico anche di vedere sove si trova il file in questione..se è nel system32 controlla doppiamente,,magari fatti aiutare da google..inserisci la voce che ti sembra strana e fai un cerca...e vedi che ti dice..se appartiene a un worm..a un trojan..ecc..eliminala..l'importante è che devi fare scansione e ricerca voci nell'ordine esatto in cui te lo descritto nella discussione che hai linkato...se no non serve a niente...si rifoma ogni volta....e l'eliminazione dal regedit serve proprio a questo...non deve riformarsi al riavvio....
cmq dovrebbe essere uscita la patch per quel coso...ormai è un mese che lo becco nei pc degli utenti..quindi mi sa che spybot o adware lo riescono a togliere con successo...
ok?????
se hai problemi basta che posti..e ricorda che se hai un dubbio il tuo migliore amico è google..ma non prendere tutto come oro colato...stai xcauta nel cancellare file..non vorrei che dovessi formattare subito dopo aver eliminato il desktop...
ciaooooooooooooo |
 |
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
Inserito il - 08/06/2006 : 14:24:06
|
grazie mille!!!
fin ora (ieri sera-stamattin  )avevo fatto proprio come avevi detto all'altro ragazzo (ordine etc) e poi nn l'ho ancora ne messo in rete ne riavviato. aspettavo di capire meglio qc su questo regedit... (ammetto di esserne un po' intimorita  )
mi sembra che spybot avesse beccato qc con un nome simile. invece adware (che già usavo prima e aggiornavo spesso) nn l'aveva visto neanke x il fiocco..
grazie ancora, ti saprò dire!!
ps: xkè avast nn combina a toglierlo? nn dovrebbe essere un antiVIRUS??
ps: sono finita qua mettendo proprio in google il nome del virus grazie cmq x il consiglio
|
|
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
 Inserito il - 08/06/2006 : 20:30:29
|
ottimo!!!
post scansione con 200 programmi nell'esatto ordine che davi tu vanx, ho dato un occhiata anche ai registri e nn ho trovato nessuna "voce strana"... ho riavviato... mi sono connessa.....
e quello ******* c'era ancora!!!!!! 
cosa faccio??????? aiuto.....
|
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 08/06/2006 : 22:06:05
|
va bene nessun problema..vorra dire che mi tocca fare tutto...
scarica questo programma htt*://[www].worldstart[.com]/weekly-download/archives/reg-cleaner4.3.htm
poi lo installi lo esegui e poi appena aperto selezioni il menù startup list(una delle 6-7 linguette)..e poi vai su file in alto e gli dici save list as txt...e poi mi posti il txt....qua...(non allegarlo copialo incollalo)
poi mi fai anche un log di hijackthis.... qui c'è scritto tutto htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
e poi mi raccomando non toccare piu niente..nel senso che non devi scansionare con nulla..non devi eliminare nesuna voce da nessun posto..non devi terminare processi dal task manager(ne prima ne dopo)..insomma fai quello che devi fare ma non eliminare o fizare nulla...ok?
ciaoooooooo
|
|
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
Inserito il - 08/06/2006 : 23:31:05
|
ma ti pagano??? o lo fai prorio solo xkè ti piace???
ok, mi metto al lavoro. tra stasera e domattina ti posto qc
grazie mille!!!!
|
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 08/06/2006 : 23:34:33
|
Citazione:
Messaggio inserito da jada
ma ti pagano???
no
Citazione:
Messaggio inserito da jada
o lo fai prorio solo xkè ti piace???
esatto...
postalo pure domani
stasera non sono abbastanza lucido per dirti cosa fixare e tutto il procedimento...
ciaoooo
|
|
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
Inserito il - 08/06/2006 : 23:49:15
|
eccomi super rapida con i risultati!!
reg cleaner: (smss l'ho visto anke io adesso..)
RegCleaner 4.3 by Jouni Vuorio
These programs are run everytime you start your computer. Try to keep this list as short as possible
[syntax: Program, Filename, Loaded from ]
.nvsvc, C:\WINDOWS\system\smss.exe /w, HKEY_LM\Run
Adobe Reader Speed Launch, N/A, Start Menu (Common User)
Avast!, C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe, HKEY_LM\Run
BDMCon, "C:\Programmi\Softwin\BitDefender8\bdmcon.exe", HKEY_LM\Run
BDNewsAgent, "C:\Programmi\Softwin\BitDefender8\bdnagent.exe", HKEY_LM\Run
Ctfmon.exe, C:\WINDOWS\system32\ctfmon.exe, HKEY_CU\Run
DAEMON Tools, "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033, HKEY_LM\Run
Desktop, N/A, Start Menu
Desktop, N/A, Start Menu (Common User)
ITunesHelper, "C:\Programmi\iTunes\iTunesHelper.exe", HKEY_LM\Run
Microsoft Office, N/A, Start Menu (Common User)
NeroFilterCheck, C:\WINDOWS\system32\NeroCheck.exe, HKEY_LM\Run
NvCplDaemon, RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup, HKEY_LM\Run
NvMediaCenter, RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit, HKEY_LM\Run
PCShield, Regsvr32 /s "C:\WINDOWS\system32\sfg_275d.dll", HKEY_LM\Run
PinnacleDriverCheck, C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg, HKEY_LM\Run
QuickTime Task, "C:\Programmi\QuickTime\qttask.exe" -atboottime, HKEY_LM\Run
RemoteControl, C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe, HKEY_LM\Run
SoundMan, Soundman.exe, HKEY_LM\Run
SunJavaUpdateSched, C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe, HKEY_LM\Run
WatchDog, C:\Programmi\mobile PhoneTools\WatchDog.exe, HKEY_LM\Run
log da hijackthis:
htt*://freefilehosting.net/?id=pdz3m6rZ
cmq questa ultima volta che ho aperto e connesso nn si è presentato. che fastidio quasi ti illude di essersene andato solo......... uff
|
|
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
Inserito il - 08/06/2006 : 23:51:13
|
bon allora lo spengo. al limite rifaccio domattina. tanto ho visto che si tratta di una cosa super rapida!
grazie e buona serata!! |
|
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
Inserito il - 09/06/2006 : 09:50:02
|
il file di log è
htt*://freefilehosting.net/?id=pdz2lqTa
x quanto riguarda regclean:
RegCleaner 4.3 by Jouni Vuorio
These programs are run everytime you start your computer. Try to keep this list as short as possible
[syntax: Program, Filename, Loaded from ]
.nvsvc, C:\WINDOWS\system\smss.exe /w, HKEY_LM\Run
Adobe Reader Speed Launch, N/A, Start Menu (Common User)
Avast!, C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe, HKEY_LM\Run
BDMCon, "C:\Programmi\Softwin\BitDefender8\bdmcon.exe", HKEY_LM\Run
BDNewsAgent, "C:\Programmi\Softwin\BitDefender8\bdnagent.exe", HKEY_LM\Run
Ctfmon.exe, C:\WINDOWS\system32\ctfmon.exe, HKEY_CU\Run
DAEMON Tools, "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033, HKEY_LM\Run
Desktop, N/A, Start Menu
Desktop, N/A, Start Menu (Common User)
ITunesHelper, "C:\Programmi\iTunes\iTunesHelper.exe", HKEY_LM\Run
Microsoft Office, N/A, Start Menu (Common User)
Msnmsgr, "C:\Programmi\MSN Messenger\msnmsgr.exe" /background, HKEY_CU\Run
NeroFilterCheck, C:\WINDOWS\system32\NeroCheck.exe, HKEY_LM\Run
NvCplDaemon, RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup, HKEY_LM\Run
NvMediaCenter, RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit, HKEY_LM\Run
PCShield, Regsvr32 /s "C:\WINDOWS\system32\sfg_275d.dll", HKEY_LM\Run
PinnacleDriverCheck, C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg, HKEY_LM\Run
QuickTime Task, "C:\Programmi\QuickTime\qttask.exe" -atboottime, HKEY_LM\Run
RemoteControl, C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe, HKEY_LM\Run
SoundMan, Soundman.exe, HKEY_LM\Run
SunJavaUpdateSched, C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe, HKEY_LM\Run
WatchDog, C:\Programmi\mobile PhoneTools\WatchDog.exe, HKEY_LM\Run
cosa ti sembra?? 
ciauu |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 09/06/2006 : 09:52:48
|
Citazione:
Messaggio inserito da jada
ottimo!!!
post scansione con 200 programmi nell'esatto ordine che davi tu vanx, ho dato un occhiata anche ai registri e nn ho trovato nessuna "voce strana"... ho riavviato... mi sono connessa.....
e quello ******* c'era ancora!!!!!!
cosa faccio??????? aiuto.....
meglio se mi dici anche che cosa c'era ancora..nel senso..ora come ora che problemi ti da.....?
ciaoo |
|
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
Inserito il - 09/06/2006 : 14:02:44
|
di solito mi si apriva la finestra di avast a segnalare la presenza di codesto virus. in genere succedeva quando mi connettevo a intenet.
dopo aver fatto la pulizia come avevo copiato dall'altra discussione fino al regedit ho riavviato e ho provato a connettermi... e la finestra di avast è uscita ancora a segnalare la sua presenza.
l'ultima volta che mi è apparsa la schermata di avast sconsolata nn ho fatto altro che chiuderla con la x. quindi nn ho provato nessuna rimozione.
successivam mi sono connessa a internet altre 2 volte ma la finestra il virus nn ha manifestato la sua presenza tramite avast. anke se dopo l'ultima segnalazione nn ho tentato nessun mezzo di estirpamento.
successivam (stamattina) ti ho postato quello che mi avevi chiesto x analizzare la situazione.
a parte la finestra di avast il computer nn mostra problemi comportamentali! almeno apparentemente.. forse è vagamente più lento nel caricare le pagine, ma forse è anke solo un impressione.. quindi come dire... nessun problema a parte la sirena di avast la maggior parte delle volte che tento di connettermi all'adsl.. 
uff....
cmq ho visto che ci sono discussioni precedenti su questo virus risalenti a 1-2 mesi fa (come dicevi anke tu x altro). mi fa davvero strano (e fastidio) che nessun aggiornamento riesca a toglierlo...
|
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 09/06/2006 : 14:26:02
|
| pc shield lo hai installato tu? |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 09/06/2006 : 14:38:16
|
vabbe pazienza...
allora..ora ti do le stringhe da fixare con hijackthis....
lo apri e fixi queste:
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O14 - IERESET.INF: START_PAGE_URL=htt*://[www].cheapnet.it/
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
poi riapri regcleaner..e selezioni le voci che ti dico e poi le rimuovi premendo il tasto in basso "remove selected"...
nvsvc, C:\WINDOWS\system\smss.exe /w, HKEY_LM\Run
Adobe Reader Speed Launch, N/A, Start Menu (Common User)
Ctfmon.exe, C:\WINDOWS\system32\ctfmon.exe, HKEY_CU\Run
DAEMON Tools, "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033, HKEY_LM\Run
ITunesHelper, "C:\Programmi\iTunes\iTunesHelper.exe", HKEY_LM\Run
Microsoft Office, N/A, Start Menu (Common User)
Msnmsgr, "C:\Programmi\MSN Messenger\msnmsgr.exe" /background, HKEY_CU\Run
NeroFilterCheck, C:\WINDOWS\system32\NeroCheck.exe, HKEY_LM\Run
PinnacleDriverCheck, C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg, HKEY_LM\Run
RemoteControl, C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe, HKEY_LM\Run
SoundMan, Soundman.exe, HKEY_LM\Run
SunJavaUpdateSched, C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe, HKEY_LM\Run
e poi fai scansioni con tutto quello che hai..bitdefender...avast..spybot..tutto..e quello che trovano cancelli...
ovviamente tutto questo lo devi fare disconnessa dalla rete....
poi mi fai subito un log di hijackthis e lo salvi...
riavvii il pc e mi fai un altro log appena riavviato il pc...
poi ti connetti e mi posti quello che succede...e mi dici se avast te lo segnala ancora..
ciaooooooooooo
|
|
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
Inserito il - 09/06/2006 : 14:39:25
|
guarda nn so neanke cosa sia
intendi PCShield, Regsvr32 /s "C:\WINDOWS\system32\sfg_275d.dll", HKEY_LM\Run?
xkè in avvio avevo trovato 2 voci (di solito cerco di tenere ignorantemente d'occhio tramite msconfig) sfg_275d.dll, che mi avevano insospettito, ma sulla rete nn avevo trovato NIENTE!! e quindi le ho lasciate x evitare danni..
|
|
|
|
jada
Average Member
Città: Trieste
72 Messaggi |
Inserito il - 09/06/2006 : 14:44:30
|
ottimo grazie!!!
ora sono in ufficio.. x domani ti do i risultati (mi sembra di fare i compiti a casa )
curiosità, cos'è ctfmon? ce l'ho anke sul portatile e nn ho mai capito cosa sia!! oddio, ci sono tante cose che nn capisco, cmq....
e SOUNDMAN.EXE lo vedo sempre sul pc del babbo, ma anke questo nn ho mai capito se è solo d'intralcio o qc di più... |
|
|
|
Discussione |
|
|
|
ancora Win32:horst-c
Forum Bloccato
