Condividi:        

virus nei file di registro?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

virus nei file di registro?

Postdi Zaggy » 11/10/06 10:33

Ciao a tutti,
da 2 giorni mi son beccato sul pc al lavoro un fastidiosissimo virus.
Uso il Nod32 e di tanto in tanto mi compare l'alert riguardo 2 infezioni.
Faccio lo scan ed è tutto ok, spengo il pc lo riaccendo dopo qualche ora e riecco l'infezione...

La scritta che mi compare è questa:
Variante modificata di win32/trojandownloader
c:windows/temp/clkl1.exe creato da c\windows\system32\svchost.exe

e
Variante modificata di qin32/trojandownloader.AgentBQ
c:windows\kneit1.dll creato da c\windows\temp\14a.tmp

ho provato a disinstallare nod e metter su avast e non mi ha trovato nulla o rimesso nod e andava tutto bene, ma stamattina è uscito di nuovo l'avviso del trojan...
son deciso a formattare a meno che voi non riusciate a salvarmi!
Zaggy
Utente Junior
 
Post: 19
Iscritto il: 11/10/06 10:20

Sponsor
 

Postdi Luke57 » 11/10/06 10:42

Ciao, se li potrai utilizzare, prova questi tool:
http://www.prevx.com/gromozon.asp
lo esegui. L riavvio del computer, terminerà lo scan nelle restanti cartelle di windows. Puoi rispondere di no alla richiesta di installare un elemento di Prevx.
Al termine sarà rilascito un report in C:\Gromozon_Removal.log

Poi il Tool della Symantec :
http://smallbiz.symantec.com/security_r ... 16-4153-99

L´esito viene salvato nel file FixLinkopt.log

Posta ambedue i report.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Zaggy » 11/10/06 11:28

il primo non me lo apre
ecco il report del symantec
Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege
service: SysVds (logon as: .\OsbKBblhfyb, passed filters)
service: SysVds (file path: C:\Programmi\File comuni\Services\rDB.exe - infected)
file: C:\Programmi\File comuni\Services\rDB.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SysVds\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SysVds\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\SysVds (key deleted)
reg: ...\SpecialAccounts\UserList\OsbKBblhfyb (value deleted)
folder: \\?\C:\Documents and Settings\OsbKBblhfyb (deleted)
user: OsbKBblhfyb (deleted)




Trojan.Linkoptimizer has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 18789
The number of deleted threat files: 1
The number of directories deleted: 1
The number of threat processes terminated: 0
The number of registry entries fixed: 4
The number of threat services removed: 1
The number of accounts disabled: 1

The tool initiated a system reboot.
Zaggy
Utente Junior
 
Post: 19
Iscritto il: 11/10/06 10:20

Postdi Luke57 » 11/10/06 12:05

Ciao, prova con Gmer:
, scarica Gmer :
http://www.gmer.net/gmer111.zip
Dopo averlo scompattato, lo avvii, entri in Avanzate premendo>>>>>>,selezioni il tab "Rootkit"
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Incolli il log gemerato in un blocco notes (foglio di testo) e salvi il medesimo foglio..

Con la stessa procedura fai una scansione nella posizione Autostart (spunta “show all”) la copi e incolli nel suddetto foglio di testo.

Se Gmer non si avviasse, scarica virit:
http://www.tgsoft.it/italy/index_ita.html
lo aggiorni alle ultime definizioni, fai uno scan in modalità normale e uno dalla modalità provvisoria.
Posti il report della scansione.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Zaggy » 11/10/06 12:52

ho usato virit, l'altro non partiva


VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.I
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/10/2006 - 13:36:07

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]


[E:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 23070.
Files Totali: 23070.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

li: 19002.
Chiavi Registro rimosse: 1.
Virus Rimossi: 0.
Zaggy
Utente Junior
 
Post: 19
Iscritto il: 11/10/06 10:20

Postdi Zaggy » 11/10/06 13:15

gmer mi scrive solo questo:

GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-11 14:14:04
Windows 5.1.2600 Service Pack 2


---- Files - GMER 1.0.11 ----

ADS ...

---- EOF - GMER 1.0.11 ----
Zaggy
Utente Junior
 
Post: 19
Iscritto il: 11/10/06 10:20

Postdi Zaggy » 11/10/06 14:04

Ho dimenticato di postare il report in modalità provvisoria
eccola
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.I
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/10/2006 - 13:36:07

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]


[E:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 23070.
Files Totali: 23070.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

--------------------------------------------------------
11/10/2006 - 13:50:45

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 235.
Files Totali: 235.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/10/2006 - 13:55:50

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK



Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 19021.
Files Totali: 19021.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/10/2006 - 14:17:57

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 19050.
Files Totali: 19050.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/10/2006 - 14:42:42

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]


[E:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 23136.
Files Totali: 23136.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
Zaggy
Utente Junior
 
Post: 19
Iscritto il: 11/10/06 10:20

Postdi Zaggy » 11/10/06 14:32

son riuscito a usare pure prevx
ecco il rapporto

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\Services\bCHOf.exe
Removing protected file: C:\Programmi\File comuni\Services\cEP.exe
Removing protected file: C:\Programmi\File comuni\Services\Frv.exe
Removing protected file: C:\Programmi\File comuni\Services\ftH.exe
Removing protected file: C:\Programmi\File comuni\Services\gfH.exe
Removing protected file: C:\Programmi\File comuni\Services\iKZ.exe
Removing protected file: C:\Programmi\File comuni\Services\isb.exe
Removing protected file: C:\Programmi\File comuni\Services\JSCve.exe
Removing protected file: C:\Programmi\File comuni\Services\JXj.exe
Removing protected file: C:\Programmi\File comuni\Services\KmG.exe
Removing protected file: C:\Programmi\File comuni\Services\KmmE.exe
Removing protected file: C:\Programmi\File comuni\Services\ksXDQ.exe
Removing protected file: C:\Programmi\File comuni\Services\KtwBh.exe
Removing protected file: C:\Programmi\File comuni\Services\LlrLQI.exe
Removing protected file: C:\Programmi\File comuni\Services\LOIvB.exe
Removing protected file: C:\Programmi\File comuni\Services\lZG.exe
Removing protected file: C:\Programmi\File comuni\Services\NPRak.exe
Removing protected file: C:\Programmi\File comuni\Services\NWB.exe
Removing protected file: C:\Programmi\File comuni\Services\Ory.exe
Removing protected file: C:\Programmi\File comuni\Services\oVn.exe
Removing protected file: C:\Programmi\File comuni\Services\OWCB.exe
Removing protected file: C:\Programmi\File comuni\Services\RjK.exe
Removing protected file: C:\Programmi\File comuni\Services\TWw.exe
Removing protected file: C:\Programmi\File comuni\Services\uCsP.exe
Removing protected file: C:\Programmi\File comuni\Services\Wgt.exe
Removing protected file: C:\Programmi\File comuni\Services\XgT.exe
Removing protected file: C:\Programmi\File comuni\Services\xhTfS.exe
Removing protected file: C:\Programmi\File comuni\Services\YlXaeg.exe


Trojan.Gromozon Removed!
Zaggy
Utente Junior
 
Post: 19
Iscritto il: 11/10/06 10:20

Postdi Luke57 » 11/10/06 14:48

Ciao, apri hiajckthis, premi "open the misc tools section", "open unistall manager", cerchi tra le applicazioni se sono presenti:
linkoptimizer
Connection services
Power Verify
chiunque sia presente lo evidezi e premi
"delete this entry".

Posta poi un nuovo log di hijackthis.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Zaggy » 11/10/06 18:50

Grazie per l'aiuto!
Non erano presenti quelle voci!
ecco il log di hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 19.48.39, on 11/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\Eset\nod32kui.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Angelo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7794903416
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
Zaggy
Utente Junior
 
Post: 19
Iscritto il: 11/10/06 10:20

Postdi Zaggy » 12/10/06 22:38

Luke ,per favore,mi sai dire se il mio problema è risolto?
Zaggy
Utente Junior
 
Post: 19
Iscritto il: 11/10/06 10:20

Postdi Luke57 » 13/10/06 07:21

Zaggy ha scritto:Luke ,per favore,mi sai dire se il mio problema è risolto?

Ciao, nel log non ci sono tracce di linkoptimizer.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "virus nei file di registro?":


Chi c’è in linea

Visitano il forum: Nessuno e 56 ospiti