Condividi:        

Problema molto grave

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Dylan666 » 18/04/05 20:03

Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi ciopos » 18/04/05 20:20

Ho letto effettivamente è quasi sicuramente un problema di msn il vecchio. Non ho capito bene cosa devo fare! In inglese faccio pena!
ciopos
Utente Junior
 
Post: 31
Iscritto il: 18/04/05 12:09

Postdi ciopos » 18/04/05 20:34

Devo formattare?...non so cosa fare...può essere che msn vecchio è diventato un virus?
ciopos
Utente Junior
 
Post: 31
Iscritto il: 18/04/05 12:09

Postdi Dylan666 » 18/04/05 21:36

Quello che dici non c'entra nulla. Dalla modalità provvisoria leva questa chiave:

O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi ciopos » 19/04/05 13:05

Sono andato in modalità provvisoria ma questa chiave proprio non l'ho trovata. Continuo ad avere sempre gli stessi problemi: è scomparso il tasto per l'opzione desktop per cambiare lo sfondo e mi compare quella cartella in preferiti ogni volta che riapro explorer.
ciopos
Utente Junior
 
Post: 31
Iscritto il: 18/04/05 12:09

Postdi Dylan666 » 19/04/05 13:11

Da modalità provvisoria devi usare sempre HijackThis
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi ciopos » 19/04/05 13:26

Si ho usato sia quel programma che hai detto sia il regedit per trovare la stringa che mi hai detto. Ma non ho trovato nulla. Ti allego quello che ora mi trova Hitjackthis:



Logfile of HijackThis v1.99.1
Scan saved at 14.26.14, on 19/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Info\Impostazioni locali\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
ciopos
Utente Junior
 
Post: 31
Iscritto il: 18/04/05 12:09

Postdi Dylan666 » 19/04/05 13:52

bene, quindi quello è stato rimosso.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi ciopos » 19/04/05 13:54

Si ma allora cosa ha il mio pc?
ciopos
Utente Junior
 
Post: 31
Iscritto il: 18/04/05 12:09

Postdi Dylan666 » 19/04/05 13:56

ciopos ha scritto:Sono andato in modalità provvisoria ma questa chiave proprio non l'ho trovata. Continuo ad avere sempre gli stessi problemi: è scomparso il tasto per l'opzione desktop per cambiare lo sfondo e mi compare quella cartella in preferiti ogni volta che riapro explorer.


Allora: i preferiti se li cancelli questa volta non dovrebbero tornare.
Per la lunguetta che ti manca, dimmi se quanto detto qui ti è familiare e se manca la stessa voce:

http://www.theeldergeek.com/desktop_tab ... isplay.htm
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi ciopos » 19/04/05 19:03

Purtroppo in preferiti torna sempre quella sottocartella e in più non ho risolto il problema del desktop.
Ho letto quella discussione ma che windows è quello? A me non ci sono i temi del desktop ed in ogni caso in modalità provvisoria tornava la linguetta mancante ma cmq cambiando sfondo non succedeva nulla. Ora ho sempre il desktop nero...e non riesco a cambiare sfondo..

E quella maledetta sottocartella in preferiti riappare sempre.
ciopos
Utente Junior
 
Post: 31
Iscritto il: 18/04/05 12:09

Postdi Dylan666 » 19/04/05 19:10

evidentemente una parte ancora non è stata rimossa, ma io personalmente non saprei quale file è
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi ciopos » 19/04/05 23:23

bhè quindi sono fregato in poche parole? Mica posso mettermi a cencellare tutte le chiavi?...:S ed in ogni caso è possibile che una chiave di registro "difettata" mi crei un problema così grave quale quello di farmi sparire l'opzione per cambiare sfondo al desktop?

Se pure clicco sul destro su un immagine e metto imposta come sfondo...cmq non risolvo nulla.

Esagerato...chissà cosa cavolo c'è nel mio pc.
ciopos
Utente Junior
 
Post: 31
Iscritto il: 18/04/05 12:09

Postdi zello » 22/04/05 22:57

Mi verrebbe da dire: installa SoftIce, metti un breakpoint su RegCreateKeyEx, aspetta che la baracca si fermi, trova le chiamate che abbiano come argomento la chiave del trojan, ma ammetto che è una soluzione un po' drastica.
D'altra parte, una volta che il malware ha i diritti di amministratore, può usare una dozzina di sistemi diversi per essere eseguito (compreso sostituirsi ad un qualche ole server caricato all'avvio, il che gli evita di crearsi un processo suo - sarebbe una dll - e di farsi beccare dal taskmanager). Oppure potrebbe installarsi come service, e sarebbe duretta beccarlo (c'era in giro un rootkit per 2000/xp veramente ben fatto, che era praticamente irrintracciabile).
La morale è: non usate l'utente Administrator, togliete i diritti di scrittura agli altri utenti su HKEY_CLASSES_ROOT e HKEY_LOCAL_MACHINE, togliete i diritti di scrittura sul disco fisso tranne che sulla directory home (Documents and settings\<nome utente>, di solito) e sulla temp, disabilitate gli activex, disabilitate java.
Oppure usate un sistema operativo meno diffuso per collegarvi ad Internet.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi piercing » 26/04/05 12:32

zello ha scritto:La morale è: non usate l'utente Administrator, togliete i diritti di scrittura agli altri utenti su HKEY_CLASSES_ROOT e HKEY_LOCAL_MACHINE, togliete i diritti di scrittura sul disco fisso tranne che sulla directory home (Documents and settings\<nome utente>, di solito) e sulla temp, disabilitate gli activex, disabilitate java.


e pensavo di essere io il drastico! ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi ciopos » 26/04/05 13:49

Sono riuscito a seguire solo il 20% di quello che hai scritto...
ciopos
Utente Junior
 
Post: 31
Iscritto il: 18/04/05 12:09

Postdi zello » 26/04/05 22:54

Vediamo nei dettagli:
1) HKEY_CLASSES_ROOT e HKEY_LOCAL_MACHINE contengono chiavi valide per tutti gli utenti. Quindi, se sei l'utente zello con poteri limitati, e esegui un programma "abusivo", questo può scrivere in queste chiavi cose che possono avere effetti su utenti più potenti. Il classico sistema è pistolare HKEY_CLASSES_ROOT/.exe per avviare un programma prima dell'avvio dell'exe (magari sotto Administrator), e controllare la macchina. Altra cosa classica è sostituire un OLE Server di sistema (sempre HKCR, che contiene l'elenco degli ole servers [\CLSID, se non ricordo male]) con un proprio, e trovarsi magicamente caricati il troiano non appena ci si logga
2) gli utenti ordinari non hanno necessità di scrivere in altri posti che non sia lo spazio a loro riservato. Lasciarli scrivere - che so io - in /WINNT/System32, oltre a poter causare danni di tutto rispetto, lascia aperta una voragine del tipo di quella al punto 1. Ciò vuol dire che solo Administrator potrà installare programmi. Pazienza
A proposito del punto 2: questo è un sistema intelligente per proteggersi, ma a volte i programmi non lo sono altrettanto. Lo stesso Abuse va a scrivere un file nella directory in cui è installato (lo so, dovrei modificare il comportamento, ma sono pigro), quindi preparati a qualche "inconveniente" (niente di irrisolvibile: vorrà dire che autorizzerai la scrittura da parte degli utenti su qualche altra directory, mano a mano che incapperai negli errori.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi saharas » 28/04/05 14:33

:lol: Anche io sto tentando di debellare questo monello di smitfraud, e sto diventando isterica..si tratta del pc di mio fratello,ma come sistema ha Window ME...x carità..alcuni programmi li ho già usati,userò gli altri consigliati dal moderatore.. e vediamo chi la vince :x ...
ciaoo :D
saharas
Newbie
 
Post: 2
Iscritto il: 28/04/05 14:20

Postdi saharas » 28/04/05 14:43

:o Aggiungo che usando almeno due antivirus, programmi anti trojan e spy ecc... ho trovato il pc infestato da almeno 3 trojan, e 18 files infetti...ma Smitfraud è recidivo... ;) ..rimane sul desktop il "warning security" che me lo cita sempre...dicono che è un trojan da desktop..nella mia ignoranza persevero con mille versioni di antivirus e simili. ;) ciao
saharas
Newbie
 
Post: 2
Iscritto il: 28/04/05 14:20

Postdi Tiseria » 29/04/05 18:32

Fai una scansione con ViriT, lo trovi sul sito http://www.tgsoft.it
Dopo averlo instalalto lo devi aggiornare.
Riavvia in modalità provvisoria ed esegui VirIT.
VirIT elimina un sacco di spyware e trojan.

Per re-impostare la pagina iniziale di Internet Explorer e il menu dello sfondo per il desktop di Windows, eseguire VirIT explorer Lite, menu TOOLS->Ripara Internet Explorer.
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Problema molto grave":

problema blocco note
Autore: carlin
Forum: Software Windows
Risposte: 7

Chi c’è in linea

Visitano il forum: Nessuno e 32 ospiti