Condividi:        

Malware!! Impossibile eliminarli!!!!

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Malware!! Impossibile eliminarli!!!!

Postdi Danilo10 » 07/04/04 19:45

Facendo una scansione con Ad aware o Spybot vengono eliminati tutti gli spyware, malware..ecc....presenti. Il problema è che alcuni ritornano in continuazione!!!
Ad esempio io ne ho 2:

Roings chiave di registro Malware HKEI_LOCAL_MACHINE:SOFTWARE\ssprint\
Roings chiave di registro Malware HKEI_LOCAL_MACHINE:SOFTWARE\roimoi\

che mi ritrovo ad ogni scansione!
Qualcuno saprebbe gentilmente come sbarazzarsene? (tra l'altro non so neanche cosa sono!)

Premetto che nei 2 percorsi:
HKEI_LOCAL_MACHINE:SOFTWARE\ssprint\
HKEI_LOCAL_MACHINE:SOFTWARE\roimoi\

ci sono questi due software appunto:

ssprint e roimoi

l'unica cosa che posso fare è eliminarli!
LO FACCIO?
Danilo10
Utente Senior
 
Post: 205
Iscritto il: 08/03/04 20:54

Sponsor
 

Postdi Dylan666 » 07/04/04 23:20

Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Danilo10 » 08/04/04 10:03

Ti ringrazio, Dylan...ma tutti quei programmi li ho già installati sul pc da tempo..
il problema è che questi 2 malware si riformano in continuazione.
Ho cancellato tutte le voci di registro che si riferiscono a loro, sturtup monitor non ha segnalato la loro presenza, non ho connessione via modem analogico ma adsl, ho tutti gli aggiornamenti di xp..Nei percorsi che hai indicato non ci sono programmi sospetti all'avvio........per cui il problema sembra più complesso. Guarda qui:
http://www.karlsforums.com/forums/viewt ... ?tid=14626
Danilo10
Utente Senior
 
Post: 205
Iscritto il: 08/03/04 20:54

Postdi MrOZ » 08/04/04 12:12

Questo è roimoi http://securityresponse.symantec.com/av ... oimoi.html

Scaricati hijackthis, fai uno scan e controlla il log (fai attenzione a come agisci, nn cancellare valori di cui nn conosci l'origine) oppure postalo qui e qualcuno ti aiuterà.

Ciao.
MrOZ
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 19:50

Postdi Dylan666 » 08/04/04 12:35

Danilo10 ha scritto:Ti ringrazio, Dylan...ma tutti quei programmi li ho già installati sul pc da tempo..
il problema è che questi 2 malware si riformano in continuazione.
Ho cancellato tutte le voci di registro che si riferiscono a loro, sturtup monitor non ha segnalato la loro presenza, non ho connessione via modem analogico ma adsl, ho tutti gli aggiornamenti di xp..Nei percorsi che hai indicato non ci sono programmi sospetti all'avvio........per cui il problema sembra più complesso. Guarda qui:
http://www.karlsforums.com/forums/viewt ... ?tid=14626


Guarda se sul tuo PC è presente il file ed85x.exe: da quisembrerebbe lui la causa di tutto.
Comunque su Google di topic ce ne sono tanti:

http://www.zive.cz/mod_consultancy/SubC ... 62&Main=51

http://www.freeforumzone.com/viewmessag ... &idd=20643

E sembra anche che se aggiorni il file con le definizioni di AD-aware dovrebbe eliminarlo da solo. Comunque anche se non trovi riferimenti diretti ai file nelle chiavi che lanciano i programmi all'avvio comunque al 99% c'è il percoso che porta al file che crea agni volta le voci nel registro...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Danilo10 » 08/04/04 18:57

..allora......
con hijackthis non trovato nessuna voce che si riferisca ai 2 malware e non ho il file ed85x.exe! Inoltre ad-aware li elimina ma questi si ripresentano regolarmente ad ogni avvio! Idem quando si eliminano manualmente!
Danilo10
Utente Senior
 
Post: 205
Iscritto il: 08/03/04 20:54

Postdi Dylan666 » 08/04/04 19:41

Forse non mi sono spiegato: non devi prendere di mira i file ssprint e roimoi sarebbe troppo semplice! Devi cercare (ripeto al 90% nelle chiavi dei file di avvio) un EXE sospetto che ricrei ogni volta quei due file. Cerca bene, ci deve essere! L'eseguibile ha vari nomi e se ti fai una ricerca su Google con "ssprint roimoi" (oltre a leggere quello che ti ho linkato) potrai avere altre indicazioni sul probabile nome dell'exe da cercare. Alle brutte trascrivi qui il log di hijackthis e vediamo se ti sei fatto sfuggire qualcosa.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Danilo10 » 09/04/04 17:18

ecco il log:

Logfile of HijackThis v1.97.7
Scan saved at 18.16.09, on 09/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\ICQLite\ICQLite.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\D.L.\Documenti\Programmi scaricati\HijackThis.exe
C:\Documents and Settings\D.L.\Documenti\Programmi scaricati\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tim.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {197E329A-C748-48FA-AF5D-E805DC05CBE3} - C:\WINDOWS\a3O5N5.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [zSPGuard] c:\programmi\pjw\spguard\spguard.exe /s
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 5668981482
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://download.microsoft.com/download/ ... earadj.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{70452A20-23A7-48B2-8B58-A5CB44B78DC4}: NameServer = 217.141.249.205 151.99.125.1
Danilo10
Utente Senior
 
Post: 205
Iscritto il: 08/03/04 20:54

Postdi Dylan666 » 09/04/04 17:28

Mi pare di capire che le voci vengano ricreate...
Prova a veder ad esempio:

O2 - BHO: (no name) - {197E329A-C748-48FA-AF5D-E805DC05CBE3} - C:\WINDOWS\a3O5N5.dll

Hai idea di cosa sia? Cercalo nella pannesslo di msconfig e disabilitalo oppure elimina la chiave (fattene sempre una copia esportata, non mi stancherò mai di dirlo) e vedi che succede.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 09/04/04 17:32

Per avere un log di hijack un po' più leggibile prova anche fare questo: riavvia in modalità provvisoria e chiudi tutti i programmi. Poi apri Emule e vedi se il il file maligno viene lanciato da ProcessExplorer. In quel caso lancia hijack che dovrebbe mostrare molte voci in meno e copiane il log.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46


Torna a Software Windows


Topic correlati a "Malware!! Impossibile eliminarli!!!!":


Chi c’è in linea

Visitano il forum: Nessuno e 68 ospiti