Vai al contenuto

Messaggio consigliato

Inviata

Chiedo scusa per il titolo credo poco chiaro, ma.. non ho idea di che caspita abbia ora il pc..

Stavo lavorando con semplici file di testo, appunti in pdf e in jpg..

Ad un certo punto, con la chiavetta inserita (e formattata di fresco, visto il problema che ha avuto da poco) mi appare una finestrella..

Impossibile trovare il disco nell'unità. Inserire il disco nell'unità \Device\Harddisk5\DR6

Le opzioni che mi da sono 'Annulla', 'Riprova', 'Continua' e qualsiasi cosa scelga la finestrella rimane, identica.. Le uniche cose che cambiano sono i due numeri alla fine e il titolo della finestrella: 'discover.exe - disco non presente', 'internat.exe - disco non presente' e altri.. ogni volta alternati a 'explorer.exe - disco non presente'..

Morale: non riesco ad aprire nessuna chiavetta (ne ho provate due) e appare la stessa odiosa finestrella anche quando provo ad aprire l'hd col sistema operativo..

Aiutino..? T.T


  • Risposte 4
  • Creato
  • Ultima risposta

Principali partecipanti

Giorni popolari

Inviato

Difficile dirlo così.

Cercando in giro, la cosa che più si avvicina ed è più plausibile è un trojan.

Scarica un programma gratuito che si chiama Hijackthis (http://www.merijn.org/programs.php#hijackthis) e posta quello che compare nel log.

Proverò a darci un'occhiata.

Anche secondo me è un trojan o simile.

Molti riportano files nello startup del registro, spesso con il nome di frut.exe, che fanno comparire queste finestre di continuo.

I soliti virus / spyware. Ti consiglio, oltretutto, di fare una scansione con Ad-aware

Poi posta come ti ha già detto Shar il log di hijackthis, vedremo che potremo fare. ;-)

Inviato

Scarica un programma gratuito che si chiama Hijackthis (http://www.merijn.org/programs.php#hijackthis) e posta quello che compare nel log.

Download from TrendMicro

Download from MajorGeeks

Download from Merijn.org

Quale di questi tre..?

Chiedo scusa per le domande stupide.. T.T

Ecco il log...

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 17.06.57, on 18/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\algsvr.exe

C:\WINDOWS\system32\internat.exe

C:\WINDOWS\system32\expIorer.exe

C:\WINDOWS\system\infoman.exe

C:\WINDOWS\help\winhelp.exe

C:\WINDOWS\security\discover.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Documents and Settings\Morwen\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

O4 - HKLM\..\Run: [Algsvr] C:\WINDOWS\algsvr.exe

O4 - HKLM\..\Run: [internet] C:\WINDOWS\system32\internat.exe

O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\expIorer.exe

O4 - HKLM\..\Run: [Host Info] C:\WINDOWS\system\infoman.exe

O4 - HKLM\..\Run: [Help] C:\WINDOWS\help\winhelp.exe

O4 - HKLM\..\Run: [Discovery] C:\WINDOWS\security\discover.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 3332 bytes

Inviato

Dovrebbe essere un trojan.

La cosa che mi puzza sono i nomi di programmi comuni storpiati, come EXPLORER.EXE con una I al posto della L, che in minuscolo con certi caratteri sembrano la stessa cosa.

Ho trovato che tale malware si presenta con le seguenti chiavi di Hijackthis:

O4 - HKLM\..\Run: [Algsvr] C:\WINDOWS\algsvr.exe

O4 - HKLM\..\Run: [internet] C:\WINDOWS\system32\internat.exe

O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\expIorer.exe

O4 - HKLM\..\Run: [Host Info] C:\WINDOWS\system\infoman.exe

O4 - HKLM\..\Run: [Help] C:\WINDOWS\help\winhelp.exe

O4 - HKLM\..\Run: [Discovery] C:\WINDOWS\security\discover.exe

Che le hai tutte.

Prima di passare al fissaggio, fai fare un giro a qualche programma anti-spyware per vedere se trova qualcosa.

Crea un account o accedi per commentare

Devi essere un utente registrato per poter lasciare un commento

Crea un account

Crea un nuovo account e registrati nella nostra comunità. È facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.
 

Accedi ora
×
×
  • Crea nuovo...