Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Trojan _p9hEPQkbj.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Trojan _p9hEPQkbj.exe

Postdi ecasa » 25/12/05 18:22

Salve e Buon Natale a tutti.

Mia figlia, col pc con XP-SP2 ha appena preso un trojan _p9hEPQkbj.exe che provocava cadute di connessione e fissava la home page di IE ad un sito erotico.

Forse sono riuscito ad eliminarlo con molti giri viziosi e a capire che era un trojan immettendo il nome di quel file strano che trovavo, con due aperture contemporanee in task manager, e a cancellare il file in c:\windows avviando in modalità dos.

Il bello che su google non esiste nessuna pagina in italiano al riguardo, se qualcuno ne sa di piu' ben venga, ciao e ancora auguri di buone feste.
ecasa
Utente Junior
 
Post: 56
Iscritto il: 13/09/04 14:43

Sponsor
 

Postdi Er-Gladiatore » 25/12/05 19:23

1)Riavvia Windows ed entra in modalità provvisoria (Premendo ripetutamente F8 all'avvio del Sistema Operativo),e disttiva il Ripristino di configurazione (Se non sai come fare c'è il link che ti spiega).

Disattiva Ripristino Configurazione: http://www.notrace.it/faq-rimozione-virus.htm

Dalla modalità provissoria lancia uno scansione con un programma alla volta:

Download Elite Toolbar Remover http://www.simplytech.it/ETRemover/ETRemover_v212.zip (Non và installato [AntiMalware])

Download Ad-aware SE http://www.pianetapc.it/downloads.php?id=15 (AntiSpy)

Download SpyBot S&D http://www.pianetapc.it/downloads.php?id=17 (AntiSpy)

N.B
I programmi aggiornali prima di scansionare.

Ora scarica questo programa

Download RegSeeker http://www.pianetapc.it/downloads.php?id=96 (Non và installato)

e sempre dalla modalità provissorio lancia una pulizia del registro con RegSeeker ed elimina TUTTO quello che trova.

Fatto questo RIAVVIA il sistema ed entra normalmente in Windows,apri Internet Explorer e lancia scansioni con Antivirus On-line.

Scansioni On-line: Trend Micro http://it.trendmicro-europe.com/consume ... launch.php & Kaspersky lab http://www.kaspersky.com/scanforvirus

Ora posta un nuovo Log che ti dico cosa Fixare.

P.S
Scusate per il copia e incolla di uno dei miei post ma le cose da dire sono sempre le stesse.
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi Dylan666 » 26/12/05 03:09

Per eliminare il malware sarebbe bastato questo:
http://www.pc-facile.com/guida_hijackthis_t148946/
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Er-Gladiatore » 26/12/05 12:16

Dylan666 ha scritto:Per eliminare il malware sarebbe bastato questo:
http://www.pc-facile.com/guida_hijackthis_t148946/


Si ma non è detto che abbia solo quello...........
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi ecasa » 26/12/05 19:34

Ragazzi sapevo che con voi avrei trovato come fare e vi ringrazio per le risposte così rapide specie durante le feste, ora scarico tutto , salvo e stampo il necessario per organizzarmi e farò tutte le procedure di cui sopra.

Appena possibile vi farò sapere notizie, per ora ancora grazie e auguri a tutti, ciao.
ecasa
Utente Junior
 
Post: 56
Iscritto il: 13/09/04 14:43

Postdi Dylan666 » 27/12/05 02:08

Er-Gladiatore ha scritto:
Dylan666 ha scritto:Per eliminare il malware sarebbe bastato questo:
http://www.pc-facile.com/guida_hijackthis_t148946/


Si ma non è detto che abbia solo quello...........


Ma è un inizio. I dialer poi li becca quasi tutti. Ovvio che una scansione da modalità provvisoria con antivirus aggiornato poi ci vuole.
Ma trovo tutto questo molto più pratico (personalissimo parere) che non la tua procedura, che elimina i punti di ripristino a prescindere (e magari non serve) usa molti più programmi (e se non hai l'ADSL non è il massimo doverli prelevare tutti) e molti di essi fanno connessioni on-line (e con connessioni lente che cadono per lo stesso malware che si vuole eliminare diventa frustrante).
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Er-Gladiatore » 27/12/05 09:13

Dylan666 ha scritto:
Er-Gladiatore ha scritto:
Dylan666 ha scritto:Per eliminare il malware sarebbe bastato questo:
http://www.pc-facile.com/guida_hijackthis_t148946/


Si ma non è detto che abbia solo quello...........


Ma è un inizio. I dialer poi li becca quasi tutti. Ovvio che una scansione da modalità provvisoria con antivirus aggiornato poi ci vuole.
Ma trovo tutto questo molto più pratico (personalissimo parere) che non la tua procedura, che elimina i punti di ripristino a prescindere (e magari non serve) usa molti più programmi (e se non hai l'ADSL non è il massimo doverli prelevare tutti) e molti di essi fanno connessioni on-line (e con connessioni lente che cadono per lo stesso malware che si vuole eliminare diventa frustrante).


Per scaricare i programmi credo che anche un 56k non dovrebbe avere problemi (Occupano circa 3 MB l'uno),per le scansioni on-line hai ragione ma io non ho la palla magica e quindi non lo posso sapere (Stà all'utente all'epertura del Topic specificare i vari problemi tra cui la connessione a internet).
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi ecasa » 27/12/05 10:51

Buongiorno e ben trovati.

Ragazzi so bene che le discussioni sulle procedure sono sempre costruttive e che per raggiungere un obiettivo ci sono varie strade da provare.

State tranquilli, a parte il fatto che non ho ancora iniziato sull'altro pc, diciamo che solo per questioni di praticità e risparmio di tempo tenterò prima la strada che ha consigliato dylan e se funziona avro' guadagnato tempo e lavoro, altrimenti sarà evidente che il pc avrà bisogno di una pulizia piu' accurata e profonda da fare con quelle di Er-Gladiatore, ancora grazie e a presto, ciao.
ecasa
Utente Junior
 
Post: 56
Iscritto il: 13/09/04 14:43

Postdi Er-Gladiatore » 27/12/05 11:05

A te la scelta...

Comunque potresti postarci il nuovo log di Hijackthis.
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi ecasa » 27/12/05 12:27

Ok ho attivato e lanciato HijackThis in modalità provvisoria, è la prima volta che lo uso ma già salta agli occhi che i quattro file seguenti sono "abusivi"
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.skymasters.biz

e che questo è il trojan da cui sono partito
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe

e che a questa chiave manca il file
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

vi sarei grato sapere come pulire il sistema, grazie e ciao .

--------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 11.24.32, on 27/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\__p9hEPQkbj.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\TCtrlIOHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\atip.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programmi\StopDialers\StopDialers.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Documents and Settings\Principale\Desktop\Proteggi Cesare\HIJACK THIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programmi\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TCtryIOHook] c:\WINDOWS\System32\TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [NDSTray.exe] C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [ccApp] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsup ... mAData.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
ecasa
Utente Junior
 
Post: 56
Iscritto il: 13/09/04 14:43

Postdi Er-Gladiatore » 27/12/05 13:45

Le conosci queste voci:

C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\WINDOWS\atip.exe
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe

Per caso hai un PC portatile?
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi Dylan666 » 27/12/05 14:10

Le voci sospette sono quelle segnalate da Er-Gladiatore. Aggiungo che FORSE ati.exe è roba della scheda video ATI (verificalo dalle proprietà) e vorrei rassicurazioni anche sui processi Autodesk Shared anche sembrano essere innoqui. Invece toscdspd.exe al 99% è roba sicura della Toshiba

@ Er-Gladiatore:
Er-Gladiatore ha scritto:per le scansioni on-line hai ragione ma io non ho la palla magica e quindi non lo posso sapere (Stà all'utente all'epertura del Topic specificare i vari problemi tra cui la connessione a internet).

Sempre nell'ottica costruttiva del pacifico confronto di idee (:))dico che l'utente aveva chiaramente indicato nel suo primo post che il malware gli faceva cadere la connesisone
ecasa ha scritto:Mia figlia, col pc con XP-SP2 ha appena preso un trojan _p9hEPQkbj.exe che provocava cadute di connessione e fissava la home page di IE ad un sito erotico.


Per scaricare i programmi credo che anche un 56k non dovrebbe avere problemi (Occupano circa 3 MB l'uno),

Boh, diciamo che se tutti i programmi sommati sono circa 6Mb io ai tempi del 56K (velocità mai effettiva) ci avrei messo almeno 20 minuti...
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi ecasa » 27/12/05 18:30

Grazie, effettivamente il pc è un toshiba portatile mod. P30-129 con scheda video ATI MOBILITY RADEON 9600/9700.

La voce C:\WINDOWS\__p9hEPQkbj.exe è quella alla quale sono arrivato all'inizio ma ora nn ricordo come, che mia indotto a postare il thread proprio con questo nome perchè su google trovo solo pagine in inglese.

Per ZoomingHook.exe ho trovato solo una notizia in italiano su google che rimanda a http://www.p2pforum.it/forum/showthread.php?t=40382 ma non riesco a ricavarci nulla per me di comprensibile.

Riguardo a Autodesk Shared presumo siano legati ad autocad che usa mia figlia, salvo errori da parte mia.

Relativamente al modo di pulire il pc , se clicco sulle voci incriminate in HijackThis , questi come fa a pulire : le elimina dal registro, elimina i file dal pc o entrambe le cose ?
Scusate la domanda banale ma è la prima volta che lu uso, grazie e a presto, ciao.
ecasa
Utente Junior
 
Post: 56
Iscritto il: 13/09/04 14:43

Postdi Dylan666 » 27/12/05 22:15

Confermo che il programma è dovuto all'Autocad di tua figlia, ma volevo essere sicuro ;)
http://www.bleepingcomputer.com/startup ... 11029.html

Per ZoomingHook prova a chiedere a lei o guarda le proprietà del file.

HijackThis elimina le chiavi di avvio dei file. Essi quindi, dopo un reset del PC non verranno eseguiti. Se i sintomi spariranno si potrà rimuovere MANUALMENTE anche il file.
La guida che ti avevo dato prima lo specificava ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Er-Gladiatore » 28/12/05 11:12

Fixa questi voci dalla provissoria (Quelle che mancano Fixale dalla modalità normale):

C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\__p9hEPQkbj.exe
2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsup ... mAData.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi Dylan666 » 28/12/05 13:40

Ricordo (purtroppo lo dveo sottolineare, perché un utente esperto potrebbe non cogliere la differenza) che molte delle voci segnalate da Er-Gladiatore sono secondo lui da eliminare per velocizzare il PC, ma NON sono dannose.

@ Er-Gladiatore:
Sempre chiacchierando in amicizia, una curiosità :) : ma i fix che consigli, su un attuale PC con magari 512 Mb di ram o anche più e con processori da oltre 2Gh quanto velocizzano? Vale la pena rinunciare al reader dell'Acrobat, alle voci del NAV ecc.?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Er-Gladiatore » 28/12/05 13:50

Dylan una curiosità mia personale tu che PC hai?

Io ho un P4 3.2 con 1 GB di Ram e con le modifiche che apporto mi si velocizza non di poco...

Magari gli Startup li può tenere ma come ben saprai all'avvio di Windows il PC sarà più lento.
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi Dylan666 » 28/12/05 14:21

Io ne ho un "ampio giro" ( :D ) ma diciamo che prendiamo ad esempio il caso "peggiore ", quello personale da battaglia massiccia (collegamento perenne in rete per attività quasi esclusivamente di navigazione, p2p, mail, mIRC, MSN ecc.): un umilissimo Pentium III 800 con 256 Mb di ram.

Diciamo che nel peggiore dei casi (boot con windows ME) ho all'avvio AVG, Zone Alarm, WinKey, Yankee Clipper, una vecchia versione del Download Generator più tutti i BHO e due wini.ini della stampante HP.

1) non li leverei MAI perché gia è tutto ridotto all'essenziale e poi perhé ci metterei molto di più a riaprire ogni volta che mi servono tali programmi che a farli caricare all'avvio

2) levare AcroIEHelper.dll significa non aprire più i file PDF cliccando da explorer... non ci si mette molto ma molto tempo di più a spiegare a ecasan (dico per dire) come potra leggersi ora tali documenti invece che lasciargli quella libreria?

3) ma se la gente certe voci ce le ha, credibilmente le ha configurate durante il setup (se invece non leggeva le schermate non è colpa di nesuno) e le potrebbe disattivare tramite il programma stesso, perché togliergliele da sotto i piedi con HijackThis? Parlo delle voci del NAV... uno magari è abituato a avercele visualizzate in explorer e fixando quelle chiavi pigliano e scompaiono. E se uno le volesse riattivare? Ecco che tocca guidarlo alla ricerca dell'opzione del Norton o fargli fare i backup della chiave...

Quello che voglio dire (sempre in spirito di costruttivo, pacifico e sereno aperto confronto) è questo: come si fa a dire a un utente "questa voce ti è superflua, toglila"? Gli si dovrebbe chiedere se la usa, spiegargli a che serve, fargli capire come rimetterla se un giorno gli servirà...
Tutte cose che esulano questo topic che è di rimozione di un malware.
Che un pc "veloce" sia un PC ottimo è, ripeto, relativo. Se il nostro amico usa ogni 4 secondi OneNote levarglielo dallo startup è rallentargli il lavoro.
Se lui non ce lo vuole si spera che sappia come NON far caricare quella voce all'avvio. Può darsi che non sappia come fare ma non si sia mai posto il problema e che vedersi sparire l'icona gli crei più dubbi che serenità ecc.

Detto questo se vuoi dato che vedo che hai a cuore il problema, potresti scrivere un guida sulla velocizzazione del PC che magari pubbliciamo qui. Ma appunto bisogna prima esporre tutti i pro e contro, speigare le voci più comuni, indicare cosa comporta levare un BHO o la Sun Java Console, tutt a roba abbastanza lunga ma che magari ecasa e gli atri dovrebbero sapere prima di levare qualcosa dal loro PC che non gli è "estraneo" ma hanno installato loro ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Er-Gladiatore » 28/12/05 14:59

Ok Dylan ;)

allora d'ora in poi farò così:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll <---- Questo serve a ........ se non lo usi Fixala.

Che dice va bene?
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi Dylan666 » 28/12/05 15:14

Ni... se l'utente non sa a cosa serva quella voce? Tocca spiegargli che è relativa ai PDF. Se non la usa spesso e la leva ma la volta che la usa e clicca il link e non gli parte il reader non sa come rimediare?

Il discorso è complesso e andrebbe approfondito per ciascuna voce...
Il punto è: ma se l'utente vuole solo levare un malware perché non aiutarlo a fare quello? Il resto è off-topic: una ottimizzazione del PC richiede molto tempo, molti post, molte spiegazioni che qui andrebbero solo a "annacquare" la spiegazione di come risolvere il problema principale.

Se l'utente poi vorrà potra chiedere come velocizzare il computer in seguito. Tieniamo i problemi divisi, o almeno affrontiamoli uno per volta.

Questo è sempre il mio personale, discutibile parere ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Trojan _p9hEPQkbj.exe":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti