Condividi:        

Problema di trojan ma non posso usare hijackthis

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Problema di trojan ma non posso usare hijackthis

Postdi HeeK » 03/06/07 18:28

salve a tutti,
avendo dei problemi al pc e leggendo questo forum ho visto che qui nella sezione sicurezza c'è una vasta preparazione in merito a spyware rootkit, ecc.
Vi chiedo una mano spiegandovi il mio problema:
tutto è iniziato quando ho notato di non potere mai aprire alcuni siti dal browser, come:
- http://www.hwupgrade.it/forum (il sito principale me lo apre)
- http://www.p2pforum.it

ho iniziato a fare delle scansioni con molti scanner e ho notato di avere varie vulnerabilità tra cui link optimizer piu qualche virus ecc
la maggior parte degli spyware e link optimizer dovrebbe essere eliminata dal mio pc allo stato attuale però torna sempre il problema di non poter aprire quei siti di cui sopra (e di certo ce ne saranno altri)

Allora sentendo parlare di hijackthis mi son detto: ora lo uso faccio un log e lo invio....ma succede che qualsiasi sito in cui compare la scritta hijackthis mi si chiude, quindi non posso scaricarlo e neanche cercarlo.
Mi son fatto mandare la versione 1.99.1 e la 2.00 beta mediante messenger, erano in rar manco riuscivo ad aprire il rar poi ho fatto tasto dx -> estrai files e li ho messi sul desktop ma nessuno dei due riesco a usarlo. Quando apro hijackthis si chiude dopo un secondo, e anche andando velocissimo con invio + invio non riesco a fargli terminare la scansione e ad ottenere un log.
Vorrei proprio postare qui il mio log per risolvere i problemi che ho detto
Cosa si può fare? :roll:
Grazie

HeeK
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Sponsor
 

Postdi Samuamu » 03/06/07 19:12

prova a scaricare da http://www.prev.com (parte verde) prevx1, installalo, aggiornalo e fai delle scansioni...

...se non funziona disattivalo e scarica Virtit da http://www.tgsoft.it e fai una scansione...

...cerca poi di avviare Hijackthis...
Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima. (Einstein)
Samuamu
Utente Senior
 
Post: 377
Iscritto il: 18/12/06 12:44

Postdi HeeK » 03/06/07 20:12

OK Samuamu
prevx1 non riesco a scaricarlo, nella pagina che si apre mi spunta solo una scritta "Text" su fondo bianco (cosa significa parte verde?)
ora provo Virtit e ti aggiorno. grazie
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi Luke57 » 03/06/07 20:14

Ciao, fai questi controlli:
Apri il registro di sistema (start>esegui>nello spazio digiti regedit>OK)
Aperto l'editor del registro, clicchi sul segno + accanto alle singole voci (in pratica espandi le varie voci in una specie di menu ad albero):
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Image file execution options,
dopo il click sul segno + di quest'ultima voce, controlla se tra le varie sottovoci è presente
explorer.exe
se presente, click sulla voce e riporta che cosa trovi al suo interno

Inoltre, verifica anche questa voce:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Winlogon
click su quest'ultima voce e tra le varie voci all'interno portati su
userinit
e riporta che cosa è scritto sulla parte destra di tale voce (normalmente si trova: C:\Windows\system32\userinit.exe,).
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi HeeK » 03/06/07 20:21

Ah dimenticavo.
Ho scaricato Ad aware-SE Personal ed eseguito una scansione. Mi ha trovato il link optimizer benchè nessun altro programma compreso il norton internet security melo segnalasse.
Ma la cosa strana è che se faccio la scansione e lui trova il link optimizer io glielo faccio rimuovere ma se riavvio il pc alla successiva scansione ad aware mi ritrova il link optimizer, come chiave di registro. quindi è un malware che viene caricato a ogni avvio di win
se volete posto un log di ad aware

una volta fatta la scansione ed eliminato il malware se provo ad aprire hijackthis mi si chiude come al solito e come al solito su google se digito hijackthis o se vado sui suoi relativi siti si chiude il browser (lo fa anche con gmer mi pare)
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi HeeK » 03/06/07 20:31

Luke57 ha scritto:Ciao, fai questi controlli:
Apri il registro di sistema (start>esegui>nello spazio digiti regedit>OK)
Aperto l'editor del registro, clicchi sul segno + accanto alle singole voci (in pratica espandi le varie voci in una specie di menu ad albero):
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Image file execution options,
dopo il click sul segno + di quest'ultima voce, controlla se tra le varie sottovoci è presente
explorer.exe
se presente, click sulla voce e riporta che cosa trovi al suo interno

Inoltre, verifica anche questa voce:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Winlogon
click su quest'ultima voce e tra le varie voci all'interno portati su
userinit
e riporta che cosa è scritto sulla parte destra di tale voce (normalmente si trova: C:\Windows\system32\userinit.exe,).


ciao!
-dentro Image file execution options non è presente la sottovoce "explorer.exe"

-da winlogon su userinit non trovo quello che hai messo tu ma qualcosa in più e precisamente: "c:\windows\system32\userinit.exe,"c:\windows\system32\macromediamonitor.exe"
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi edo_aol » 03/06/07 20:56

hai provato ad avviare hijackthis da modalita provvisoria?per avviare in modalita provvisoria:
riavvi il pc e quando si carica il bios premi ripetutamente F8 e se hai premuto nel momento giusto esce l'impostazioni avanzate di windows.metti modalita provvisoria e su invio.se non hai premuto durante il caricamento del bios si avviera windows normale.riavvii e riprova.
poi incomincia col disattivare il ripristino configurazione di sistema in modo che il virus non fa copie di se stesso.disattiva cosi:
start.proprieta risorse del computer.ripristino config.di sistema spunta la voce disattiva e su applica.ciao;)
Avatar utente
edo_aol
Utente Senior
 
Post: 415
Iscritto il: 13/04/07 14:26

Postdi HeeK » 03/06/07 21:09

edo in modalità provvisoria ho già provato e hijackthis non parte manco con le bombe :aaah , uguale alla modalità normale
quella cosa del ripristino configurazione la faccio lo stesso? e da dove? da modalità provvisoria?
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi HeeK » 03/06/07 21:15

Posto il log della scansione con VirIT. Mi ha trovato 3 link optimizer nel registro ma non li ha rimossi :roll:
eccolo:

Codice: Seleziona tutto
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
[Hidden Services]
eeCtrl - Symantec Eraser Control driver - \??\C:\Programmi\File comuni\Symantec Shared\EENGINE\eeCtrl.sys
SPBBCDrv - SPBBCDrv - \??\C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCDrv.sys
SRTSPX - SRTSPX - System32\Drivers\SRTSPX.SYS
SYMTDI - SYMTDI - \SystemRoot\System32\Drivers\SYMTDI.SYS
comHost - COM Host - "C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe"
EraserUtilRebootDrv - EraserUtilRebootDrv - \??\C:\Programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
LiveUpdate - LiveUpdate - "C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"
SRTSP - SRTSP - System32\Drivers\SRTSP.SYS
SRTSPL - SRTSPL - System32\Drivers\SRTSPL.SYS
Symantec Core LC - Symantec Core LC - "C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe"
SYMDNS - \SystemRoot\System32\Drivers\SYMDNS.SYS
SymEvent - \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
SYMFW - \SystemRoot\System32\Drivers\SYMFW.SYS
SYMIDS - \SystemRoot\System32\Drivers\SYMIDS.SYS
SYMIDSCO - \??\C:\PROGRA~1\FILECO~1\SYMANT~1\SymcData\idsdefs\20070531.001\SymIDSCo.sys
SYMNDIS - \SystemRoot\System32\Drivers\SYMNDIS.SYS
SYMREDRV - \SystemRoot\System32\Drivers\SYMREDRV.SYS
 
OK
--------------------------------------------------------
03/06/2007 - 21:39:32

[SCANSIONE DEL REGISTRO]
{184726FC-0A5F-1C4B-02D0-96C8A7EC9D84}  Infetto da BHO.LinkOptimizer.A
{DA39029C-D291-A968-3FF4-D0990D5CB5FC}  Infetto da BHO.LinkOptimizer.B
{DA39029C-D291-A968-3FF4-D0990D5CB5FC}  Infetto da BHO.LinkOptimizer.D

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
 
 
Chiavi Registro infette: 3.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 50143.
Files Totali: 50143.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.


grazie sempre del vostro prezioso aiuto
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi edo_aol » 03/06/07 21:41

disattiva lo stesso il riprisitno config.di sistema anche da normale.prova a far partire questo:
La prevx ha rilasciato un tool di rimozione per il malware linkoptimizer/gromozon:

http://www.prevx.com/gromozon.asp


Tool di rimozione della Symantec:

http://smallbiz.symantec.com/security_r ... 16-4153-99
se non riesci allora devi eliminarlo manualemente dal registro di sistema.vai su start-esegui-regedit poi sopra su modifica e su trova e metti linkoptmizer e vedi se ci son tracce.se si eliminale.
Avatar utente
edo_aol
Utente Senior
 
Post: 415
Iscritto il: 13/04/07 14:26

Postdi HeeK » 03/06/07 21:45

Riciao a tutti! Qualcosa adesso va meglio
Ricollegandomi al post di Luke57 che suggeriva di guardare dentro user init nel registro, vedendo che li dentro ho una voce in più, e cioè MacromediaMonitor.exe, ho aperto il task manager, eliminato appunto il processo MacromediaMonitor e finalmente hijackthis è partito! :)
Procedo subito ad inviare il log:

_________________________________________________________
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.36.44, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\MSN PLUS\MsgPlus.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\SAMSUN~1\MOUSE32A.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Fam. Rotolo\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\macromediamonitor.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {184726FC-0A5F-1C4B-02D0-96C8A7EC9D84} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MSN PLUS\MsgPlus.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LWBMOUSE] C:\PROGRA~1\SAMSUN~1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MSN PLUS\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F8C957E-8482-4A8C-94D3-6870797AE61E}: NameServer = 85.37.17.39 85.38.28.71
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 9590 bytes
_____________________________________________________________

Attendo fiducioso le informazioni di Luke e degli altri, visto che ancora mi ritrovo con le chiavi di registro infette da Link Optimizer a ogni avvio del PC. Ciao!
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi HeeK » 03/06/07 21:54

EVVIVA! :D
Una volta eliminato il processo MacromediaMonitor dal task manager tutto funziona perfettamente! Si aprono i siti che non si aprivano, posso usare hijackthis.
Ma cosa è Macromedia Monitor?!?
E poi, a ogni avvio di win avrò di nuovo il link optimizer nel registro. A questo punto ritengo che quest'ultimo sia proprio il Macromedia Monitor
Mi serve eliminare definitivamente il problema per evitare che mi si ripresenti ad ogni avvio dovendo quindi agire sul task manager.
Attendo suggerimenti ;)
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi HeeK » 04/06/07 00:16

Allora, ulteriore novità:
essendo impaziente (e sicuramente sbagliando) di risolvere il problema ho fatto una piccola operazione che per fortuna non ha compromesso nulla ma mi ha fatto capire qualcos'altro:
ho effettuato una semplice rimozione del file macromediamonitor.exe dalla cartella di sistema (l'ho spostato nel cestino senza eliminarlo) + una modifica alla chiave di registro winlogon cambiando il valore "user init" da "c:\windows\system32\userinit.exe,"c:\windows\system32\MacromediaMonitor.exe"" al semplice "c:\windows\system32\userinit.exe"

Ho riavviato il pc e riprovando i famosi siti + hijackthis si è ripresentato il solito problema.

Sono subito andato in regedit alla chiave winlogon e dentro user init cosa ho trovato? c:\windows\system32\userinit.exe,"c:\windows\system32\nortonservice.exe"

questo nortonservice.exe naturalmente me lo trovo tra i processi attivi nel task manager. se lo elimino tutto torna a funzionare
Capisco che qualcosa (assolutamente da eliminare!) mi crea a ogni riavvio una nuova chiave di registro che produce un eseguibile che si attiva a ogni avvio e resta in background provocando i miei problemi.
Per adesso non faccio nulla e attendo vostre risposte ma sono sicuro che se sposto nortonservice.exe nel cestino e cambio la chiave di registro al prox riavvio mi trovo un altro eseguibile nella chiave

Aspetto vostre notizie (soprattutto da Luke57) almeno evito di fare stupidate e risovlo definitivamente il problema! Grazie!!
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi HeeK » 04/06/07 01:04

Per adesso sono a posto.
Ho semplicemente modificato l'Userinit della chiave di registro Winlogon togliendo "c:\windows\system32\nortonservice.exe" ma senza spostare il file stesso nel cestino
Per ora va tutto ok
Fatta anche una scansione con superantispyware: nulla rilevato

attendo notizie (scusate oggi sono una pila elettrica , sto postando a tempesta!!!! :eeh: :lol: :eeh: )
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi Luke57 » 04/06/07 07:17

Ciao, apri il taskmanager, se ci sono qui processi malevoli inerrompili, poi apri hijackthis, premi " do a system scan only", controlla la voce F2 , se presente con i file incirminati la spunti e poi premi fix checked.

Poi, scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
(mettilo sul desktop)

Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

avvii Avgpfix
(premi start, individui il file:
c:\windows\system32\MacromediaMonitor.exe
premi OK per eliminare il file).

Esegui lo stesso metodo per i file:
c:\windows\system32\nortonservice.exe

POi, scarica questi due tools:

prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://www.symantec.com/content/en/us/g ... inkopt.exe

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)
Invia anche questo rapporto.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi HeeK » 04/06/07 15:49

Luke57 ha scritto:Ciao, apri il taskmanager, se ci sono qui processi malevoli inerrompili, poi apri hijackthis, premi " do a system scan only", controlla la voce F2 , se presente con i file incirminati la spunti e poi premi fix checked.

Poi, scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
(mettilo sul desktop)

Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

avvii Avgpfix
(premi start, individui il file:
c:\windows\system32\MacromediaMonitor.exe
premi OK per eliminare il file).

Esegui lo stesso metodo per i file:
c:\windows\system32\nortonservice.exe

POi, scarica questi due tools:

prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://www.symantec.com/content/en/us/g ... inkopt.exe

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)
Invia anche questo rapporto.


Ok, Luke, fatto tutto.
Ho aperto hijackthis e alla voce F2 è tutto normale
(solo c:\windows\system32\userinit.exe)

Ho scaricato e aperto avgpfix, ha trovato solo nortonservice.exe. L'ho eliminato.

Ho utilizzato i due tools, prevx e symantec , ecco i due logs:



__________________________
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.
___________________________



__________________________
Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.
___________________________

Penso di essere apposto.
Incollo un log anche di hijacktjis per farti vedere la situazione definitiva. mi dici qualcosa sul log? grazie


___________________________
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16.48.04, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\MSN PLUS\MsgPlus.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\SAMSUN~1\MOUSE32A.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
F:\SOFTWARE\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {184726FC-0A5F-1C4B-02D0-96C8A7EC9D84} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MSN PLUS\MsgPlus.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LWBMOUSE] C:\PROGRA~1\SAMSUN~1\MOUSE32A.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG Utility] C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MSN PLUS\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F8C957E-8482-4A8C-94D3-6870797AE61E}: NameServer = 85.37.17.39 85.38.28.71
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx2\PXAgent.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
__________________________

Ciao e grazie mille per l'aiuto!

HeeK
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi Luke57 » 04/06/07 16:21

Ciao, scarica systemscan ( è utilissimo per verificare eventuali rimasugli del virus) da qui (ne leggi anche le proprietà così)
http://www.suspectfile.com/forum/viewtopic.php?t=466
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile un file con estensione .zip (data+ora+.zip)
Vai su http://www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo (il report è molto lungo)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi HeeK » 04/06/07 19:26

Ok Luke, scaricherò questo systemscan.
Ma tu me lo consigli perchè ancora ritieni che il mio pc non sia pulito?
Cosa hai visto dal log di hijackthis?

Cmq scarico il file lo utilizzo e posto l'url del log.
A più tardi, ci aggiorniamo!
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi HeeK » 04/06/07 20:20

Ho fatto lo scan con systemscan. Premetto che durante lo scanning mi è comparso nel desktop ( da cui eseguivo il file) un file di testo intitolato catchme.txt con dentro qualcosa "rootkit scan" + l'indirizzo "www.gmer.com" ecc.
Inoltre sempre prima di finire lo scanning mi è apparsa una finestra intitolata "explorer" con scritto "unable to open key"

Ecco l'Url del log:

http://w13.easy-share.com/1162582.html

grazie ancora,
HeeK
HeeK
Utente Junior
 
Post: 52
Iscritto il: 03/06/07 16:50

Postdi Luke57 » 05/06/07 08:44

Ciao, ho trovato questi residui del linkoptimizer. Da eliminare con avenger.

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Folders to delete:
C:\documents and settings\fYi


Registry kys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | fYi



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Problema di trojan ma non posso usare hijackthis":

problema blocco note
Autore: carlin
Forum: Software Windows
Risposte: 7

Chi c’è in linea

Visitano il forum: Nessuno e 37 ospiti

cron