Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

connessioni adsl

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi andorra24 » 07/08/06 09:02

Posta un nuovo log di hijackthis.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Sponsor
 

Postdi spark » 07/08/06 09:06

Logfile of HijackThis v1.99.1
Scan saved at 10.05.27, on 07/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\WINDOWS\Temp\bxje4.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\Common Files\Motive\MotiveBrowser.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\nic\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Kataweb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {40B37637-0E26-9480-30DD-77CDFE050D23} - C:\WINDOWS\mdiop1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [ShutDown Windows] C:\program files\Shutdown\ShutDown.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [MotiveReportAgent] "C:\Programmi\Common Files\Motive\McciBootStrapper.exe" /url="-url=file://C:\Programmi\Common Files\Motive\ReportAgent.html" /browsertype=CustomMSIE /browserpath="C:\Programmi\Common Files\Motive\MotiveBrowser.exe" /hidden
O4 - HKLM\..\Run: [bxje4.exe] C:\WINDOWS\Temp\bxje4.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPU ... 10,0,911,0
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FBB05B9-06C4-4124-A370-6FD55B96EF31}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: FireDaemon Service: explorer (explorer) - Unknown owner - C:\winnt\system32\drivers\FireDaemon.EXE (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Windows Media Player (wmplayer) - Unknown owner - C:\WINDOWS\System32\wmplayer.exe" -service (file missing)
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi andorra24 » 07/08/06 09:16

spark devi fare dei controlli perche' inizio a sospettare che tu possa avere il linkoptimizer:

Luke57 ha scritto: fai ancoraqueste cose per verificare se hai la variante di LinkOptimizer nel computer:

1) Risorse del computer>pannello di controllo>installazioni/applicazioni, verifica se tra le applicazioni hai linkoptmizer

2)start>esegui>control userpasswords2(lo scrivi nello spazio con uno spazio fra le due parole)>OK, controlla nella finestra Account utente quante utenze ci sono e soprattutto se c'è una sospetta con nome casuale, tipo GOYTZ e simili;

3) start>esegui>services.msc ( lo scrivi nello spazio)>OK ,controlla fra i servizi se c'è uno con nome uguale nell'elenco Connessione a quello eventualmente trovato nelle utenze.

4) Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Cerca nella cartella C:\Documents and settings, se trovi una cartella con lo stesso nome dell'eventuale utenza trovata.

Informa dei risultati.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi spark » 07/08/06 09:36

Facendo già il primo punto... lo trovo...
cosa posso fare?
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi spark » 07/08/06 09:42

ora ho fatto tutti i passi... si trova!
l'utenza si chiama tZBQvQgUz
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi andorra24 » 07/08/06 09:52

spark c'e' un'ottima guida che spiega come eliminare il malware linkoptimizer. Seguila con attenzione perche' e' fatta davvero bene:
http://www.suspectfile.com/forum/viewtopic.php?t=156
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi spark » 07/08/06 09:59

"Scaricare Rootkirevelear e fare il log. Il log va fatto senza usare il PC con tutte le applicazioni (anche l´AV) chiuse e disconnessi da Internet."
cosa intende per AV?
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi andorra24 » 07/08/06 10:03

spark ha scritto:cosa intende per AV?

AV cioe antivirus. Segui la guida con attenzione specialmente dal punto ''Come risolvere'' in poi.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi spark » 07/08/06 10:06

è bello complicato... nn davvero esiste niente per eliminarlo in modo più semplice...
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi andorra24 » 07/08/06 10:07

spark ha scritto:è bello complicato... nn davvero esiste niente per eliminarlo in modo più semplice...

Purtroppo e' un malware molto difficile da togliere e sta creando problemi a tanta gente. La guida puo' sembrare complessa ma non lo e'. Non scoraggiarti. ;)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi spark » 07/08/06 11:25

"Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato "
nn ho capito questo punto...
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi spark » 07/08/06 11:56

Ho finito adesso la procedura...
per ora nn posso dirti se è cambiato qualcosa...
ma l'utente che si era creato è rimasto... ma nn è più come cartella nascosta...

questo è il mio log attuale:
Logfile of HijackThis v1.99.1
Scan saved at 12.54.56, on 07/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\Common Files\Motive\MotiveBrowser.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\nic\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Kataweb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [ShutDown Windows] C:\program files\Shutdown\ShutDown.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [MotiveReportAgent] "C:\Programmi\Common Files\Motive\McciBootStrapper.exe" /url="-url=file://C:\Programmi\Common Files\Motive\ReportAgent.html" /browsertype=CustomMSIE /browserpath="C:\Programmi\Common Files\Motive\MotiveBrowser.exe" /hidden
O4 - HKLM\..\Run: [bxje4.exe] C:\WINDOWS\Temp\bxje4.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPU ... 10,0,911,0
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FBB05B9-06C4-4124-A370-6FD55B96EF31}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: FireDaemon Service: explorer (explorer) - Unknown owner - C:\winnt\system32\drivers\FireDaemon.EXE (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Windows Media Player (wmplayer) - Unknown owner - C:\WINDOWS\System32\wmplayer.exe" -service (file missing)
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi andorra24 » 07/08/06 11:59

spark ha scritto:"Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato "
nn ho capito questo punto...

Allora, il malware crea un nuovo servizio con nome random (che puo' variare). Il servizio lo puoi facilmente individuare andando su Start/ Esegui digitando services.msc e premendo OK. Nella colonna Connessione troverai questo servizio dal nome strano. Devi disabilitare tale servizio cliccandoci con il tasto destro e nella casella Tipo di avvio seleziona ''disabilitato''.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi spark » 07/08/06 12:04

cmq... ho guardato adesso... e su intallazione e applicazioni c'è ancora linkoptimizer!
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi Luke57 » 07/08/06 12:09

Ciao, allora:
1) rifai una scansione con rootkitrevelear per verificare se effettivamente il rootkit c'è ancora (informaci se c'è ancora);

2) start>esegui>control userpasswords2>OK
elimini l'utenza casuale cliccando e scegliendo elimina.

3)Vai in C:\documents and settings ed elimini, se c'è sempre, la cartella con lo stesso nome dell'utenza.

4) start>esegui>services.msc>OK
individui il servizio malefico con tasto dx del mouse>Proprietà, ti segni il percorso del file eseguibile che lo lancia. Se non l'hai ancora eliminato con The Avenger (è un file che windows segnala di colore verde cioè crittografato) lo elimini attuando prima questa procedura
CITAZIONE:
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

5) Per eliminare il servizio esegui in successione questi due comandi:
start>esegui>sc stop nomedelservizio>OK
start>esegui>sc delete nomedelservizio>OK

6) Ultima procedura:
CITAZIONE:
in caso di NTFS: fate la scansione degli ADS con HijackThis. Aprite HijackThis, premete Open the misc tools section, poi si clicca su Open Ads Spy... e si toglie il segno di spunta dalla casella Quick Scan. Faite riferimento a questa parte della guida. Localizzate se presente il file con nome riservato (es com4.igp), selezionatelo mettendo un segno di spunta nella casella accanto alla voce e premete Remove selected
da HijackThis, cliccate Open the misc tools section >> open Uninstall Manager. Selezionate la voce linkoptimizer e premete Delete this entry.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi spark » 07/08/06 13:18

mi escono cose che prima nn uscivano ma nessun file dll nella cartella windows e nussun file di windows/system32...
cosa faccio... rimuovo manualmente come punto 2 e 3?
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi Luke57 » 07/08/06 13:24

Ciao, se ho ben capito Rootkitrevelear non ti trova niente. E così?
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi spark » 07/08/06 13:43

Mi trova dei file che prima nn mi uscivano nella cartella impostazioni locali di firefox... ma i file del link optimizer no... dato che nella guida c'è scritto che sono un dll nella cartella windows e un file con nome riservato nella cartella system32
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

Postdi Luke57 » 07/08/06 15:20

Ciao, che file sono? Allega il log.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi spark » 07/08/06 16:13

Ho rifatto la scansione e ritiro quello che ho detto... neanche i file di cui ti parlavo prima compaiono...
Mi dispiace, ma nn so per quale motivo ma nn riesco a salvare il log... quindi te lo racconto... allora ci sono 8 file:
-HKLM\.DEFAULT\RemoteAccess\InternetProfile
-HKLM\S-1-5-18\RemoteAccess\InternetProfile
-HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s0
-HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s1
-HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s2
-HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\g0
-HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\h0
-HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364882FA4BAF72C53EA4

I primi due... in description c'è scritto: data mismatch between Windows API and raw hive data
mentre gli altri: Hidden from Windows API

Credo che i file del link optimizer nn ci sono più però è rimasto l'account... che nn ho ancora cancellato...
aspetto le tue considerazioni...
spark
Utente Junior
 
Post: 50
Iscritto il: 29/03/06 08:02

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "connessioni adsl":


Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti