Condividi:        

Ankora connessione con UD

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Ankora connessione con UD

Postdi hiupo » 21/01/07 16:47

Ciao.Volevo dirti ke il problema della connessione con UD nn è stato risolto continua a disconnettermi e ad iniziare una nuova connessione anke se il tool ha eliminato gromozon.Come devo fare???? :(
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Sponsor
 

Postdi hiupo » 21/01/07 19:49

Vi prego aiutatemi ora incomincia a connettersi anke quando io nn sono connesso quindi senza disconnettermi;incomincia da solo la connessione!!!! :(
Ora vi posto di nuovo il mio report:

Logfile of HijackThis v1.99.1
Scan saved at 19.49.24, on 21/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Documents and Settings\Principale\Dati applicazioni\SysServDLL32.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\Coolspot\Dialer Control\dc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\sistray.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {030F726A-13E1-9699-D8AA-935A787A2D6D} - C:\WINDOWS\dkqhd1.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll (file missing)
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [BearFlix] "C:\Programmi\BearFlix\BearFlix.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Dialer Control] C:\Programmi\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {A335EC30-2007-4F57-A0D1-4FDFCCA18B91} - http://td8eau9td.com/35b3d246/50310/1/xp/FreeAccess.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{909628A5-C167-4C5B-B478-0BD0770D9E6F}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD30BAF1-E23B-47E9-84C1-D9A448822D45}: NameServer = 151.99.125.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LoadDLLServ - Unknown owner - C:\Documents and Settings\Principale\Dati applicazioni\SysServDLL32.exe
O23 - Service: SecMne - Unknown owner - C:\Programmi\File comuni\System\mzK.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Re: Ankora connessione con UD

Postdi Luke57 » 21/01/07 19:52

hiupo ha scritto:Ciao.Volevo dirti ke il problema della connessione con UD nn è stato risolto continua a disconnettermi e ad iniziare una nuova connessione anke se il tool ha eliminato gromozon.Come devo fare???? :(

Ciao, in effetti mi era sembrato troppo facile, i tool non risolvono mai la situazione da soli con Gromozon ;)
scarica Systemscan da qua http://www.suspectfile.com/upload/files ... emscan.exe
Avvialo, spunta ogni opzione e clicca su "Scan now". Alla fine della scansione, ti verrà salvato un file chiamato report.txt su c:\suspectfile.
A questo punto vai su
http://www.mytempdir.com,
carica, scegliendo Sfoglia e premendo Hostit, il file report.txt e copia e incolla in un post il link che apparirà per poterlo visionare
P.S.[/b] Clicca rispondi a questo messaggio, non aprire una discussione nuvoa altrimenti perdiamo letteralmente il filo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi hiupo » 21/01/07 19:54

Ok Grazie.Scusa per il nuovo topic ;)
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi hiupo » 21/01/07 20:12

Scusa ma la devo levare alle caselle quella specie di freccietta o la devo mettere dove ci manca?Scusa la mi imbranataggine... :oops:
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi hiupo » 23/01/07 22:23

COME MAI NESSUNO MI RISP??? :(
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi Luke57 » 24/01/07 08:05

Ciao, scusa ma per spuntare si intende inserire la freccetta.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi hiupo » 27/01/07 16:51

Scusa ma una volta fatto Host it nn ho capito dove devo caricare l'Url!!
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi hiupo » 27/01/07 16:56

Questo è il post vero??!!! :( :oops: Scusa ma nn ci capisco molto di pc (ti sto facendo perdere la pazienza vero?!! :) ;) )Cmq questo è il link
http://www.mytempdir.com/1188645
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi Luke57 » 27/01/07 17:55

Ciao, segui attentamente queste istruzioni.

scarica
http://www.uploads.ejvindh.net/rustbfix.exe
nel desktop

Poi scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip


1) disabilita l'antivirus , esegui rustbfix.exe (il primo tool)
Se viene trovata l'infezione ti verrà chiesto di riavviare, riavvia il pc.
Probabilmente il pc si riavvierà due volte una dopo l'altra, è normale.
Dopo il secondo riavvio portati in C:\Rustbfix all'interno della cartella
troverai un file chiamato pelog è un file di testo (pelog.txt), incollalo nella tua prossima risposta.

2) Poi, scompatta il file.zip di Avenger nel desktop.
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (CTRL+V) le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SecMne
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{030F726A-13E1-9699-D8AA-935A787A2D6D}

Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | AxIsRgq

Folders to delete:
C:\documents and settings\AxIsRgq

Files to delete:
C:\WINDOWS\dkqhd1.dll
C:\Programmi\File comuni\System\mzK.exe
C:\Documents and Settings\Principale\Impostazioni locali\Temp\PXRB6.tmp
C:\Programmi\File comuni\System\CBBIqO.exe
C:\Programmi\File comuni\System\HXN.exe
C:\Programmi\File comuni\System\xsm.exe
C:\Programmi\File comuni\System\ZMSXk.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Posta il log di Avenger (C:/avenger.txt) con l´esito dello script

3) Poi lancia questo comando:
start>esegui>lusrmgr.msc (lo digiti nello spazio)>OK
Nella finestra che si apre, clicca sulla cartella users e se all’interno trovi;
U8EZ48CVMGVRKRJ
AxIsRgq
Click tasto dx e scegli Elimina, chiudi la finestra

4) In ultimo, apri hiajckthis, premi “open the misc tools s ection”, “open process manager”, se tra le applicazioni trovi qualcuna di queste:
LinkOptimizer
-ConnectionService
-Power Verify
-StrongestGuard
-ConnectionKnight
-StrongestOptimizer
-SecurityOptimizer
-InternetOptimizer
-StrongestPaladin
-SecurityGuard
-InternerGuard
-InternetShield
La evidenzi e premi "delete this entry
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi hiupo » 28/01/07 08:57

Ciao questo è il file pelog.txt.Ora vedo l'altro tool

************************* Rustock.b-fix -- By ejvindh *************************
28/01/2007 8.49.03,62

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 68944
Total size: 68944 bytes.
Attempting to remove ADS...
system32: deleted 68944 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32



******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi hiupo » 28/01/07 09:07

Ciao questo è invece il secondo log quello di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ehmfexrf

*******************

Script file located at: \??\C:\WINDOWS\nemuokmn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\SecMne deleted successfully.
Folder C:\documents and settings\AxIsRgq deleted successfully.


File C:\WINDOWS\dkqhd1.dll not found!
Deletion of file C:\WINDOWS\dkqhd1.dll failed!

Could not process line:
C:\WINDOWS\dkqhd1.dll
Status: 0xc0000034



File C:\Programmi\File comuni\System\mzK.exe not found!
Deletion of file C:\Programmi\File comuni\System\mzK.exe failed!

Could not process line:
C:\Programmi\File comuni\System\mzK.exe
Status: 0xc0000034

File C:\Documents and Settings\Principale\Impostazioni locali\Temp\PXRB6.tmp deleted successfully.
File C:\Programmi\File comuni\System\CBBIqO.exe deleted successfully.
File C:\Programmi\File comuni\System\HXN.exe deleted successfully.
File C:\Programmi\File comuni\System\xsm.exe deleted successfully.
File C:\Programmi\File comuni\System\ZMSXk.exe deleted successfully.


Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{030F726A-13E1-9699-D8AA-935A787A2D6D} deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|AxIsRgq deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi hiupo » 28/01/07 09:27

Ciao!Ho eseguito tutte le operazioni ke mi hai detto di fare:
per quanto riguarda il comando start>esegui... ho trovato AxIsRgq e l'ho eliminato.Invece con hiajckthis sono andato a open process manager ma nn ho trovato nessuna delle applicazioni.Oltretutto dov'era delete this entry nn l'ho visto!Ora cosa devo fare?
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi Luke57 » 28/01/07 15:25

Ciao, dovresti essere a posto. Per sicurezza, riesegui Avenger inserendo questo script:

files to delete:
C:\WINDOWS\winsys.exe
C:\WINDOWS\svhost.dll
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi hiupo » 01/02/07 09:57

Grazie infinite!!!!!!!!!Ciaooooo!!!! :) ;) ;)
hiupo
Utente Junior
 
Post: 62
Iscritto il: 11/06/06 18:30

Postdi Tritolbobone » 12/02/07 17:23

Ciao Luke, ho letto e mi sono iscritto al forum per vedere se per caso potevi aiutarmi:

ho fatto quello che hai detto di fare all'altro che aveva il mio stesso problema di connessione a ud.

Comunque:
http://www.mytempdir.com/1213592

Grazie per l'attenzione.
Tritolbobone
Newbie
 
Post: 7
Iscritto il: 12/02/07 17:19

Postdi Luke57 » 12/02/07 17:53

Ciao, apri hijackthis, premi “open the misc tools section”, “open process manager”, cerca e spunta il seguente processo:
C:\WINDOWS\SFTVFJAH.EXE
Premi kill process.
Torni al menu principale con back, premi scan, cerca e spunta le seguenti voci:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SFTVFJAH.EXE
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - Startup: MSWin-1796875842.exe

Premi fix checked.

Poi scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip, estraendo tutti i file.
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SrvKdq

registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | pFpemDE

Folders to delete:
C:\documents and settings\pFpemDE

Files to delete:
C:\WINDOWS\qjnmwqdk.exe
C:\WINDOWS\svhost.dll
C:\WINDOWS\115252174116.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\system32\svshost.exe
C:\WINDOWS\SFTVFJAH.EXE
C:\WINDOWS\115252~1.EXE



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 12/02/07 17:53

Ciao, apri hijackthis, premi “open the misc tools section”, “open process manager”, cerca e spunta il seguente processo:
C:\WINDOWS\SFTVFJAH.EXE
Premi kill process.
Torni al menu principale con back, premi scan, cerca e spunta le seguenti voci:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SFTVFJAH.EXE
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - Startup: MSWin-1796875842.exe

Premi fix checked.

Poi scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip, estraendo tutti i file.
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SrvKdq

registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | pFpemDE

Folders to delete:
C:\documents and settings\pFpemDE

Files to delete:
C:\WINDOWS\qjnmwqdk.exe
C:\WINDOWS\svhost.dll
C:\WINDOWS\115252174116.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\system32\svshost.exe
C:\WINDOWS\SFTVFJAH.EXE



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Tritolbobone » 12/02/07 18:12

Luke57 ha scritto:Ciao, apri hijackthis, premi “open the misc tools section”, “open process manager”, cerca e spunta il seguente processo:
C:\WINDOWS\SFTVFJAH.EXE
Premi kill process.

Quando faccio Kill Process in fondo all'elenco ne ricrea uno uguale. Che faccio? Faccio lo stesso il resto che mi hai detto oppure no?
Tritolbobone
Newbie
 
Post: 7
Iscritto il: 12/02/07 17:19

Postdi Luke57 » 12/02/07 18:54

Ciao, vi avanti lo stesso fixando le voci suggerite, poi ci dovrebbe pensare avenger a "catturarlo" anche se il processo è attivo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Ankora connessione con UD":


Chi c’è in linea

Visitano il forum: Nessuno e 69 ospiti