Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Aiuto rimozione

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Aiuto rimozione

Postdi GuyFawkes » 24/10/06 14:18

Ciao a tutti,
ho visto che qui siete tutti molto disponibili e io ho davvero bisogno di un aiuto.. il virus mi impedisce di accedere alla pagina di HijackThis per verificare le voci del log, così non sono in grado di capire cosa fixare e cosa no..
Posto il log nella speranza che qualcuno mi possa aiutare:

Logfile of HijackThis v1.99.1
Scan saved at 15.17.44, on 24/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\basfipm.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\MATLABR11\webserver\bin\matlabserver.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\system32\BacsTray.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programmi\Dell\QuickSet\quickset.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\system32\DSentry.exe
C:\Programmi\File comuni\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/it/ita/gen/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dell.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: Class - {042C4C7A-07BD-97A1-4F79-039682C2758D} - C:\WINNT\vuadh1.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\system32\DSentry.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Programmi\File comuni\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vfmh1.exe] C:\WINNT\Temp\vfmh1.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Digital Line Detect.lnk = C:\Programmi\Digital Line Detect\DLG.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cspcr.cremona.polimi.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{798AED6B-92FD-4647-B0F9-46B3DF7A9A41}: NameServer = 81.88.224.129,81.88.224.130
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cspcr.cremona.polimi.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = cspcr.cremona.polimi.it
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Broadcom ASF IP monitoring service v6.0.3 (BAsfIpM) - Broadcom Corp. - C:\WINNT\system32\basfipm.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLABR11\webserver\bin\matlabserver.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe


Ho provato anche a fare diversi scan con Ad-Aware, ma tutte le volte trojan e malware ricompaiono, sono davvero disperata..

Ringrazio anticipatamente chiunque abbia il buon cuore di aiutarmi..
GuyFawkes
Newbie
 
Post: 6
Iscritto il: 23/10/06 19:11

Sponsor
 

Postdi Luke57 » 24/10/06 14:33

Ciao, scarica questi tool:
http://www.prevx.com/gromozon.asp


http://securityresponse.symantec.com/av ... inkopt.exe

Esegui il primo, disattivando l’antivirus. Al riavvio del computer, il programma erminerà la scansione. Sarà rilasciato un report della scansione in C:\Gromozon_Removal.log

Il second tool deve essere usato come amministratore dalla modalità provvisoria. Per entrare in modalità provvisoria premere F8 all’accensione del computer, prima che si carichi windows. Scegli modalità provvisoria spostandoti con le freccette e premendo Invio.
Anche in questo caso viene rilasciato un report.

Posta anch’esso.

Avvisa in caso di problemi riscontrati nell'esecuzione delle procedure-
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi GuyFawkes » 24/10/06 17:58

Innanzitutto ti ringrazio x l'aiuto..
Purtroppo però, così come non mi permette di accedere alla pagina di hijackthis, se clicco sul link si blocca e non mi si apre nulla, se invece lo incollo come indirizzo mi dice che è impossibile visualizzare la pagina..
C'è qualcos'altro che posso fare?
GuyFawkes
Newbie
 
Post: 6
Iscritto il: 23/10/06 19:11

Postdi andorra24 » 24/10/06 18:20

GuyFawkes ha scritto:Innanzitutto ti ringrazio x l'aiuto..
Purtroppo però, così come non mi permette di accedere alla pagina di hijackthis, se clicco sul link si blocca e non mi si apre nulla, se invece lo incollo come indirizzo mi dice che è impossibile visualizzare la pagina..
C'è qualcos'altro che posso fare?

Ciao, puoi provare a scaricare quei 2 tools da questo sito:
http://www.mytempdir.com/1003691 (tool symantec)
http://www.mytempdir.com/988986 (tool prevx)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi GuyFawkes » 24/10/06 18:55

grazie andorra..
Dunque, ora sono riuscita a scaricare, però quando cerco di avviare FixGrom il pc non dà alcun segno di vita e non me lo apre.. é forse perchè non ho disattivato, come mi aveva detto Luke57, l'antivirus? e se così fosse, in che modo posso farlo?
Scusatemi, sono un disastro..
GuyFawkes
Newbie
 
Post: 6
Iscritto il: 23/10/06 19:11

Postdi andorra24 » 24/10/06 19:06

GuyFawkes ha scritto:grazie andorra..
Dunque, ora sono riuscita a scaricare, però quando cerco di avviare FixGrom il pc non dà alcun segno di vita e non me lo apre.. é forse perchè non ho disattivato, come mi aveva detto Luke57, l'antivirus? e se così fosse, in che modo posso farlo?
Scusatemi, sono un disastro..

Hai il Norton? Dovresti cliccare col destro del mouse sull'icona del norton nella barra dell'orologio e li' dovrebbe esserci l'opzione che riguarda la protezione in tempo reale dell'antivirus. Dovresti disattivarla finche' non termini le operazioni con i tools di rimozione.
Se i tools continuano a non aprirsi vuol dire che e' colpa dell'infezione. In questo caso potresti provare a fare una scansione con VirIT in modalita' provvisoria sperando che sblocchi la situazione:
http://www.tgsoft.it/files/vnlt6125.exe
Dopo aver fatto la scansione con Virit riprova ad usare i 2 tools di rimozione succitati.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi GuyFawkes » 24/10/06 20:03

Niente Norton, ma come al solito non mi permette di accedere al link che hai postato e nessuno dei 2 tools vuole saperne..
GuyFawkes
Newbie
 
Post: 6
Iscritto il: 23/10/06 19:11

Postdi Luke57 » 24/10/06 20:11

Ciao, prova a estrarli da qui:
http://forum.html.it/forum/showthread.p ... id=1046884
alle voci mirror 2(dovrebbero essere mascherati e zippati))
Fai sapere gli esiti.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi GuyFawkes » 24/10/06 21:17

Grazie mille Luke, ora sono riuscita a far partire entrambi i programmi.. ora posto i due log
Gromozon:

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINNT\lpt9.vur
\\?\C:\WINNT\lpt9.vur
Resetting file permissions...
Clearing attributes...
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINNT
Scanning: C:\Programmi\File comuni
Gromozon-Related Malicious Code Detected!
FileName: C:\WINNT\Temp\vfmh1.exe
>>>Error: File C:\WINNT\Temp\vfmh1.exe could not be removed - it will be removed on the next reboot.
Gromozon-Related Malicious Code Detected!
FileName: C:\WINNT\vuadh1.dll
Removed!

Trojan.Gromozon Removed!


FixLinkopt:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer.


Se non ho capito male ha funzionato.. le pagine che prima non mi si aprivano ora non danno più alcun problema, però nel log di HijackThis compare ancora "vuadh1" che secondo gromozon era stato eliminato..
Devo fixarlo??
Grazie mille siete tutti e due gentilissimi..
GuyFawkes
Newbie
 
Post: 6
Iscritto il: 23/10/06 19:11

Postdi Luke57 » 25/10/06 07:59

Ciao, apri hiajckthis, premi "do a system scan only", cerca la voce relativa, metti la spunta alla voce relativa e premi fix checked.
Poi riavvia il computer, rifai un log di hajackthis e controlla che la voce non si sia ripresentata.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi GuyFawkes » 25/10/06 15:37

Ciao, ho fixato tutto e sembra che ora non ci sia più alcun problema..
Grazie mille davvero per la disponibilità.
GuyFawkes
Newbie
 
Post: 6
Iscritto il: 23/10/06 19:11


Torna a Sicurezza e Privacy


Topic correlati a "Aiuto rimozione":

Aiuto urgente!!!
Autore: templare77
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti