Condividi:        

Cavallo di troia!!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Luke57 » 10/07/07 07:57

Ciao, prova a eliminare le voci manualmente:
apri il registro di sistema (start>esegui>regedit>OK), cliccando sul segno + accanto alle singole voci segui questo percorso:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Explorer\Browser Helper Objects
{8E23B2D6-0676-41EB-891F-36967B772234}
click tasto dx sull'ultima voce e scegli elimina
Se non volesse farsi eliminare, click tasto dx sulla voce medesima>autorizzazioni>avanzate>proprietario, imposti sull'utente del computer>OK>metti la spunta a controllo completo e in lettura>OK.
Fai così anche per la seguente voce, indicata in neretto:
HKLM
Software
Microsoft
Windows NT
CurrentVersion
Winlogon
Notify
egdptnfr

Cerca anche di eliminare il file:
c:\windows\system32\haaahaa.dll
Se non ce la fai manualmente , utilizza hijackthis, lo apri, premi "open the misc tools section", poi "delete a file on reboot", nella finestra che si apre individui il file ,premi Apri.
Confermi il riavvio del computer.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Sponsor
 

Postdi smells » 10/07/07 20:10

uff..ho fatto come hai detto..ma nn si elimina!!! mi sto disperando!!!
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi Luke57 » 10/07/07 20:36

Ciao, che cosa non si elimina? Il file o la voce di registro?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi smells » 10/07/07 20:44

tutte e due...
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi Luke57 » 10/07/07 20:54

smells ha scritto:tutte e due...

Ciao, non mi ricordo se l'hai, scarica virit da qui (ultima versione):
http://www.tgsoft.it/italy/index_ita.html
è shareware (non va in conflitto con l'antivirus), lo installi e lo aggiorni alle ultime definizioni. Fai una scansione dalla modalità provvisoria e una dalla mod. normale.
Posti il report della scansione.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi smells » 11/07/07 19:02

ciao...neanke me lo ha rilevato..ora provo in modalità provvisoria e scannarizzo la zona di system 32
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi smells » 11/07/07 19:02

cmq il log è qst VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/07/2007 - 19:42:48

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\katanga\Preferiti\--== FANTASTIC GALLERIES ==--.url Infetto da HTML.LinkShare.A
* * * RIMOSSO * * *

[D:]


[E:]


Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 33627.
Files Totali: 33627.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi smells » 11/07/07 19:18

è inutile ke te lo posto xkè nn ha trovato niente di niente -.-'
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi smells » 11/07/07 19:19

x kiarire...il primo log l'ho fatto in modalità normale...il secondo ke ho fatto in m.p. nn l'ho posto xkè è inutile nn ha trovato niente -.-
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi Luke57 » 11/07/07 22:53

Ciao,, fra l'altro gli unici riferimenti in rete a codesto file si trovano solo nelle discussioni di questo forum. Prova a far analizzare il file qui:
http://www.virustotal.com/
riporta il responso degli antivirus che analizzeranno il file.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi smells » 12/07/07 20:39

mi da uno strano errore..non mi fa caricare li file
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi smells » 13/07/07 23:02

devo formattare vero?:(
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi Luke57 » 14/07/07 08:52

smells ha scritto:devo formattare vero?:(

Ciao, prova a individuare il file, click tasto dx su di esso>proprietà>protezione, abilitati al controllo del file>OK, prova a eliminarlo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi smells » 14/07/07 15:11

ciao sn andato nel file ho cliccalto il tasto destro e poi proprietà ma nn compare quello ke dici tu..
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi Luke57 » 14/07/07 15:59

Ciao, non so che dire, perchè non riesci ad analizzarlo su virustotal? Quale errore ti dà?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 14/07/07 16:10

smells ha scritto:ciao sn andato nel file ho cliccalto il tasto destro e poi proprietà ma nn compare quello ke dici tu..

Ciao, apri risorse del computer>strumenti>opzioni cartella>visualizzazione>togli la spunta a "Utilizza condivisione di file semplici">OK.
POi riprova a cliccare con il tasto dx sul file>Proprietà e vedere se compare il tab.Potezione. Se sì fare come ti ho suggerito prima.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi smells » 15/07/07 19:29

ehi ciao..sn riuscito ad analizzarlo con virus total..ho mandato il file hahaha.bak e non quello hahah.dll...il riusultato è questo..File haaahaa.dll.bak received on 07.15.2007 20:23:59 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: 1.
Estimated start time is between 40 and 58 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 Win-Trojan/Xema.variant
AntiVir 7.4.0.39 2007.07.13 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.07.13 W32/Trojan.AWMX
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.15 PSW.Generic4.UJI
BitDefender 7.2 2007.07.15 Trojan.Agent.AAIY
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.Click.2800
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 W32/Trojan.AWMX
Ikarus T3.1.1.8 2007.07.15 no virus found
Kaspersky 4.0.2.24 2007.07.15 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 Win32/Delf.NFR
Norman 5.80.02 2007.07.13 W32/Vundo.gen7
Panda 9.0.0.4 2007.07.15 Suspicious file
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.Dldr.ConHook.Gen
Aditional information
File size: 75776 bytes
MD5: 039ffbada543146eeb1858f7ab04d0df
SHA1: 588f62e3a8b146d514dcb9266cbf0a93098a9932
packers: MORPHINE, UPX




VirusTotal © Hispasec Sistemas - Blog - Contacto: info@virustotal.com




x quanto riguarda l'eliminazione manuale niente da fare..
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi Luke57 » 15/07/07 20:53

Facciamo altri tentativi, riesegui il tool suggerito da Billokenobi (vundofix), dopo la scansione. al riavvio del computer apri hijackthis, premi “ do a system scan only”, cerca e spunta queste due voci:
O2 - BHO: (no name) - {8E23B2D6-0676-41EB-891F-36967B772234} - c:\windows\system32\haaahaa.dll
O20 - Winlogon Notify: egdptnfr - C:\WINDOWS\SYSTEM32\haaahaa.dll

Premi fixchecked


Se non riesce, prova con questo tool di rimozione della symantec:
http://www.symantec.com/it/it/enterpris ... 10-3747-99

Poi prova questo:
http://secured2k.home.comcast.net/tools ... BeGone.exe

riavvia in mod.provvisoria (premendo il tasto f8 ripetutamente all’accensione del computer, prima che si carichi windows, nella schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e confermando la scelta con invio)
avvii il file con doppio click e segui le istruzioni a schermo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi smells » 18/07/07 16:06

ciao...niente da fare...ora provo come mi hai detto nell'ultima parte del post e ti faccio sapere...:)
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

Postdi smells » 20/07/07 11:16

niente da fare....neanke cosi si elimina...mi sa tanto ke formatto..
smells
Utente Junior
 
Post: 85
Iscritto il: 02/03/07 20:45

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Cavallo di troia!!!":


Chi c’è in linea

Visitano il forum: Nessuno e 56 ospiti