Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

spyware

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

spyware

Postdi ignis64 » 29/03/07 15:09

help me please! quando faccio lo scan con l'antivirus (BullGuard) risulta uno spyware che non riesco ad eliminare, l'assistenza bullguard mi ha mandato il file di hijackthis ma è impossibile aprire il file. Appena clicco sul file mi scompare per un attimo il descktop. Impossibile per lo stesso motivo andare sulle proprietà del file. Ho provato allora a scaricare hijackthis direttamente dal sito, ma ogni volta che cerco di scaricarlo mi scompare la pagine web.
Grazie dell'aiuto.
Ignis64
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Sponsor
 

Postdi BilloKenobi » 29/03/07 18:48

controlla la presenza di questa chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

potresti aver contratto quella che viene definita una nuova variante di gromozon. se non ce l'hai, vuol dire che hai quella standard. vedremo poi come procedere ;)
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

spyware

Postdi ignis64 » 29/03/07 21:41

:?:
Non mi sembra di vederla. Ti mando anche il rapporto di Smitfraudix, non sò se può esserti utile. Grazie
Ignis64
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

spyware

Postdi ignis64 » 29/03/07 21:44

Ecco il rapporto.
Ciao

ScSmitFraudFix v2.142

Scan done at 14.33.31,81, 29/03/2007
Run from C:\Documents and Settings\accesso\Desktop\patch pulit registro\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Postdi BilloKenobi » 29/03/07 21:52

in questo caso non serviva smitfraudfix

Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su http://www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)

Oppure puoi direttamente metterlo qui sul forum, ma come ALLEGATO!!!

ps. se il primo indirizzo non funziona, usa quest'altro
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

spyware

Postdi ignis64 » 30/03/07 15:52

Anche per systemscan ho lo stesso problema di hijackthis: appena provo a cliccare sugli indirizzi che mi hai dato mi sparisce la pagina web, rimango connessa ma devo di nuovo ripartire dalla pagina web iniziale.
Ho provato anche a cercare systemscan in altro modo ma è sempre la stessa minestra!
:cry: Ciao
Ignis64
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Postdi Luke57 » 30/03/07 16:12

Ciao, controlla meglio la chiave di registro che ti ha suggerito BilloKenobi.
Se non sai come fare:
start>esegui>regedit (lo scrivi nello spazio)>OK
Aperto l'editor, clicchi sul segno + accanto alle singole voci:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
devi verificare se, cliccando sull'ultimo segno + accanto alla suddetta voce , nell'elenco a cascata delle varie sottochiavi trovi
explorer.exe
Se c'è, click sulla cartella e riporti in un post tutto ciò che trovi al suo interno.

Prova inoltre a fare così per lanciare hijackthis:
apri il taskmanager, premi il tab.Processi, evidenzi explorer.exe, premi Termina processo, sempre con il taskmanger aperto vai su File>nuova operazione (esegui) >Sfoglia, individui hijackthis.exe, provi ad aprirlo. Se si apre, il problema è in quella chiave.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi ignis64 » 30/03/07 18:20

Ciao, ho ricontrollato per bene ma quella chiave non c'è proprio. Ho provato a lanciare hijackthis dal task manager come mi hai suggerito e questa volta il desktop è scomparso del tutto anzichè per pochi secondi e ho dovuto resettare il computer 2 volte di seguito prima che si decidesse a funzionare di nuovo normalmente!
:cry:
P.S grazie a tutti voi per le spiegazioni chiarissime che date. Avrete notato che sono un pò imbranata!
Ignis64
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Postdi Luke57 » 30/03/07 18:44

Ciao, controlla questa chiave di registro:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Winlogon, click sulla cartella, tra le varie stringhe che appaiono vai a
Userinit
riporta il valore indicato al suo fianco.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

spyware

Postdi ignis64 » 30/03/07 18:56

userinit
Reg_57 c:\windows\system32\userinit.exe,"c:windows\syste32\ciscohelper.exe","c:\windows\system32\macromediacenter.exe"
Ciao
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Re: spyware

Postdi Luke57 » 30/03/07 20:21

ignis64 ha scritto:userinit
Reg_57 c:\windows\system32\userinit.exe,"c:windows\syste32\ciscohelper.exe","c:\windows\system32\macromediacenter.exe"
Ciao

Ciao, devi eliminarli.
Scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
(mettilo sul desktop)

Ritorni alla chiave di registro, doppio click su Userinit, dalla finestra Modifica stringa, nello spazio Dati valore avrai:
c:\windows\system32\userinit.exe, c:windows\syste32\ciscohelper.exe,c:\windows\system32\macromediacenter.exe,
seleziona
c:windows\syste32\ciscohelper.exe,c:\windows\system32\macromediacenter.exe,
in modo da lasciare nello spazio
c:\windows\system32\userinit.exe, (virgola compresa)
premi Canc>ok
ATTENZIONE a non eliminare Userinit.exe, pena mancata riaccensione del computer.

Visualizza poi file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Con Avgpfix elimini i file (uno alla volta):
c:windows\syste32\ciscohelper.exe
c:\windows\system32\macromediacenter.exe

(lo lanci, premi start, individui il file
premi OK).
Riavvia il computer.
Prova a usare hijackthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

spyware

Postdi ignis64 » 31/03/07 15:32

sorry per il disturbo. Non riesco a scaricare la versione completa di AVGPfix. Non sò cosa diavolo è successo ma ho solo la metà del programma salvato e winzip e altri non me lo fanno aprire perché danneggiato. Se provo a riscaricarlo mi ridà quello salvato!
sono proprio un disastro :cry: :cry: :cry: :cry:
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Postdi Luke57 » 31/03/07 18:11

Ciao, prova con killbox da qui (c'è anche la spiegazione):
http://www.wintricks.it/news2/article.php?ID=12814
lo scarichi sul dektop, lo imposti come nella figura (metti la spunta a Delete on reboot) inserisci prima questo percorso:
c:windows\syste32\ciscohelper.exe
poi premi la casellina rossa in alto a destra.
Alla richiesta di riavvio, scegli NO.
Poi inserisci il secondo percorso:
c:\windows\system32\macromediacenter.exe
alla richiesta di riavvio, scegli sì.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

spyware

Postdi ignis64 » 31/03/07 18:25

Ci sono riuscita!!!!! ecco il log di hijackthis.
Mi scuso in anticipo se sbaglio.. ma non riesco a vedere e a capire come si spedisce un allegato al forum.
Ignis64
*******
Logfile of HijackThis v1.99.1
Scan saved at 18.53.27, on 31/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\BullGuard Software\BullGuard\bullguard.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\StopDialers\StopDialer.exe
C:\Documents and Settings\accesso\Desktop\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\ciscohelper.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {3D70F1D2-7F20-299F-E62C-B3B0B70CA952} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=040307 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Programmi\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BGNewsAgent] "C:\Programmi\BullGuard Software\BullGuard\BgNewsUI.exe"
O4 - HKCU\..\Run: [BullGuard] "C:\Programmi\BullGuard Software\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Programmi\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Postdi Luke57 » 31/03/07 20:44

Ciqo, apri hiajckthis, premi "do a system scan only", cerca e metti la spunta alle seguenti voci:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\ciscohelper.exe",
O2 - BHO: Class - {3D70F1D2-7F20-299F-E62C-B3B0B70CA952} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
premi fix checked.
Poi prova a utilizzare systemscan nelle modalità gia suggerite (il report inseriscilo in quel link già dato, è troppo lungo per incollarlo in un post).
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

spyware

Postdi ignis64 » 31/03/07 22:06

ecco quà.
Spero aver fatto tutto correttamente.
:mmmh: :?:
http://w12.easy-share.com/958050.html
ciao
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Postdi Luke57 » 01/04/07 13:48

Ciao, scarica AVENGER e decomprimilo sul desktop (estrai i file nel desktop)
http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe
- Seleziona "Input Script Manually"
- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"
- copia / incolla (Ctrl+V) quanto segue (in neretto):

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\SecFim

Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | ALYpJrGmgNQS
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | miwh2.exe


Folders to delete:
C:\documents and settings\ALYpJrGmgNQS


files to delete:
C:\WINDOWS\system32\lpt2.spa
C:\WINDOWS\Temp\miwh2.exe
C:\WINDOWS\upfse1.dll
C:\Programmi\File comuni\Services\aii.exe
C:\Programmi\File comuni\Services\AlSnq.exe
C:\Programmi\File comuni\Services\ApU.exe
C:\Programmi\File comuni\Services\Aqc.exe
C:\Programmi\File comuni\Services\asx.exe
C:\Programmi\File comuni\Services\AyA.exe
C:\Programmi\File comuni\Services\ayQP.exe
C:\Programmi\File comuni\Services\bameb.exe
C:\Programmi\File comuni\Services\Bbp.exe
C:\Programmi\File comuni\Services\BcQz.exe
C:\Programmi\File comuni\Services\bIE.exe
C:\Programmi\File comuni\Services\bil.exe
C:\Programmi\File comuni\Services\BKK.exe
C:\Programmi\File comuni\Services\BVj.exe
C:\Programmi\File comuni\Services\bzz.exe
C:\Programmi\File comuni\Services\CLp.exe
C:\Programmi\File comuni\Services\CRxKT.exe
C:\Programmi\File comuni\Services\dAqaP.exe
C:\Programmi\File comuni\Services\DbzqRb.exe
C:\Programmi\File comuni\Services\DEQ.exe
C:\Programmi\File comuni\Services\doG.exe
C:\Programmi\File comuni\Services\dop.exe
C:\Programmi\File comuni\Services\EEpx.exe
C:\Programmi\File comuni\Services\eIK.exe
C:\Programmi\File comuni\Services\enZ.exe
C:\Programmi\File comuni\Services\ErElvd.exe
C:\Programmi\File comuni\Services\Fbs.exe
C:\Programmi\File comuni\Services\fjpT.exe
C:\Programmi\File comuni\Services\fNd.exe
C:\Programmi\File comuni\Services\Fptu.exe
C:\Programmi\File comuni\Services\Gaevx.exe
C:\Programmi\File comuni\Services\geb.exe
C:\Programmi\File comuni\Services\GEqU.exe
C:\Programmi\File comuni\Services\gHk.exe
C:\Programmi\File comuni\Services\gOq.exe
C:\Programmi\File comuni\Services\GTH.exe
C:\Programmi\File comuni\Services\Hckx.exe
C:\Programmi\File comuni\Services\HHM.exe
C:\Programmi\File comuni\Services\hsP.exe
C:\Programmi\File comuni\Services\Hux.exe
C:\Programmi\File comuni\Services\IBQ.exe
C:\Programmi\File comuni\Services\iCW.exe
C:\Programmi\File comuni\Services\iENf.exe
C:\Programmi\File comuni\Services\Ifk.exe
C:\Programmi\File comuni\Services\iyI.exe
C:\Programmi\File comuni\Services\IZh.exe
C:\Programmi\File comuni\Services\JaLk.exe
C:\Programmi\File comuni\Services\jEFUdt.exe
C:\Programmi\File comuni\Services\jeQ.exe
C:\Programmi\File comuni\Services\JuA.exe
C:\Programmi\File comuni\Services\kaA.exe
C:\Programmi\File comuni\Services\kHVQoB.exe
C:\Programmi\File comuni\Services\kPyGhu.exe
C:\Programmi\File comuni\Services\lDe.exe
C:\Programmi\File comuni\Services\lfnv.exe
C:\Programmi\File comuni\Services\lOWW.exe
C:\Programmi\File comuni\Services\lpQ.exe
C:\Programmi\File comuni\Services\lWITP.exe
C:\Programmi\File comuni\Services\LzP.exe
C:\Programmi\File comuni\Services\MAoul.exe
C:\Programmi\File comuni\Services\MbYWte.exe
C:\Programmi\File comuni\Services\MmNQU.exe
C:\Programmi\File comuni\Services\MNsYzT.exe
C:\Programmi\File comuni\Services\Moe.exe
C:\Programmi\File comuni\Services\mVn.exe
C:\Programmi\File comuni\Services\nGaj.exe
C:\Programmi\File comuni\Services\NjS.exe
C:\Programmi\File comuni\Services\NsGc.exe
C:\Programmi\File comuni\Services\NusA.exe
C:\Programmi\File comuni\Services\ObAu.exe
C:\Programmi\File comuni\Services\OCDeG.exe
C:\Programmi\File comuni\Services\ojNlh.exe
C:\Programmi\File comuni\Services\oLP.exe
C:\Programmi\File comuni\Services\ONOK.exe
C:\Programmi\File comuni\Services\OoeoWC.exe
C:\Programmi\File comuni\Services\oQw.exe
C:\Programmi\File comuni\Services\OYF.exe
C:\Programmi\File comuni\Services\PKa.exe
C:\Programmi\File comuni\Services\PuBS.exe
C:\Programmi\File comuni\Services\PWf.exe
C:\Programmi\File comuni\Services\PyjXoM.exe
C:\Programmi\File comuni\Services\QCD.exe
C:\Programmi\File comuni\Services\QYp.exe
C:\Programmi\File comuni\Services\RDJacB.exe
C:\Programmi\File comuni\Services\RLbd.exe
C:\Programmi\File comuni\Services\Rmp.exe
C:\Programmi\File comuni\Services\rnS.exe
C:\Programmi\File comuni\Services\SAW.exe
C:\Programmi\File comuni\Services\sDgLR.exe
C:\Programmi\File comuni\Services\sJsdUL.exe
C:\Programmi\File comuni\Services\sNpn.exe
C:\Programmi\File comuni\Services\sob.exe
C:\Programmi\File comuni\Services\SVU.exe
C:\Programmi\File comuni\Services\TJD.exe
C:\Programmi\File comuni\Services\tLN.exe
C:\Programmi\File comuni\Services\Tos.exe
C:\Programmi\File comuni\Services\tPm.exe
C:\Programmi\File comuni\Services\TTJ.exe
C:\Programmi\File comuni\Services\TVec.exe
C:\Programmi\File comuni\Services\txI.exe
C:\Programmi\File comuni\Services\tyR.exe
C:\Programmi\File comuni\Services\UCLEy.exe
C:\Programmi\File comuni\Services\UiN.exe
C:\Programmi\File comuni\Services\UIpxUK.exe
C:\Programmi\File comuni\Services\uIsmdv.exe
C:\Programmi\File comuni\Services\UiU.exe
C:\Programmi\File comuni\Services\UJh.exe
C:\Programmi\File comuni\Services\UkF.exe
C:\Programmi\File comuni\Services\ULN.exe
C:\Programmi\File comuni\Services\umO.exe
C:\Programmi\File comuni\Services\uQv.exe
C:\Programmi\File comuni\Services\Uwq.exe
C:\Programmi\File comuni\Services\UWx.exe
C:\Programmi\File comuni\Services\VaM.exe
C:\Programmi\File comuni\Services\VhKGG.exe
C:\Programmi\File comuni\Services\VmN.exe
C:\Programmi\File comuni\Services\VPd.exe
C:\Programmi\File comuni\Services\Vpy.exe
C:\Programmi\File comuni\Services\VriWW.exe
C:\Programmi\File comuni\Services\VXQ.exe
C:\Programmi\File comuni\Services\vzO.exe
C:\Programmi\File comuni\Services\wFy.exe
C:\Programmi\File comuni\Services\whS.exe
C:\Programmi\File comuni\Services\wPiW.exe
C:\Programmi\File comuni\Services\WQd.exe
C:\Programmi\File comuni\Services\Wqdj.exe
C:\Programmi\File comuni\Services\XFY.exe
C:\Programmi\File comuni\Services\XHgxKJ.exe
C:\Programmi\File comuni\Services\xJb.exe
C:\Programmi\File comuni\Services\XpWxCG.exe
C:\Programmi\File comuni\Services\xUjYi.exe
C:\Programmi\File comuni\Services\Xwz.exe
C:\Programmi\File comuni\Services\XyF.exe
C:\Programmi\File comuni\Services\YBz.exe
C:\Programmi\File comuni\Services\YmiL.exe
C:\Programmi\File comuni\Services\ysaSA.exe
C:\Programmi\File comuni\Services\ywx.exe
C:\Programmi\File comuni\Services\zaDS.exe
C:\Programmi\File comuni\Services\zgs.exe
C:\Programmi\File comuni\Services\zkk.exe
C:\Programmi\File comuni\Services\zoU.exe
C:\Programmi\File comuni\Services\ztm.exe



Clicca sul tasto Done
- Poi sull'icona del semaforo
- Rispondi Yes
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

Poi, scarica questi due tools:

prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://smallbiz.symantec.com/security_r ... 16-4153-99

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)

Posta i due report delle scansioni.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi ignis64 » 01/04/07 15:56

Ciao
Non si apre AVENGER, decompressione ok ma nessun segno di vita quando ci clicco sopra!
:cry:
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Postdi Luke57 » 02/04/07 07:52

Ciao, hai sempre la voce di registro infetta (ma hai eliminato i due files?)
Apri hijackthis, premi "do a system scan only", cerca e spunta le voci seguenti:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\ciscohelper.exe",

premi fix checked.
Poi scarica virit ultima versione da qui:
http://www.tgsoft.it/italy/index_ita.html
aggiornalo alle ultime definizioni, poi esegui una scansione dalla modalità provvisoria e una dalla modalità normale(ti ho spiegato nel post precedente come fare ad andarci)
Se virit non partisse, entri nella cartella dalla cartella di installazione di VirIT (c:\vexplite\gotgsoft.bat o c:\viritexp\gotgsoft.bat) e lanci il file il file GOTGSOFT.BAT.

Posta il report della scansione
Poi riprova a utilizzare avenger e/o i tools suggeriti.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

spyware

Postdi ignis64 » 02/04/07 14:45

Ciao, ecco alcuni log delle varie scansioni:
1.*************
Ecantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer.co vari log
2.************************
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\Services\aii.exe
Removing protected file: C:\Programmi\File comuni\Services\AlSnq.exe
Removing protected file: C:\Programmi\File comuni\Services\ApU.exe
Removing protected file: C:\Programmi\File comuni\Services\Aqc.exe
Removing protected file: C:\Programmi\File comuni\Services\asx.exe
Removing protected file: C:\Programmi\File comuni\Services\AyA.exe
Removing protected file: C:\Programmi\File comuni\Services\ayQP.exe
Removing protected file: C:\Programmi\File comuni\Services\bameb.exe
Removing protected file: C:\Programmi\File comuni\Services\Bbp.exe
Removing protected file: C:\Programmi\File comuni\Services\BcQz.exe
Removing protected file: C:\Programmi\File comuni\Services\bIE.exe
Removing protected file: C:\Programmi\File comuni\Services\bil.exe
Removing protected file: C:\Programmi\File comuni\Services\BKK.exe
Removing protected file: C:\Programmi\File comuni\Services\BVj.exe
Removing protected file: C:\Programmi\File comuni\Services\bzz.exe
Removing protected file: C:\Programmi\File comuni\Services\CLp.exe
Removing protected file: C:\Programmi\File comuni\Services\CRxKT.exe
Removing protected file: C:\Programmi\File comuni\Services\dAqaP.exe
Removing protected file: C:\Programmi\File comuni\Services\DbzqRb.exe
Removing protected file: C:\Programmi\File comuni\Services\DEQ.exe
Removing protected file: C:\Programmi\File comuni\Services\dop.exe
Removing protected file: C:\Programmi\File comuni\Services\EEpx.exe
Removing protected file: C:\Programmi\File comuni\Services\eIK.exe
Removing protected file: C:\Programmi\File comuni\Services\enZ.exe
Removing protected file: C:\Programmi\File comuni\Services\ErElvd.exe
Removing protected file: C:\Programmi\File comuni\Services\Fbs.exe
Removing protected file: C:\Programmi\File comuni\Services\fjpT.exe
Removing protected file: C:\Programmi\File comuni\Services\fNd.exe
Removing protected file: C:\Programmi\File comuni\Services\Fptu.exe
Removing protected file: C:\Programmi\File comuni\Services\Gaevx.exe
Removing protected file: C:\Programmi\File comuni\Services\geb.exe
Removing protected file: C:\Programmi\File comuni\Services\GEqU.exe
Removing protected file: C:\Programmi\File comuni\Services\gHk.exe
Removing protected file: C:\Programmi\File comuni\Services\gOq.exe
Removing protected file: C:\Programmi\File comuni\Services\GTH.exe
Removing protected file: C:\Programmi\File comuni\Services\Hckx.exe
Removing protected file: C:\Programmi\File comuni\Services\HHM.exe
Removing protected file: C:\Programmi\File comuni\Services\Hux.exe
Removing protected file: C:\Programmi\File comuni\Services\IBQ.exe
Removing protected file: C:\Programmi\File comuni\Services\iCW.exe
Removing protected file: C:\Programmi\File comuni\Services\iENf.exe
Removing protected file: C:\Programmi\File comuni\Services\Ifk.exe
Removing protected file: C:\Programmi\File comuni\Services\iyI.exe
Removing protected file: C:\Programmi\File comuni\Services\IZh.exe
Removing protected file: C:\Programmi\File comuni\Services\JaLk.exe
Removing protected file: C:\Programmi\File comuni\Services\jEFUdt.exe
Removing protected file: C:\Programmi\File comuni\Services\jeQ.exe
Removing protected file: C:\Programmi\File comuni\Services\Jgp.exe
Removing protected file: C:\Programmi\File comuni\Services\JuA.exe
Removing protected file: C:\Programmi\File comuni\Services\kaA.exe
Removing protected file: C:\Programmi\File comuni\Services\kHVQoB.exe
Removing protected file: C:\Programmi\File comuni\Services\kPyGhu.exe
Removing protected file: C:\Programmi\File comuni\Services\lDe.exe
Removing protected file: C:\Programmi\File comuni\Services\lfnv.exe
Removing protected file: C:\Programmi\File comuni\Services\lOWW.exe
Removing protected file: C:\Programmi\File comuni\Services\lpQ.exe
Removing protected file: C:\Programmi\File comuni\Services\lWITP.exe
Removing protected file: C:\Programmi\File comuni\Services\LzP.exe
Removing protected file: C:\Programmi\File comuni\Services\MAoul.exe
Removing protected file: C:\Programmi\File comuni\Services\MbYWte.exe
Removing protected file: C:\Programmi\File comuni\Services\MmNQU.exe
Removing protected file: C:\Programmi\File comuni\Services\MNsYzT.exe
Removing protected file: C:\Programmi\File comuni\Services\Moe.exe
Removing protected file: C:\Programmi\File comuni\Services\MUv.exe
Removing protected file: C:\Programmi\File comuni\Services\mVn.exe
Removing protected file: C:\Programmi\File comuni\Services\nGaj.exe
Removing protected file: C:\Programmi\File comuni\Services\NjS.exe
Removing protected file: C:\Programmi\File comuni\Services\NsGc.exe
Removing protected file: C:\Programmi\File comuni\Services\NusA.exe
Removing protected file: C:\Programmi\File comuni\Services\ObAu.exe
Removing protected file: C:\Programmi\File comuni\Services\OCDeG.exe
Removing protected file: C:\Programmi\File comuni\Services\ojNlh.exe
Removing protected file: C:\Programmi\File comuni\Services\oLP.exe
Removing protected file: C:\Programmi\File comuni\Services\ONOK.exe
Removing protected file: C:\Programmi\File comuni\Services\OoeoWC.exe
Removing protected file: C:\Programmi\File comuni\Services\oQw.exe
Removing protected file: C:\Programmi\File comuni\Services\OYF.exe
Removing protected file: C:\Programmi\File comuni\Services\PKa.exe
Removing protected file: C:\Programmi\File comuni\Services\PuBS.exe
Removing protected file: C:\Programmi\File comuni\Services\PWf.exe
Removing protected file: C:\Programmi\File comuni\Services\PyjXoM.exe
Removing protected file: C:\Programmi\File comuni\Services\QCD.exe
Removing protected file: C:\Programmi\File comuni\Services\QYp.exe
Removing protected file: C:\Programmi\File comuni\Services\RDJacB.exe
Removing protected file: C:\Programmi\File comuni\Services\RLbd.exe
Removing protected file: C:\Programmi\File comuni\Services\Rmp.exe
Removing protected file: C:\Programmi\File comuni\Services\rnS.exe
Removing protected file: C:\Programmi\File comuni\Services\SAW.exe
Removing protected file: C:\Programmi\File comuni\Services\sDgLR.exe
Removing protected file: C:\Programmi\File comuni\Services\sJsdUL.exe
Removing protected file: C:\Programmi\File comuni\Services\sNpn.exe
Removing protected file: C:\Programmi\File comuni\Services\sob.exe
Removing protected file: C:\Programmi\File comuni\Services\SVU.exe
Removing protected file: C:\Programmi\File comuni\Services\TJD.exe
Removing protected file: C:\Programmi\File comuni\Services\tLN.exe
Removing protected file: C:\Programmi\File comuni\Services\Tos.exe
Removing protected file: C:\Programmi\File comuni\Services\tPm.exe
Removing protected file: C:\Programmi\File comuni\Services\TTJ.exe
Removing protected file: C:\Programmi\File comuni\Services\TVec.exe
Removing protected file: C:\Programmi\File comuni\Services\txI.exe
Removing protected file: C:\Programmi\File comuni\Services\tyR.exe
Removing protected file: C:\Programmi\File comuni\Services\UCLEy.exe
Removing protected file: C:\Programmi\File comuni\Services\UiN.exe
Removing protected file: C:\Programmi\File comuni\Services\UIpxUK.exe
Removing protected file: C:\Programmi\File comuni\Services\uIsmdv.exe
Removing protected file: C:\Programmi\File comuni\Services\UJh.exe
Removing protected file: C:\Programmi\File comuni\Services\UkF.exe
Removing protected file: C:\Programmi\File comuni\Services\ULN.exe
Removing protected file: C:\Programmi\File comuni\Services\umO.exe
Removing protected file: C:\Programmi\File comuni\Services\uQv.exe
Removing protected file: C:\Programmi\File comuni\Services\uVR.exe
Removing protected file: C:\Programmi\File comuni\Services\Uwq.exe
Removing protected file: C:\Programmi\File comuni\Services\UWx.exe
Removing protected file: C:\Programmi\File comuni\Services\VaM.exe
Removing protected file: C:\Programmi\File comuni\Services\VmN.exe
Removing protected file: C:\Programmi\File comuni\Services\VPd.exe
Removing protected file: C:\Programmi\File comuni\Services\Vpy.exe
Removing protected file: C:\Programmi\File comuni\Services\VriWW.exe
Removing protected file: C:\Programmi\File comuni\Services\VXQ.exe
Removing protected file: C:\Programmi\File comuni\Services\vzO.exe
Removing protected file: C:\Programmi\File comuni\Services\wFy.exe
Removing protected file: C:\Programmi\File comuni\Services\whS.exe
Removing protected file: C:\Programmi\File comuni\Services\wPiW.exe
Removing protected file: C:\Programmi\File comuni\Services\WQd.exe
Removing protected file: C:\Programmi\File comuni\Services\Wqdj.exe
Removing protected file: C:\Programmi\File comuni\Services\XFY.exe
Removing protected file: C:\Programmi\File comuni\Services\XHgxKJ.exe
Removing protected file: C:\Programmi\File comuni\Services\xJb.exe
Removing protected file: C:\Programmi\File comuni\Services\XpWxCG.exe
Removing protected file: C:\Programmi\File comuni\Services\xUjYi.exe
Removing protected file: C:\Programmi\File comuni\Services\Xwz.exe
Removing protected file: C:\Programmi\File comuni\Services\XyF.exe
Removing protected file: C:\Programmi\File comuni\Services\YBz.exe
Removing protected file: C:\Programmi\File comuni\Services\YmiL.exe
Removing protected file: C:\Programmi\File comuni\Services\ywx.exe
Removing protected file: C:\Programmi\File comuni\Services\zaDS.exe
Removing protected file: C:\Programmi\File comuni\Services\zgs.exe
Removing protected file: C:\Programmi\File comuni\Services\zkk.exe
Removing protected file: C:\Programmi\File comuni\Services\zoU.exe
Removing protected file: C:\Programmi\File comuni\Services\ztm.exe
Removing protected file: C:\Programmi\File comuni\Services\zUWt.exe


Trojan.Gromozon Removed!

3**************************************
http://w11.easy-share.com/962483.html
**

Serve qualcos'altro?
Ma quanta mondezza mi trascinavo??????????
Ciao
ignis64
Utente Junior
 
Post: 27
Iscritto il: 29/03/07 14:33

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "spyware":

spyware
Autore: babart
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti