Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Aiuto! Virus, letti topic ma non so andare avanti...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Aiuto! Virus, letti topic ma non so andare avanti...

Postdi klama » 27/09/06 09:08

Salve a tutti.
Non sono per nulla pratica e vi chiedo di pazientare un pò...
Dunque, da un paio di giorni nod32 mi segnala due virus (trojan) che dice di non poter eliminare (in quanto nella memoria operativa) o di poter solo rinominare (uno dei due).
Ho letto le indicazioni di andorra ad utenti che mi sembrava avessero problemi simili al mio. Ovviamente non sono riuscita ad andare avanti, tra l'altro avevo anche problemi con winzip (ho appena risolto scaricandolo da qui, sperando sia free..).
Quello che sono riuscita a fare è:
- ho scaricato hijackthis (messo su desktop, forse sbagliando)
- ho fatto la scansione con hijackthis, ecco il risultato:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\Temp\ykah1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10RN2.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\PROGRA~1\WINZIP1\wzqkpick.exe
C:\Documents and Settings\Chiara___________\Impostazioni locali\Temp\wzc243\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Class - {FEBACD50-C9EA-9136-DD85-F83F29364326} - C:\WINDOWS\ytoap1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programmi\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe C:\WINDOWS\system32\CrazyTalk.dll,DllServeMediaFile
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [ykah1.exe] C:\WINDOWS\Temp\ykah1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip1\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe


Qualcuno mi può aiutare ad interpretarlo e ad andare avanti?!
grazie
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Sponsor
 

Postdi Luke57 » 27/09/06 09:29

Ciao, per prima cosa scarica questo tool (sperando che funzioni):
http://www.prevx.com/gromozon.asp
Disativa l’antivirus ed eseguilo, dopo averlo scaricato. Al riavvio del computer, il programma terminerà la scansione delle altre cartelle di windows. Puoi rispondere NO alla richiesta di installare prevx al termine.
Sarà rilasciato un report in C:\Gromozon_removal.log.
Copia e incolla il report in un post.
Se non riesci a utilizzarlo avvisa.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi klama » 27/09/06 09:40

Grazie per la risposta velocissima, ma non riesco ad accedere al link, mi dice che è impossibile visualizzare la pagina..
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi Luke57 » 27/09/06 09:46

Ciao, è il visrus che ti inibisce l'azione, porca miseria.
E' appena uscito un tool della Symantec, provalo:
Il link al fix della Symantec è questo (176 Kb): http://smallbiz.symantec.com/security_r ... 16-4153-99
L´esito viene salvato nel file FixLinkopt.log

Incolla il report in un post.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi klama » 27/09/06 10:35

Eccomi, non riuscivo più a collegarmi (andiamo bene!)..
Ho fatto quello che mi hai detto, ecco l'esito:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege
service: SecZgt (logon as: .\QGd, passed filters)
service: SecZgt (file path: C:\Programmi\File comuni\System\VViklH.exe - infected)
file: C:\Programmi\File comuni\System\VViklH.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SecZgt\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SecZgt\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SecZgt (key deleted)
reg: ...\SpecialAccounts\UserList\QGd (value deleted)
folder: \\?\C:\Documents and Settings\QGd (deleted)
user: QGd (deleted)


C:\Documents and Settings\Chiara___________\Impostazioni locali\Temp\4A2.tmp: (deleted)
C:\WINDOWS\system32\wmaa.dll: (deleted)
registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: ykah1.exe (value deleted)
process: IEXPLORE.EXE (terminated)


C:\WINDOWS\Temp\ykah1.exe: (will be deleted on next reboot)
The Trojan.Linkoptimizer removal was successful.
The system will delete 1 Trojan.Linkoptimizer files from your PC on next reboot.

Here is the report:

1 file(s) could not be deleted.
They will be deleted on next reboot.

The total number of the scanned files: 26038
The number of deleted threat files: 3
The number of directories deleted: 1
The number of threat processes terminated: 1
The number of registry entries fixed: 5
The number of threat services removed: 1
The number of accounts disabled: 1

The tool initiated a system reboot.
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi Luke57 » 27/09/06 11:12

Ciao, ha tolto diversa roba, pare.
Adesso riesci a collegarti al sito della Prevx?
Inoltre:
Inoltre scarica
http://www.gmer.net/gmer111.zip
(speriamo di poterlo tilizzare)
Dopo averlo scompattato, lo avvii, premendo il tab>>>> entri in Avanzate, selezioni il tab "Rootkit"
Clicca su "Scan" (spunta anche la casella ADS)

Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione Autostart (spunta la casella Show All), con le stesse procedure del precedente. Incolli il log generato nel suddetto block notes e poi incolli i due log in un post nel forum.

Inoltre, lancia questo comando:
start>esgui>cmd>OK
Apri il prompt dei comandi, digiti letteralmente:
cd C:\Programmi\File comuni\System------- > premi Invio
dir > C:\files.txt-------- >premi Invio

Chiudi il promt, vai in C:\ e trova files.txt.
Incolla il contdenuto in un post.
Inoltre:
Verifica se in pannello di controllo\installazioni\applicazioni hai LinkOptimizer /o Connection Services , se sì NON PROVARE A DISISTALLARLE, ma scarica MyUninstaller da qui:

http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare LinkOptimizer.
Apri il programma (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi Linkoptimizer e/o Connection Services , click con il dx e scegli Delected)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi klama » 27/09/06 11:22

Purtroppo non riesco nemmeno adesso a collegarmi al sito della prevx. Provo con il resto che mi hai indicato..
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi klama » 27/09/06 11:53

Non riesco a fare nulla di tutto quello che mi hai detto:

1 - continuo a non riuscire ad entrare nel sito della Prevx
2 - non riesco a scaricare gmer111, o meglio lo scarico ma dopo l'estrazione ci clicco su e non mi succede nulla , tra l'altro non mi compare l'icona giusta ma quella generica bianca e blu(non so come spiegarlo scusa)
3 - entro in star-esegui....
alla fine mi dice: Il volume nell'unità C non ha etichetta
numero di serie del volume....
directori di C:
file non trovato
4 - In installazioni non ho nè LinkOptimizer, nè Connection Services (ma forse questo non è un problema)

sono negata eh?!..
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi klama » 27/09/06 12:03

Scusami!! Non conoscevo il comando maggiore (>), adesso dovrebbe essere giusto...


Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: E864-EB18

Directory di C:\Programmi\File comuni\System

27/09/2006 10.51 <DIR> .
27/09/2006 10.51 <DIR> ..
02/09/2006 09.58 <DIR> ado
19/08/2004 15.39 81.408 directdb.dll
19/08/2004 15.39 77.312 DKJ.exe
03/09/2006 10.28 <DIR> msadc
03/09/2006 22.10 <DIR> MSMAPI
03/09/2006 22.11 <DIR> Ole DB
19/08/2004 15.39 76.288 ptj.exe
19/08/2004 15.39 504.832 wab32.dll
19/08/2004 15.38 254.976 wab32res.dll
19/08/2004 15.39 95.744 wBnu.exe
19/08/2004 15.39 174.592 xmXaXq.exe
19/08/2004 15.39 122.368 zqL.exe
8 File 1.387.520 byte
6 Directory 24.178.282.496 byte disponibili
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi Luke57 » 27/09/06 12:29

Ciao, scarica questo file (Icesword)
http://downloads.andymanchesta.com/Tools/IceSword1.zip

Prima visualizza file e cartelle nascosti :
risorse del computer>strumenti>opzioni cartella>visualizzazione>metti la spunta a "visualizza file e cartelle nascosti", toglila a "nascondi file protetti di sistema">OK

decomprimi l'archivio ,avvia il file icesword.exe,sotto clicca sul pulsante "File" adesso clicca su "Local disk", arriva fino alla cartella C:\Programmi\File comuni\System
all'interno di essa dovresti visualizzare:
DKJ.exe
ptj.exe
wBnu.exe
xmXaXq.exe
zqL.exe

selezionali,destro del mouse e scegli "Delete"

Prova poi con questa versione modificata di Gmer:
http://www.suspectfile.com/upload/files/tools/gmer.zip
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi klama » 27/09/06 12:50

Non ci riesco.
Icesword me lo fa scaricare ma poi non lo decomprime e mi dice che è incompleto, mentre alla versione di Gmer modificata non mi ci fa proprio arrivare (impossibile visualizzare la pagina)...
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi klama » 27/09/06 14:23

Non so se può essere utile ma la scansione con nod32 mi dice di aver trovato: cavallo di troia Win32/TrojanClicker.Small.KJ modificato trovato nella memoria operativa. E come possibilità: nessuna azione.
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi Luke57 » 27/09/06 14:49

Ciao, il nome del file?
Scarica Avgpfix da qui:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
eseguilo ( è di facile uso), portati nella cartella C:\Programmi\File comuni\System
DKJ.exe
ptj.exe
wBnu.exe
xmXaXq.exe
zqL.exe
inserisci uno alla vota i suddetti file e li elimini.
Non so che cosa altro dire.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi klama » 27/09/06 17:30

Ciao...
il nome del file è SYSHOST.DLL (C:\WINDOWS\SYSHOST.DLL)
Ho scaricato quello che mi hai detto ed ho cancellato i file.
Se non sai cos'altro dirmi ti ringrazio comunque, sei stato gentilissimo e molto disponibile.
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi andorra24 » 27/09/06 18:01

klama ha scritto:Ciao...
il nome del file è SYSHOST.DLL (C:\WINDOWS\SYSHOST.DLL)

Visualizza cartelle e file nascosti e verifica se in C:\WINDOWS\ hai anche i seguenti files: service32.exe syst32.dll svchost.exe e se ne trovi qualcuno eliminalo con killbox: http://www.killbox.net/downloads/KillBox.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi klama » 27/09/06 19:35

Ciao Andorra!
Ho cancellato service32.exe con killbox, non vedo gli altri file che mi hai detto nè l'altro file SYSHOST.DLL . Però vedo SYSHOST.V00DLL ed anche SYSHOST.VDLL, cosa faccio li cancello? Sono due file che derivano da quello modificato?
grazie
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Postdi andorra24 » 27/09/06 19:44

klama ha scritto:Però vedo SYSHOST.V00DLL ed anche SYSHOST.VDLL, cosa faccio li cancello? Sono due file che derivano da quello modificato?
grazie

Si eliminali.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Luke57 » 27/09/06 20:21

@klama
Ciao, ho riacquistato la parola ;) :
Prova Virit:
Scarica Virit da qui:
http://www.tgsoft.it/italy/index_ita.html
versione prova 30 gg., lo aggiorni alle ultime definizioni e fai una scansione dalla modalità provvisoria.
Posta il report dello scan.
Prova poi a utilizzare Gmer e gli altri programmi.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 27/09/06 20:26

Ciao, vai nel registro di sistema:
start>esegui>regedit (lo copi nello spazio)>OK
si apre l'editor, segui questo percorso cliccando sui + accanto alle singole voci:
HKEY_ LOCAL_ MACHINE\SOFTWARE\Microsoft\windows\Currentversion\Policies\Explorer\Run , doppio click sulla cartella Run, se trovi un valore
1=C:\Windows\service32.exe, click su di esso con il tasto dx del mouse e scegli Elimina.
Chiudi il registro.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi klama » 27/09/06 21:03

Premetto: sono ancora qui a scocciarvi ancora perchè tra una risposta ed un'altra lavoro sulla mia tesi. Da qui la mia ostinazione a tenermi il pc a casa e tentare di risolvere il problema e non portarlo ad un centro assistenza (cosa che ho fatto ieri e mi è stato detto che forse me lo consegnavano lunedì, dopo avergli pagato 50 euro per ram e formattazione appena due settimane fa).
Adesso, bentornato Luke.
Ho fatto quello che mi hai detto Andorra, ma la scansione profonda con nod32 mi dice che ho:
-C:\!KillBox\service32.exe - Win32/TrojanClicker.Small.KJ cavallo di troia modificato
- C:\!KillBox\SYSHOST.V00DLL - Win32/TrojanClicker.Small.KJ cavallo di troia
- C:\!KillBox\SYSHOST.VDLL - Win32/TrojanClicker.Small.KJ cavallo di troia

Luke, le cose che mi hai detto posso farle a prescindere l'una dall'altra? Come si fa una scansione in modalità provvisoria e poi come si ritorna alla modalità normale?
In: start>esegui>regedit (lo copi nello spazio)>OK cosa vuol dire lo copi nello spazio? Semplicemente inserire regedit nello spazio?

grazie (prometto di inserirvi nei ringraziamenti della tesi!!)
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Aiuto! Virus, letti topic ma non so andare avanti...":


Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti