| Autore |
 Discussione  |
|
|
druso
Advanced Member
Città: Roma
497 Messaggi |
 Inserito il - 05/06/2007 : 21:31:54
|
ciao ragazzi (da quanto tempo  )
avrei il seguente problemino: da qualche giorno, sulla barra delle notifiche (in basso a destra) compare un avviso di Windows che dice
NFOMON.EXE
"Il file o la directory C:\Documents and Settings\All Users\Dati applicazioni\nfo\mon0315.ddx [ma ogni volta compare un file diverso di questa cartella] potrebbe essere danneggiato o non leggibile. Eseguire Chkdsk".
Il Chkdsk che avvio da "Esegui..." è di sola lettura e comunque non trova niente. Cosa posso fare? ho notato che da quando compare questo avviso il computer fa delle cose...bizzarre 
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 05/06/2007 : 23:32:18
|
probabile infezione da Adware.W32.DelFin
posta un log di Hijackthis htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php#
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
Ciao.
|
 |
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 06/06/2007 : 01:04:26
|
E se dico che basta una scansione con AVG Antispyware:
htt*://[www].ewido.net/en/download/
Troppo facile  |
|
|
|
druso
Advanced Member
Città: Roma
497 Messaggi |
Inserito il - 06/06/2007 : 10:39:32
|
prima di postare il log, ho voluto seguire per curiosità il consiglio di Floatman. ho scaricato AVG e appena l'ho lanciato ha rilevato un malware (Adware.Webhancer) in C:\Programmi\webHancer\Programs\webhdll.dll l'ho eliminato. Poi, sempre con AVG ho fatto un'altra scansione e ne ha trovate di infezioni 
comunque, ecco il log htt*://freefilehosting.net/download/MjE2MTQ0 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 06/06/2007 : 14:42:17
|
Per prima cosa nn hai nessun antivirus.....quindi alla fine ti sei beccato un sacco di malware 
Segui questa procedura:
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = htt*://search.imesh[.com]/search/index.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = htt*://search.imesh[.com]/search/index.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://search.imesh[.com]/search/index.html?src=ssb
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - :C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: MS Network support DLL - {2DC9D850-044D-11E1-B3C9-00805E499D93} - C:\WINDOWS\system32\msnetwrk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - :C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O4 - HKLM\..\Run: [Nfo] C:\WINDOWS\system32\nfomon\nfomon.exe
O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\system32\vidmon\vidmon.exe
O4 - HKLM\..\Run: [Two Cast Cake Idol] C:\Documents and Settings\All Users\Dati applicazioni\ELSEVCTWOCAST\Rdr save.exe
O4 - HKLM\..\Run: [ypdkaa.exe] C:\DOCUME~1\home\IMPOST~1\Temp\ypdkaa.exe
O4 - HKLM\..\Run: [modbrygr] "c:\windows\system32\modbrygr.exe"
O4 - HKLM\..\Run: [WinTouch] C:\Programmi\WinTouch\WinTouch.exe
HKLM\..\RunServices: [p2p networking] :p2pnetworking.exe
O4 - HKCU\..\Run: [Obj upload] C:\DOCUME~1\home\DATIAP~1\PLUSTW~1\upheckcool.exe
O4 - HKCU\..\Run: [IpWins] C:\Programmi\Ipwindows\ipwins.exe
O4 - Global Startup: taskmgr.exe
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000245 (file missing)
alla fine clicca su FIX CHECKED
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\WINDOWS\system32\msnetwrk.dll
C:\WINDOWS\system32\nfomon\nfomon.exe
C:\WINDOWS\system32\vidmon\vidmon.exe
C:\Documents and Settings\All Users\Dati applicazioni\ELSEVCTWOCAST\Rdr save.exe
C:\DOCUME~1\home\IMPOST~1\Temp\ypdkaa.exe
c:\windows\system32\modbrygr.exe
C:\Programmi\WinTouch\WinTouch.exe
C:\WINDOWS\system32\p2pnetworking.exe
C:\DOCUME~1\home\DATIAP~1\PLUSTW~1\upheckcool.exe
C:\Programmi\Ipwindows\ipwins.exe
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\taskmgr.exe
C:\WINDOWS\system32\svchosts.exe
folders to delete:
C:\WINDOWS\system32\nfomon
C:\WINDOWS\system32\vidmon
C:\Documents and Settings\All Users\Dati applicazioni\ELSEVCTWOCAST
C:\Programmi\WinTouch
C:\Programmi\Ipwindows
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Installati subito un antivirus! Mettiti antivir che è gratis e dà un'ottima protezione (htt*://[www].free-av[.com]/). Lo aggiorni e scansioni
scaricati spybot che è un antispyware (htt*://[www].safer-networking.org/it/download/index.html) e superantispyware (un anti malware)(htt*://[www].superantispyware[.com]/downloadfile.html?productid=SUPERANTISPYWAREFREE)
li aggiorni e scansioni 
alla fine di tutta questa procedura riposta un nuovo log di hijack
|
Modificato da - Leleago in data 06/06/2007 14:44:37 |
|
|
|
druso
Advanced Member
Città: Roma
497 Messaggi |
Inserito il - 08/06/2007 : 11:11:59
|
Prima di tutto, una testata contro il muro per essere stato connesso per mesi e mesi senza adeguate protezioni. Adesso veniamo a noi dunque, ho fixato gli oggetti di Hijack, ho fatto il procedimento successivo con Avenger, ho fatto lo scan con AntiVir. Con Spybot, stavo per cancellare i problemi rilevati (53) quando è comparso il solito avviso "NFOMON" di un file danneggiato e non leggibile (v. inizio discussione): "Alcuni problemi non possono essere corretti; il motivo potrebbe risiedere nel fatto che i file interessati sono ancora caricati in memoria".
4 problemi non sono stati corretti. Si tratta (se può servire a qualcosa) di "Delfin Project" (c'è un'icona di errore alla voce C:\Documents and Settings\All Users\Dati applicazioni\nfo\) e "Smitfraud-C.CoreService" - le icone di errore sono su
-C:\WINDOWS\system32\drivers\core.cache.dsk
-C:\WINDOWS\system32\drivers\core.sys
-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\core
comunque il log d hijack sta qua htt*://[www].freefilehosting.net/download/MjE3zYx
Ps...non è che dovrei mettere un firewall? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 08/06/2007 : 13:31:16
|
riposta il link del log, non funge.
Controlla se ha quella libreria: init.dll
se c'è elimina. |
|
|
|
druso
Advanced Member
Città: Roma
497 Messaggi |
Inserito il - 09/06/2007 : 14:40:19
|
riecco il link del log, scusate l'imprecisione precedente htt*://[www].freefilehosting.net/download/MjE4MTg0 a proposito...dove devo cercare questo init.dll? se intendi su hijack..no, non c'è
ciao! |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 09/06/2007 : 15:40:47
|
scarica
htt*://swandog46.geekstogo[.com]/avenger.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento
Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice
registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\core
Files to delete:
C:\WINDOWS\system32\drivers\core.cache.dsk
C:\WINDOWS\system32\drivers\core.sys
Folders to delete:
C:\Documents and Settings\All Users\Dati applicazioni\nfo
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
Cm firewall mettiti zone alarm free (htt*://[www].zonealarm[.com]/store/content/catalog/products/sku_list_za.jsp?dc=34std&ctry=&lang=it)
|
Modificato da - Leleago in data 09/06/2007 15:44:36 |
|
|
|
druso
Advanced Member
Città: Roma
497 Messaggi |
Inserito il - 10/06/2007 : 10:24:07
|
avenger ha cancellato solo la chiave del registro, al file e alla cartella dava errore  |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 10/06/2007 : 11:55:52
|
Prova ad andare ad eliminarli manualmente...
Apri il pc in modalità provvisoria (premendo F8 nella fase di boot)
Vai in C:\WINDOWS\system32\drivers, fai strumenti,opzioni cartella, visualizzazione, visualizza file nascosti e togli la spunta a "nascondi file di sistema"
Ora guarda se nella cartella ci sono: core.cache.dsk e core.sys....se ci sono eliminali
Poi vai in C:\Documents and Settings\All Users\Dati applicazioni ed elimina la cartella nfo
Infine rivai su strumenti,opzioni cartella, visualizzazione e rimetti le spunte come erano prima...
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 10/06/2007 : 19:45:22
|
| per trovare la libreria (init.dll) utilizza la funzione cerca. |
|
|
|
chiusoenrico
Advanced Member
.jpg)
Città: Salzano (VE)
578 Messaggi |
Inserito il - 11/06/2007 : 10:50:15
|
init.dll sembra una libreria, in realtà è uno spyware "cercacongoogle" vi dice nulla?
htt*://[www].spywareremove[.com]/removeinitdll.html
complimenti a leleago... istruzioni molto chiare e dettagliate! |
|
|
| |
Discussione |
|
nfomon.exe
Forum Bloccato
