Condividi:        

Olmarik trojan horse

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Re: Olmarik trojan horse

Postdi shel » 12/01/10 19:22

ciao

intanto esegui questa procedura

Scarica Avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
Ora incolla queste righe nella box bianca che si è aperta:

Files to move:
c:\programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\programmi\Canon\Easy-PrintToolBox\bak\BJPSMAIN.EXE | c:\programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE
c:\programmi\CyberLink\PowerDVD\bak\PDVDServ.exe |c:\programmi\CyberLink\PowerDVD\PDVDServ.exe
c:\programmi\CyberLink\PowerDVD\Language\bak\Language.exe |c:\programmi\CyberLink\PowerDVD\Language\Language.exe
c:\programmi\Eset\bak\nod32kui.exe |c:\programmi\Eset\nod32kui.exe
c:\programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe |c:\programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
c:\programmi\Java\jre1.6.0_03\bin\bak\jusched.exe |c:\programmi\Java\jre1.6.0_03\bin\jusched.exe
c:\programmi\Logitech\Video\bak\CameraAssistant.exe |c:\programmi\Logitech\Video\CameraAssistant.exe
c:\programmi\Logitech\Video\bak\InstallHelper.exe |c:\programmi\Logitech\Video\InstallHelper.exe
c:\programmi\ltmoh\bak\Ltmoh.exe |c:\programmi\ltmoh\Ltmoh.exe
c:\programmi\QuickTime\bak\qttask.exe |c:\programmi\QuickTime\qttask.exe
c:\programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.ex |c:\programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.ex
c:\programmi\Synaptics\SynTP\bak\SynTPEnh.exe |c:\programmi\Synaptics\SynTP\SynTPEnh.exe
c:\programmi\Synaptics\SynTP\bak\SynTPLpr.exe |c:\programmi\Synaptics\SynTP\SynTPLpr.exe
c:\programmi\Trust\Trust MD3100 USB ADSL MODEM\bak\CnxDslTb.exe |c:\programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
c:\windows\system32\bak\ctfmon.exe |c:\windows\system32\ctfmon.exe
c:\windows\system32\bak\ElkCtrl.exe |c:\windows\system32\ElkCtrl.exe
c:\windows\system32\bak\LVCOMSX.EXE |c:\windows\system32\LVCOMSX.EXE
c:\windows\system32\bak\NeroCheck.exe |c:\windows\system32\NeroCheck.exe


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Sponsor
 

Re: Olmarik trojan horse

Postdi babaoriley » 12/01/10 20:43

shel, intanto GRAZIE dello sbatto! non speravo neanche lontanamente in una risposta tanto rapida!manco me ne ero reso fino a poco fa. e quindi mi scuso se ho fatto qualche vaccata nel frattempo: impaziente come sono ho tirato giù anche Malawarebytes e l'ho fatto girare per un'ora. Non so se ha eliminato qualcosa, comunque ho salvato il log della scansione. Dunque, questo è il logfile di Avenger che mi hai detto di incollare


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation "c:\programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe|c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" completed successfully.
File move operation "c:\programmi\Canon\Easy-PrintToolBox\bak\BJPSMAIN.EXE|c:\programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" completed successfully.
File move operation "c:\programmi\CyberLink\PowerDVD\bak\PDVDServ.exe|c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" completed successfully.
File move operation "c:\programmi\CyberLink\PowerDVD\Language\bak\Language.exe|c:\programmi\CyberLink\PowerDVD\Language\Language.exe" completed successfully.
File move operation "c:\programmi\Eset\bak\nod32kui.exe|c:\programmi\Eset\nod32kui.exe" completed successfully.
File move operation "c:\programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe|c:\programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" completed successfully.
File move operation "c:\programmi\Java\jre1.6.0_03\bin\bak\jusched.exe|c:\programmi\Java\jre1.6.0_03\bin\jusched.exe" completed successfully.
File move operation "c:\programmi\Logitech\Video\bak\CameraAssistant.exe|c:\programmi\Logitech\Video\CameraAssistant.exe" completed successfully.
File move operation "c:\programmi\Logitech\Video\bak\InstallHelper.exe|c:\programmi\Logitech\Video\InstallHelper.exe" completed successfully.
File move operation "c:\programmi\ltmoh\bak\Ltmoh.exe|c:\programmi\ltmoh\Ltmoh.exe" completed successfully.
File move operation "c:\programmi\QuickTime\bak\qttask.exe|c:\programmi\QuickTime\qttask.exe" completed successfully.

Error: file "c:\programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.ex" not found!
File move operation "c:\programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.ex|c:\programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.ex" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File move operation "c:\programmi\Synaptics\SynTP\bak\SynTPEnh.exe|c:\programmi\Synaptics\SynTP\SynTPEnh.exe" completed successfully.
File move operation "c:\programmi\Synaptics\SynTP\bak\SynTPLpr.exe|c:\programmi\Synaptics\SynTP\SynTPLpr.exe" completed successfully.
File move operation "c:\programmi\Trust\Trust MD3100 USB ADSL MODEM\bak\CnxDslTb.exe|c:\programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe" completed successfully.
File move operation "c:\windows\system32\bak\ctfmon.exe|c:\windows\system32\ctfmon.exe" completed successfully.
File move operation "c:\windows\system32\bak\ElkCtrl.exe|c:\windows\system32\ElkCtrl.exe" completed successfully.
File move operation "c:\windows\system32\bak\LVCOMSX.EXE|c:\windows\system32\LVCOMSX.EXE" completed successfully.
File move operation "c:\windows\system32\bak\NeroCheck.exe|c:\windows\system32\NeroCheck.exe" completed successfully.

Completed script processing.

*******************

Finished! Terminate.


In trepidante attesa...
PS: davvero grazie perché sto smadonnando non poco...
babaoriley
Newbie
 
Post: 5
Iscritto il: 12/01/10 13:15

Re: Olmarik trojan horse

Postdi shel » 12/01/10 20:58

ma ScanSoft lo hai disinnstallato?

non vedo il trojan da te descritto, magari se posti un log di hijackthis sara ' piu' facile individuarlo

apri il task manager e termina il processo Olmarik (se e' nel pc)

Scarica questo programma :
http://www.trendsecure.com/portal/en-US ... kthis.php#
e mettilo nella directory C dove avrai preparato una cartella con il suo nome.
Lanci l'eseguibile e clicchi su " do a system scan and save a log" alla fine salvi questo file con estensione *.TXT e lo alleghi ad un post sul forum.
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Olmarik trojan horse

Postdi babaoriley » 12/01/10 21:21

Allora, ScanSoft è il software di uno scanner; non l'ho disinstallato. Olmarik trojan sono certo che sia stato rilevato... ora, non so se malawarebytes' lo abbia estirpato, però c'era... Comunque questo è il log di HijackThis:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 21.19.00, on 12/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\windows\Explorer.EXE
C:\windows\system32\NOTEPAD.EXE
C:\windows\SOUNDMAN.EXE
C:\windows\AGRSMMSG.exe
C:\windows\system32\rundll32.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\MCCITR~1.EXE
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\windows\system32\ctfmon.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\windows\system32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\windows\system32\msiexec.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.blackr.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programmi\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://pucci106.spaces.live.com/PhotoUp ... nPUpld.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... ader55.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {FFC1EBAA-5AEC-44AC-A937-B65D8D3ECBE2} (SNMP Class) - http://aiuto.alice.it/ata/static/instal ... _4-1-5.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\system32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\windows\System32\TuneUpDefragService.exe

--
End of file - 9429 bytes

che fare??
babaoriley
Newbie
 
Post: 5
Iscritto il: 12/01/10 13:15

Re: Olmarik trojan horse

Postdi shel » 12/01/10 21:49

puoi postare il llog di mal warebytes? recuperalo aprendo il programma e vai su ''file di log'' clicca su quello della data della scansione
vai nel pannello di controllo e verifica se ScanSoft e' tra le installazioni...controlla da task manager se Olmarik e' tra i processi, altrimenti lo ha eliminato malwarebytes- elimina anche le toolbar che sono nel pc

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco dell rigA che ti segnalo qui sotto -> Clicca su Fix Checked


O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Olmarik trojan horse

Postdi babaoriley » 12/01/10 22:07

Dunque, questo è il log di malawarebytes


Malwarebytes' Anti-Malware 1.44
Versione del database: 3549
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/01/2010 20.24.15
mbam-log-2010-01-12 (20-24-15).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 213816
Tempo trascorso: 1 hour(s), 7 minute(s), 52 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 5

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\System Volume Information\_restore{9E6555FE-53FF-4397-8139-10B052187190}\RP659\A0656734.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9E6555FE-53FF-4397-8139-10B052187190}\RP659\A0656735.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9E6555FE-53FF-4397-8139-10B052187190}\RP659\A0656736.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9E6555FE-53FF-4397-8139-10B052187190}\RP659\A0656737.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9E6555FE-53FF-4397-8139-10B052187190}\RP659\A0656817.sys (Malware.Trace) -> Quarantined and deleted successfully.


spero di non aver fatto qualche marone.
poi, ho fatto il Fix Checked di O3 - Toolbar: BearShare MediaBar ecc... come mi hai detto: però la finestra di HijackThis è diventata bianca, cioè, sono spariti tutti i file in colonna. allora o ripetuto l'operazione e rifatto spunta a 03 - Tollbar: ecc... (lo stesso): la cosa si è ripetuta di nuovo. Ad ogni modo sembra che il suddetto Olmarik non sia tra i processi in corso: dunque dovrebbe essere stato eliminato (???) anche se non ho riavviato ancora il pc da quando l'ho fatto. Però non mi ha ancora dato un solo problema... quindi sono fiducioso. Sei un BOSS! Ma se c'è qualcos'altro da fare dimmelo che eseguo. Poi proverò a reinstallare quel Norton maledetto (che peraltro fa abbastanza lercio... ma chi 'ha voluto su sto pc c'ha speso, quindi non ne vuole sapere di cancellarlo). Grazie ancora.
babaoriley
Newbie
 
Post: 5
Iscritto il: 12/01/10 13:15

Re: Olmarik trojan horse

Postdi shel » 12/01/10 22:22

fai cosi'...

scarica e installa
http://www.filehippo.com/download_ccleaner/

durante l’installazione deseleziona l’opzione per la barra di Yahoo, lo apri, vai in Opzioni>Avanzate, togli la spunta a “Cancella file temp diwindows solo se più vecchi di 48 ore”, poi avvialo, seleziona "Analizza" ed alla fine dell'analisi premi "Avvia pulizia''

clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati.

scarica Atfcleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATFCleaner.exe con un doppio click

1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)


Riavvia il computer


vai in modalita' provvisoria ed esegui virit dopo averlo aggiornato ( clicca sulla parabola in alto)

http://www.tgsoft.it/italy/download.htm

Posta anche il log. (lo trovi sull'icona in alto, con raffigurato un block notes)
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Olmarik trojan horse

Postdi babaoriley » 13/01/10 20:23

Ok, Shell, c'ho messo un po' ma questo è il log du VirIT:


VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
13/01/2010 - 12:21:38

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 14149.
Files Totali: 14149.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
13/01/2010 - 19:28:32

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]


[E:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 88109.
Files Totali: 88109.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.


a me sembra vada tutto ok... dimmi che ne pensi.
babaoriley
Newbie
 
Post: 5
Iscritto il: 12/01/10 13:15

Re: Olmarik trojan horse

Postdi shel » 13/01/10 20:57

ciao

scarica FindAWF da qui >> http://noahdfear.geekstogo.com/FindAWF.exe


lo avvii, nella finestra dos che si apre premi 1 e poi invio; alla fine dello scan copia e incolla il report rilasciato

lo trovi in (C:\findawf\txt).
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "Olmarik trojan horse":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27

Chi c’è in linea

Visitano il forum: Nessuno e 66 ospiti