Condividi:        

DIALER

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi starshine » 21/04/07 15:42

Ciao,luke57 ho seguito la procedura e quindi eliminato con
Avgpfix il file c:\windows\system32\twbpica.txt fino qui tutto
bene. Poi ho cercato di installare hijackthis il cui eseguibile
avevo masterizzato in precedenza con un altro computer.
Ho inserito il cd ma quando ho cliccato sul file eseguibile
mi è venuta una schermata blu ed è sparito tutto.
Cosa posso fare? Grazie per il tuo aiuto
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Sponsor
 

Postdi Luke57 » 21/04/07 16:28

Ciao, probabilmente hai solo eliminato il file lasicanod al suo posto la voce di registro explorer.exe aggiunta dal malware.
Devi eliminare quella voce:
apri il taskmanager (ctrl+alt+canc), su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
explorer.exe

click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura>OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi il registro.
Sempre dal task manager rimasto aperto, vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi starshine » 21/04/07 16:55

Ciao luke, in realtà ho fatto esattamente come mi hai
detto, l'unica cosa prima di cancellare la voce explorer.exe
avevo provveduto ad esportare la chiave per precauzione,quando poi ho visto che tutto funzionava bene anche dopo l'eliminazione , ho cancellato
con O&O safe erase anche la chiave esportata in precedenza.
Il guaio è iniziato quando ho cliccato sull'eseguibile di hijackthis.
Adesso windows non parte più, neppure in modalità provvisoria.
viene il logo di xp , vedo anche in alto a destra l'icona di kaspersky
internet security ma poi non riesce a caricare il desktop e quindi rimane
una schermata blù.
C'è una soluzione ? O forse devo reinstallare tutto perdendo i miei dati
Posso usare il dvd di installazione di xp? Grazie per la tua risposta
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Postdi Luke57 » 21/04/07 17:26

Ciao, porca miseria, ma dove si ferma l'avvio, riesci ad accedere al prompt dei comandi?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi starshine » 21/04/07 17:36

Si luke sono riuscito ad accedere a modalità provvisoria
con prompt dei comandi, posso fare qualcosa?
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Postdi Luke57 » 21/04/07 17:39

Ciao, digira regedit e dai invio
Vai alla voce di registro malefica (explorer.exe), secondo me è sempre lì ed eliminala con le procedure già suggerite.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi starshine » 21/04/07 17:55

Hai ragione la chiave explorer.exe è sempre li l' ho evidenziata
e quindi clik su elimina, viene un messaggio dicendo che è
impossibile eliminare la chiave suddetta, però vedo che sono
scomparse le due variabili a destra, una delle quali
debugger REG_SZ "c:\windows\system32\twbpicga.txt" è il
malware.

Quindi ricapitolando ora nel registro vedo sempre la chiave
explorer.exe ma l' area delle variabili a destra è vuota
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Postdi starshine » 21/04/07 17:58

No luke ,le variabili ci sono sempre.
continua a dirmi impossibile eliminare explorer.exe

mi ero sbagliato
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Postdi starshine » 21/04/07 18:30

Ciao Luke finalmente ho eliminato la chiave explorer.exe
cosa posso fare ora? Grazie infinite per l'aiuto
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Postdi Luke57 » 21/04/07 18:32

Ciao, avevi eliminato il file infetto e il sistema non trovandolo più non riusciva a caricare il desktop. Prova a inviare un log di hijackthis, appena posso lo esaminerò. Scarica però la versione della Trendmicro, è più completa.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi starshine » 21/04/07 18:50

Luke57, ho chiuso il registro quindi il prompt dei comandi e
poi ho spento il computer.Ho riacceso ed è ritornato il desktop
Volevo sapere se devo ancora eseguire con il task manager
explorer.exe e se devo ancora avviare Avgpfix per eliminare
il file infetto. Questo é tutto per ora

Luke 57 grazie di cuore, sei un grande God bless you

Ciao Starshine
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Postdi starshine » 21/04/07 19:33

luke , explorer funziona e il file infetto sembra scomparso.
Grazie ancora per il tuo tempo .
Ciao
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Postdi yashi66 » 21/04/07 22:02

Luke57, the best of the virus! :D
yashi66
Utente Junior
 
Post: 53
Iscritto il: 04/07/06 09:54

Postdi starshine » 22/04/07 19:51

Ciao Luke57, questo è il log file:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.43.59, on 22/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\Programmi\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\SAMSUNG\FW LiveUpdate\Liveupdate.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programmi\Nikon\NkView4\NkVwMon.exe
C:\Programmi\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Hijack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.micso.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programmi\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Name of App] C:\Programmi\SAMSUNG\FW LiveUpdate\Liveupdate.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Ahead\Nero BackItUp\NBKeyScan.exe" /devicetype:philips
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [DeviceDiscovery] "C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Utilità controllo supporti di Picture Motion Browser.lnk = C:\Programmi\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: NkVwMon.exe.lnk = C:\Programmi\Nikon\NkView4\NkVwMon.exe
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.micso.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{262042F1-7B52-4CEE-8D7C-AAAEFF6B63FC}: NameServer = 212.17.192.56,151.99.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADDBC962-CAAF-42FF-BD17-2A67AFA92084}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{262042F1-7B52-4CEE-8D7C-AAAEFF6B63FC}: NameServer = 212.17.192.56,151.99.0.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ASAPHook,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: OneCard - C:\Programmi\HPQ\IAM\Bin\AsWlnPkg.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Messenger - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 8454 bytes
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Postdi Luke57 » 23/04/07 09:21

Ciao, c'è una voce riferita a linkoptimizer, per cui:
scarica systemscan (strumento di diagnosi) da qui:
http://www.suspectfile.com/systemscan
spunta tutte le voci e premi scan. Alla fine troverai il report in C:\suspectfile\report.txt. Poi, vai su:
http://www.easy-share.com
inserisci il report con Sfoglia e premendo Upload. Poi comunica il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi starshine » 23/04/07 16:59

Ciao Luke57 grazie per la tua risposta
non riesco a scaricare system scan, appare il seguente messaggio
gWarning! You should have already downloaded the last Systemscan version (sys67628.exe).
If you can't download it probably your browser is blocking popups.
Please enable popup on your PC and try again.

Systemscan will be available within 264 seconds. Please reload this page after that time.

Ma i popups non sono bloccati.
Per quanto riguarda il resto , ora explorer è tornato a funzionare
perfettamente. Ciao e grazie
starshine
Utente Junior
 
Post: 12
Iscritto il: 21/04/07 05:18

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "DIALER":

Dialer, virus vari
Autore: zena
Forum: Sicurezza e Privacy
Risposte: 4
Probabile dialer
Autore: prof2000
Forum: Sicurezza e Privacy
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 30 ospiti