Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Aiutatemi....

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Aiutatemi....

Postdi malebba » 27/09/06 10:29

Ragazzi non so più cosa fare, vi spego quello che mi succede:

15 giorni fa il pc ha incominciato a chiudere la connessione normale ed aprirne una nuova e mi appariva un sito porno!! ho fatto tremila scansioni con i vari antispyware e cancellato tutto quello che trovava...ma niente!! allora ho formattato il pc, per una settimana tutto ok ma oggi m'ha fatto lo stesso discorso!!! Ma io non ho visitato nessun sito porno, com è possibile che accada questo????

Appena mi connetto ad internet mi si disconnette autamicamente e mi apre un'altra connessione , nella barra delle applicazioni si apre un'icona con una "bocca"...sapete aiutarmi???

Grazie
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Sponsor
 

Postdi andorra24 » 27/09/06 10:54

Ciao, posta un log di hijackthis e controlliamo la situazione.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi malebba » 27/09/06 11:05

eco quello che ha trovato:



Logfile of HijackThis v1.99.1
Scan saved at 12.04.05, on 27/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\service32.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Gianni\IMPOST~1\Temp\Rar$EX00.863\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {4EB3CE98-4C9A-1A07-ED73-C669834EAA0F} - C:\WINDOWS\macap1.dll (file missing)
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFE81C84-30B7-4946-9B9F-2BA830E4860F}: NameServer = 85.37.17.39 85.38.28.71
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi andorra24 » 27/09/06 11:15

Lancia questo tool di rimozione:
http://securityresponse.symantec.com/av ... inkopt.exe

L´esito viene salvato nel file FixLinkopt.log
Incolla il report in un post.


Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'' :

C:\WINDOWS\service32.exe

Scarica killbox da qui: http://www.killbox.net/downloads/KillBox.exe
con killbox elimina il seguente file:
C:\WINDOWS\service32.exe

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Controlla se in C:\WINDOWS\ hai i seguenti files:
syst32.dll
svchost.exe
syshost.dll
winsmgr32.dll
se li trovi eliminali con killbox.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi malebba » 27/09/06 12:40

Allora.....ecco quello che esce:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege
service: SysMxo (logon as: .\jCiRxPvenOkd, passed filters)
service: SysMxo (file path: C:\Programmi\File comuni\Services\zpKeu.exe - infected)
file: C:\Programmi\File comuni\Services\zpKeu.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SysMxo\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SysMxo\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SysMxo (key deleted)
reg: ...\SpecialAccounts\UserList\jCiRxPvenOkd (value deleted)
folder: \\?\C:\Documents and Settings\jCiRxPvenOkd (deleted)
user: jCiRxPvenOkd (deleted)


C:\Documents and Settings\Gianni\Impostazioni locali\Temp\E.tmp: (deleted)
C:\WINDOWS\system32\jnaa.dll: (deleted)


Trojan.Linkoptimizer has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 12372
The number of deleted threat files: 3
The number of directories deleted: 1
The number of threat processes terminated: 0
The number of registry entries fixed: 4
The number of threat services removed: 1
The number of accounts disabled: 1

The tool initiated a system reboot.



Ho scaricato kilbox ma non me lo fa installare, mi da questo errore:
component 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid


con hijackthis ho trovato quel file che m'hai detto e l'ho eliminitato! ma adesso non posso installare kilbox....come faccio?

Ti ringrazio!!
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi andorra24 » 27/09/06 13:02

Per eliminare quei files, dato che non riesci ad usare killbox, prova con delete doctor: http://www.megalab.it/articoli.php?id=652


Adesso devi usare un secondo tool di rimozione.
Scarica questo tool di rimozione:
http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL
disattiva momentaneamente l'antivirus, con i programmi e applicazioni chiusi, esegui il tool.
Al riavvio del computer, il programma terminerà la scansione nelle restanti cartelle di windows. Al termine della scansione sarà rilasciato un report in C:\Gromzon_Removal.log.
Posta il report sul forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi malebba » 27/09/06 14:16

Il file sistem32.exe sono riuscito ad eliminarlo ma gli altri file non li trovo nella cartella c:\windows , li trovo nella cartella c:\windows|system32

che faccio?

il link che m'hai postato non funziona!



Ciao e grazie ancora, sei gentilissimo!
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi andorra24 » 27/09/06 14:25

malebba ha scritto:Il file sistem32.exe sono riuscito ad eliminarlo ma gli altri file non li trovo nella cartella c:\windows , li trovo nella cartella c:\windows|system32

che faccio?

Quali sono questi files che hai trovato in system32? Elencali con estrema precisione.

malebba ha scritto:il link che m'hai postato non funziona!





Il link funziona benissimo, purtroppo non funziona a te perche' sei infetto e il malware ti impedisce di scaricarlo. Proviamo un'altra strada:

Scarica Gmer :
http://www.suspectfile.com/upload/files/tools/gmer.zip
Dopo averlo scompattato, lo avvii, selezioni "Rootkit"
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione ''Autostart'', con le stesse procedure del precedente. Incolla il log generato nel suddetto block notes e poi posta i due log nel forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Luke57 » 27/09/06 14:35

Ciao, fai sapere se funziona Gmer per favore.

Inoltre, mi puoi fare questa verifica?
Clicca su risorse del computer>pannello di controllo>strumenti di amministrazione>criteri di protezione locali.
Nella finestra che si apre, clicca su Assegnazione diritti utente e nelle voci di destra (in particolare Debug di programmi, creazione oggetti tokem,acquisizione proprietà dei file, ecc) verifica chi sono i beneficiari delle impostazioni di protezione.- basta fare doppio click su ogni singola voce nella tabella criterio.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi malebba » 27/09/06 20:20

Cavolo non mi funziona nemmeno quel link!!! Ma che diavolo c'ha sto pc??


Sono andato su assegnazione diritti utenti ma a destra mi compaiono un sacco di cose....come potrei postarvele??


Grazie ragazzi dell'aiuto che mi state dando!!
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi malebba » 27/09/06 20:22

In system32 ci sono tutti quei file che m'hai indicato più tantissimi altri!!!

Devo copiare tutti i nomi uno a uno?
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi Luke57 » 27/09/06 20:49

malebba ha scritto:In system32 ci sono tutti quei file che m'hai indicato più tantissimi altri!!!

Devo copiare tutti i nomi uno a uno?

Ciao, Prova Virit:
Scarica Virit da qui:
http://www.tgsoft.it/italy/index_ita.html
versione prova 30 gg., lo aggiorni alle ultime definizioni e fai una scansione dalla modalità provvisoria (per entrare in modalità provvisoria, una volta installato e aggiornato Virit, avvii il computer, prima che carichi windows premi ripetutamente il tasto F8 fino a che ti appare una schermata nera. Scegli l'opzione modalità provvisoria spostandoti con le freccette e prei Invio. segui poi le istruzioni a schermo.
A quel punto, lancia la scansione con Virit.

Riavvia e posta il report dello scan.

Prova poi a utilizzare Gmer.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi malebba » 27/09/06 23:31

con virit ho trovato questo:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.I
--------------------------------------------------------
28/09/2006 - 00:10:42

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.I

[SCANSIONE DEL REGISTRO]
{2a6af021-17a2-4014-8624-cf6015f82fad} Infetto da BHO.Agent.BA
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\Gianni\Impostazioni locali\Temp\winsyst32.exe Infetto da Trojan.Win32.Agent.AFG
* * * RIMOSSO * * *
C:\WINDOWS\2321614943.exe Infetto da Trojan.Win32.Small.NE
* * * RIMOSSO * * *

Chiavi Registro infette: 1.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 13582.
Files Totali: 13582.
Chiavi Registro rimosse: 1.
Virus Rimossi: 2.


Ora i link che mi avete postato prima funzionano.....già è qualcosa!!!
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi andorra24 » 27/09/06 23:41

malebba ha scritto:Ora i link che mi avete postato prima funzionano.....già è qualcosa!!!

Bene, allora scarica questo tool di rimozione:
http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL
disattiva momentaneamente l'antivirus, con i programmi e applicazioni chiusi, esegui il tool.
Al riavvio del computer, il programma terminerà la scansione nelle restanti cartelle di windows. Al termine della scansione sarà rilasciato un report in C:\Gromzon_Removal.log.
Posta il report sul forum.


E dopo che hai usato il tool di rimozione della prevx scarica Gmer :
http://www.suspectfile.com/upload/files/tools/gmer.zip
Dopo averlo scompattato, lo avvii, selezioni "Rootkit"
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione ''Autostart'', con le stesse procedure del precedente. Incolla il log generato nel suddetto block notes e poi posta i due log nel forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi malebba » 28/09/06 13:25

ecco fatto:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\macap1.dll
Removed!
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\Services\aec.exe
Removing protected file: C:\Programmi\File comuni\Services\fWM.exe
Removing protected file: C:\Programmi\File comuni\Services\jhzaj.exe
Removing protected file: C:\Programmi\File comuni\Services\OjBHO.exe
Removing protected file: C:\Programmi\File comuni\Services\pHAKt.exe


Trojan.Gromozon Removed!




e questo è il secondo:


GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-28 14:21:55
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----




GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-28 14:22:53
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Avg7Alrt /*AVG7 Alert Manager Server*/@ = C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
Avg7UpdSvc /*AVG7 Update Service*/@ = C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@Diagnostica SpeedTouch USB"C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon = "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
@AVG7_CCC:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP = C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
@SunJavaUpdateSchedC:\Programmi\Java\jre1.5.0_06\bin\jusched.exe = C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
@!ewido"C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized = "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@MSMSGS"C:\Programmi\Messenger\msmsgs.exe" /background = "C:\Programmi\Messenger\msmsgs.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/C:\Programmi\Grisoft\AVG7\avgse.dll = C:\Programmi\Grisoft\AVG7\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/C:\Programmi\Grisoft\AVG7\avgse.dll = C:\Programmi\Grisoft\AVG7\avgse.dll
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG7\avgse.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG7\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{14E9CB71-C0A9-1C9F-4C37-FE88C41D14EE}C:\WINDOWS\macap1.dll /*file not found*/ = C:\WINDOWS\macap1.dll /*file not found*/

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Avvio veloce di Adobe Reader.lnk

---- EOF - GMER 1.0.10 ----



.....quindi??
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi andorra24 » 28/09/06 13:31

scarica avenger sul desktop
http://www.suspectfile.com/upload/files ... venger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14E9CB71-C0A9-1C9F-4C37-FE88C41D14EE}

Files to delete:
C:\WINDOWS\macap1.dll


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
Portati in C:\ postami il contenuto del log generato da Avenger.

Poi guarda nel Pannello di controllo/installazione applicazioni se hai una voce Linkoptimizer e una ConnectionServices ma non toccarle, devi solo vedere se ci sono.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi malebba » 28/09/06 13:52

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gohwwwjk

*******************

Script file located at: \??\C:\WINDOWS\fwtbqmoy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\macap1.dll not found!
Deletion of file C:\WINDOWS\macap1.dll failed!

Could not process line:
C:\WINDOWS\macap1.dll
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14E9CB71-C0A9-1C9F-4C37-FE88C41D14EE} deleted successfully.

Completed script processing.

Nelle installazioni non ci sono quelle due voci!

Ma cosa diavolo c'è nel mio pc??

Ancora non c'ho capito niente!
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi andorra24 » 28/09/06 14:05

malebba ha scritto:
Ma cosa diavolo c'è nel mio pc??

Ancora non c'ho capito niente!

Hai beccato il malware dell'anno cioe' il famigerato linkoptimizer. Pero' stiamo quasi per finire. Ci sono gli ultimi controlli da fare.

1)Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, controlla se c'e' un'utenza sospetta con nome strano (oltre le consuete Administrator, Utente, Aspnet). Se c'e' questa utenza dal nome molto strano eliminala (click con il destro e scegli elimina).

2) Rendi visibili file e cartelle nascosti:
Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su ''visualizza cartelle e file nascosti'' e togli la spunta da "nascondi file protetti di sistema (consigliato)''.

Vai in C:\Documents and Settings, e se trovi una cartella con lo stesso nome dell'utenza del punto 1 eliminala.


Inoltre, lancia questo comando:
start>esgui>cmd>OK
Apri il prompt dei comandi, digiti letteralmente:
cd C:\Programmi\File comuni\Services------- > premi Invio
dir > C:\files.txt-------- >premi Invio

Chiudi il promt, vai in C:\ e trova files.txt.
Incolla il contenuto in un post.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi malebba » 28/09/06 14:20

Non c'è nessun nome strano!!

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A8CB-403E

Directory di C:\Programmi\File comuni\Services

28/09/2006 13.54 <DIR> .
28/09/2006 13.54 <DIR> ..
31/08/2004 00.00 2.702 bigfoot.bmp
31/08/2004 00.00 2.702 verisign.bmp
31/08/2004 00.00 2.702 whowhere.bmp
3 File 8.106 byte
2 Directory 11.460.952.064 byte disponibili



ma come ho fatto a prendere questo malware??
malebba
Utente Junior
 
Post: 33
Iscritto il: 27/09/06 10:14

Postdi andorra24 » 28/09/06 14:40

malebba ha scritto:

ma come ho fatto a prendere questo malware??

Se dai un'occhiata a questo forum o ad altri forum di sicurezza informatica vedrai che il linkoptimizer e' il malware piu' diffuso degli ultimi mesi. Sfrutta delle vulnerabilita' del sistema operativo (in particolare sfrutta l´exploit-WMF) e una volta preso lo si puo' togliere solo effettuando determinate operazioni.
Ultima modifica di andorra24 su 28/09/06 14:45, modificato 1 volte in totale.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Aiutatemi....":


Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti