Home News Guide Hardware Download Forum Glossario

Condividi:        

malefico citofarera

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Regole del forum
Rispondi al post

malefico citofarera

Postdi sorafra » 02/09/06 12:11

Ciao!
vi scrivo dopo aver effettuato vari tentativi di eliminare da sola (consultando un po' il web), e senza successo, il fatidico Citofarera (segnalato da Spybot). Ho fatto la scansione con Hijackthis ed ho eliminato alcune voci con l'opzione "fix checked", ma una in particolare ritorna sempre..02 BHO(no name)........\btaa.dll
ecco l'ultimo log effettuato.
vi ringrazio, ciao

Logfile of HijackThis v1.99.1
Scan saved at 12.08.40, on 02/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Documents and Settings\FRAEL SPA\Menu Avvio\Programmi\Esecuzione automatica\w32.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINDOWS\System32\btaa.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: w32.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O23 - Service: UpdTqu - Unknown owner - \\?\C:\Programmi\File comuni\System\com2.exe (file missing)
sorafra
Newbie
 
Post: 3
Iscritto il: 02/09/06 11:34
Top
Sponsor
 

Postdi Luke57 » 02/09/06 12:39

Ciao, il file w32.exe in esecuzione automatica è sintomo da infezione di linkoptimizer.
Scarica questo tool recente da qui:
http://www.prevx.com/gromozon.asp
chiudi tutte le applicazioni, lo esegui e al riavvio del computer completerà lo scan.
Inserisci in un post, poi, il report dello scan e un altro log di hijackthis.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10
Top

Postdi sorafra » 02/09/06 17:42

Grazie per le indicazioni! ero ben lontana dalla soluzione del problema..
ecoo di seguito il report (rifatto due volte) ed il log di hijackthis.
ps. i file \btaa.old li avevo rinominati io, nella speranza di...
:D

1)Launching Scan
Removing rootkit file...
Scanning Windows Directory, this may take a few minutes...
>>>>>>>C:\WINDOWS\system32\btaa.dll is infected with Malcode 1
>>>>>>>C:\WINDOWS\system32\btaa.old is infected with Malcode 1
>>>>>>>C:\WINDOWS\system32\btaa.old1 is infected with Malcode 1
>>>>>>>C:\WINDOWS\system32\btaa.old2 is infected with Malcode 1
Searching for EFS service files...
Trojan.Gromozon Removed!

Scan finished normally


2)Launching Scan
Removing rootkit file...
Gromozon rootkit not found - scanning for other components...
Scanning Windows Directory, this may take a few minutes...
>>>>>>>C:\WINDOWS\system32\btaa.dll is infected with Malcode 1
Searching for EFS service files...
Trojan.Gromozon Removed!

Scan finished normally



Logfile of HijackThis v1.99.1
Scan saved at 18.33.53, on 02/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Documents and Settings\FRAEL SPA\Menu Avvio\Programmi\Esecuzione automatica\w32.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINDOWS\System32\btaa.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: w32.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O23 - Service: UpdTqu - Unknown owner - \\?\C:\Programmi\File comuni\System\com2.exe (file missing)

in attesa di ulteriori istruzioni..Grazie
ciao
sorafra
Newbie
 
Post: 3
Iscritto il: 02/09/06 11:34
Top

Postdi Luke57 » 02/09/06 22:09

Ciao, apri hijackthis, premi "open the misc tools section", "open process manager", cerchi ed evidenzi il seguente processo:
C:\Documents and Settings\FRAEL SPA\Menu Avvio\Programmi\Esecuzione automatica\w32.exe
premi kill process.

Torni al menu principale con back, premi "scan", cerchi e spunti le seguenti voci:
O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINDOWS\System32\btaa.dll (file missing)
O4 - Startup: w32.exe
O23 - Service: UpdTqu - Unknown owner - \\?\C:\Programmi\File comuni\System\com2.exe (file missing)

premi fix checked.

lancia questi comandi, uno dopo l'altro:
start>esegui>sc stop UpdTqu (lo copi nello spazio)>OK
start>esegui>sc delete UpdTqu (lo copi nello spazio)>OK

Dalla modalità provvisoria. cerca ed elimina:
C:\Documents and Settings\FRAEL SPA\Menu Avvio\Programmi\Esecuzione automatica\w32.exe

Scarica ATF cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare i file temporanei)
Poi avvialo. Clicca sul menu main e poi seleziona la casella Select All. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10
Top

GRAZIE DI ESISTERE!!!!!!!!!!!!!!!!!!!!!

Postdi sorafra » 03/09/06 11:08

GRAZIE GRAZIE GRAZIE GRAZIE!!!!Tutto risolto!!!.....fino al prossimo ..che beccherò :)
sorafra
Newbie
 
Post: 3
Iscritto il: 02/09/06 11:34
Top
Rispondi al post

Torna a Sicurezza e Privacy


Topic correlati a "malefico citofarera":

virus malefico sul desktop
Autore: Danivan 		Forum: Sicurezza e Privacy
Risposte: 8
citofarera e sfonditalia
Autore: gaet83 		Forum: Sicurezza e Privacy
Risposte: 3
Virus malefico che si propaga in una lan.
Autore: padrino 		Forum: Sicurezza e Privacy
Risposte: 2
Problemi con CITOFARERA
Autore: spider66 		Forum: Sicurezza e Privacy
Risposte: 2
e1xplorer - citofarera; aiuto!
Autore: maxguido 		Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 18 ospiti