Precedente :: Successivo |
Autore |
Messaggio |
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 14 Lug 2006 21:58 Oggetto: Credo che link optimizer abbia preso anche me |
|
|
Ciao a tutti, ho appena aperto il forum ed ho visto l'avviso di "holifay", posto lo stesso, perché ci potreste trovare qualche notizia utile. Se non lo fosse, cestinate tutto; non so proprio da dove partire!!!
Partiamo da quello che credo l’inizio.
Giorni fa, cercavo un sito dove poter consultare lo schema elettrico di un TV color e quindi ho effettuato la ricerca su GOOGLE.
Fra i tanti consultati, non ricordo di preciso se (www.1534.azionamento.com/schemielettrici/33K) o (www.riparatore.altervista.org), dopo aver avviato la pagina, prima che questa fosse completa, mi si chiudeva il collegamento a internet e sparivano e riapparivano le icone sul desktop.
Ho provato un paio di volte a riaprire la pagina, ma con lo stesso esito e quindi ho desistito.
Dopo qualche giorno ho riscontrato problemini di poco conto al PC, ma mi sono accorto durante un collegamento su internet che ripartiva il classico tentativo di connessione a internet e sulla barra infatti, mancavano i due monitor piccolini della connessione. Provando io stesso ad effettuare la connessione, mi usciva l’avviso che c’era già un altro tentativo di connessione in corso.
Aperta la cartella “Connessione Remota”, ho trovato un nuovo collegamento (io ne ho uno a Wind e uno a Telecom) chiamato “Internet” e mi sembra che avesse il numero di Telecom; al ché l’ho cancellato subito. Poi per curiosità, visto che conservo qualche pagina dei vostri Forum, ho aperto quella relativa a “log hijackthis (reindirizzo a altri siti web) e, visti i suggerimenti di “holifay”, ho scansionato il PC con “Panda Active Scan”, il quale mi ha trovato:
Incidente Stato Percorso
Spyware:Cookie/FastClick Non Disinfettato C:\WINDOWS\Cookies\jeppo@fastclick[1].txt
Spyware:Cookie/2o7 Non Disinfettato C:\WINDOWS\Cookies\jeppo@2o7[1].txt
Spyware:Cookie/Mediaplex Non Disinfettato C:\WINDOWS\Cookies\jeppo@mediaplex[1].txt
Spyware:Cookie/Atlas DMT Non Disinfettato C:\WINDOWS\Cookies\jeppo@atdmt[2].txt
Spyware:Cookie/Falkag Non Disinfettato C:\WINDOWS\Cookies\jeppo@as-eu.falkag[1].txt
Spyware:Cookie/Adtech Non Disinfettato C:\WINDOWS\Cookies\jeppo@adtech[2].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\WINDOWS\Cookies\jeppo@doubleclick[1].txt
Spyware:Cookie/Bluestreak Non Disinfettato C:\WINDOWS\Cookies\jeppo@bluestreak[1].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\WINDOWS\Cookies\jeppo@tradedoubler[2].txt
Spyware:Cookie/Statcounter Non Disinfettato C:\WINDOWS\Cookies\jeppo@statcounter[2].txt
Spyware:Cookie/2o7 Non Disinfettato C:\WINDOWS\Cookies\jeppo@microsofteup.112.2o7[1].txt
Spyware:Cookie/Hitslink Non Disinfettato C:\WINDOWS\Cookies\jeppo@counter.hitslink[2].txt
Spyware:Cookie/Apmebf Non Disinfettato C:\WINDOWS\Cookies\jeppo@apmebf[2].txt
Spyware:Cookie/Cgi-bin Non Disinfettato C:\WINDOWS\Cookies\jeppo@cgi-bin[4].txt
Spyware:Cookie/Zedo Non Disinfettato C:\WINDOWS\Cookies\jeppo@zedo[1].txt
Spyware:Cookie/Tribalfusion Non Disinfettato C:\WINDOWS\Cookies\jeppo@tribalfusion[1].txt
Spyware:Cookie/Xiti Non Disinfettato C:\WINDOWS\Cookies\jeppo@xiti[1].txt
Spyware:Cookie/Advertising Non Disinfettato C:\WINDOWS\Cookies\jeppo@advertising[1].txt
Spyware:Cookie/myaffiliateprogram Non Disinfettato C:\WINDOWS\Cookies\jeppo@www.myaffiliateprogram[2].txt
Spyware:Cookie/YieldManager Non Disinfettato C:\WINDOWS\Cookies\jeppo@ad.yieldmanager[1].txt
Spyware:Cookie/Falkag Non Disinfettato C:\WINDOWS\Cookies\jeppo@as1.falkag[1].txt
Spyware:Cookie/Advnt Non Disinfettato C:\WINDOWS\Cookies\jeppo@www.advnt01[1].txt
Spyware:Cookie/WUpd Non Disinfettato C:\WINDOWS\Cookies\jeppo@revenue[2].txt
Spyware:Cookie/Com.com Non Disinfettato C:\WINDOWS\Cookies\jeppo@com[1].txt
Virus:W32/Bagle.pwdzip Disinfettato D:\Documenti\Forum Zeus\Come debellara un Trojan\SmitfraudFix.zip
Virus:Exploit/URLSpoof Disinfettato
Al ché ho cancellato tutti i cookies.
Il giorno dopo, per curiosità ho rieffettuato la scansione:
Incident Status Location
Virus:Trj/Agent.CJB Disinfected Operating system
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\SYSTEM\lgaa.dll
Spyware:Cookie/Tradedoubler Not disinfected C:\WINDOWS\Cookies\jeppo@tradedoubler[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\WINDOWS\Cookies\jeppo@hitbox[1].txt
Spyware:Cookie/Cgi-bin Not disinfected C:\WINDOWS\Cookies\jeppo@cgi-bin[3].txt
Spyware:Cookie/Falkag Not disinfected C:\WINDOWS\Cookies\jeppo@as1.falkag[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\WINDOWS\Cookies\jeppo@doubleclick[1].txt
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\m
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\9175.TMP
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\E194.TMP
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\3234.TMP
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\3313.TMP
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\62E4.TMP
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar[Gummy.class]
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar[Counter.class]
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar[VerifierBug.class]
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\d[1].gif
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar[Gummy.class]
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar[Counter.class]
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar[VerifierBug.class]
Anche questa volta ho cancellato i cookies
Riaprendo la cronologia, aprendo una pagina della quale non ricordo l’indirizzo, si è verificato la stessa sparizione che si era verificata giorni prima, ma questa volta con l’avviso di errore.
OE:016F:BFF8E64B
GDI.EXE in
0001:00004b48
OK
Avviso Iexplore
IEXPLORE HA PROVOCATO UN ERRORE DI PROTEZIONE GENERALE NEL MODULO GDI.EXE IN 0001:00004b48.
Ho rifatto una scansione con Panda:
Incidente Stato Percorso
Virus:Trj/Goldun.JU Disinfettato Sistema Operativo
Spyware:Cookie/Adtech Non Disinfettato C:\WINDOWS\Cookies\jeppo@adtech[2].txt
Spyware:Cookie/Atlas DMT Non Disinfettato C:\WINDOWS\Cookies\jeppo@atdmt[2].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\WINDOWS\Cookies\jeppo@doubleclick[1].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\WINDOWS\Cookies\jeppo@tradedoubler[2].txt
Spyware:Cookie/Zedo Non Disinfettato C:\WINDOWS\Cookies\jeppo@zedo[2].txt
Strumenti indesiderati:Application/Processor Non Disinfettato
Anche questa volta ho cancellato i cookies, ed ho cercato su GOOGLE il virus Goldun.JU per sapere di cosa si trattasse.
Ho provato ad aprire la pagina VIRUSLIST.COM – TROJAN – Spy.Win32.Goldun.ju ….caratteri stranieri ed è andato di nuovo in blocco il PC ed ho dovuto riavviare.
Scansione con Panda:
Incidente Stato Percorso
Virus:Trj/Goldun.JU Disinfettato Sistema Operativo
Da questo momento il mio AVAST ha incominciato a segnalare la presenza di:
C:\windows\hmikp1.dll
Win32:Agent.gen(Trj)
C:\windows\system\ActiveScan\pskavs.dll
Win32:CTX
Credo di averli cestinati o cancellati su richiesta di AVAST.
A questo punto ho provato una prima scansione con Kaspersky, ma si è bloccata con la dicitura:
Si è verificato un errore, etc.
Nome file: VMM(01)+000097EZ Errore:OD:0028:C000A7E2
Premere un tasto, etc.
Ho riprovato il giorno dopo con esito positivo:
KASPERSKY ONLINE SCANNER REPORT
giovedì 13 luglio 2006 19.45.33Operating System: Microsoft Windows Millennium EditionKaspersky Online Scanner version: 5.0.83.0Kaspersky Anti-Virus database last update: 13/07/2006Kaspersky Anti-Virus database records: 194724
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
a:\c:\d:\e:\f:\
Scan Statistics
Total number of scanned objects 75608
Number of viruses found 3
Number of infected objects 14 / 0
Number of suspicious objects 0
Duration of the scan process 01:01:52
Infected Object Name Virus Name Last Action
c:\_RESTORE\TEMP\A0011974.CPY Infected: Trojan.Win32.Agent.vp skipped
c:\_RESTORE\TEMP\A0011981.CPY Infected: Trojan.Win32.Agent.vp skipped
c:\_RESTORE\TEMP\A0011983.CPY Infected: Trojan.Win32.Agent.vp skipped
c:\_RESTORE\TEMP\A0011992.CPY Infected: Trojan.Win32.Agent.vp skipped
c:\_RESTORE\TEMP\A0011994.CPY Infected: Trojan.Win32.Agent.vp skipped
c:\_RESTORE\TEMP\A0012004.CPY Infected: Trojan.Win32.Agent.vp skipped
c:\_RESTORE\TEMP\A0012006.CPY Infected: Trojan.Win32.Agent.vp skipped
c:\_RESTORE\TEMP\A0013004.CPY Infected: Trojan.Win32.Agent.vp skipped
c:\_RESTORE\TEMP\A0014395.CPY Infected: Trojan-Downloader.Win32.Agent.wo skipped
c:\_RESTORE\LOGS\vxdsfp.log Object is locked skipped
c:\_RESTORE\LOGS\vxdalt1.log Object is locked skipped
c:\WINDOWS\SYSTEM\CatRoot\SYSMAST.cbd Object is locked skipped
c:\WINDOWS\SYSTEM\CatRoot\SYSMAST.cbk Object is locked skipped
c:\WINDOWS\SYSTEM\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATMAST.cbd Object is locked skipped
c:\WINDOWS\SYSTEM\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATMAST.cbk Object is locked skipped
c:\WINDOWS\WIN386.SWP Object is locked skipped
c:\WINDOWS\Cookies\index.dat Object is locked skipped
c:\WINDOWS\TEMP\_avast4_\Webshlock.txt Object is locked skipped
c:\WINDOWS\TEMP\~DFC298.TMP Object is locked skipped
c:\WINDOWS\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT Object is locked skipped
c:\WINDOWS\Sti_Trace.log Object is locked skipped
c:\WINDOWS\Sti_Event.log Object is locked skipped
c:\WINDOWS\wiaservc.log Object is locked skipped
c:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
c:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar/Beyond.class Infected: Trojan.Java.ClassLoader.k skipped
c:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar ZIP: infected - 1 skipped
c:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar/Beyond.class Infected: Trojan.Java.ClassLoader.k skipped
c:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar ZIP: infected - 1 skipped
c:\WINDOWS\Temporary Internet Files\Content.IE5\YKW0SSCM\g[1].php Infected: Trojan-Downloader.Win32.Agent.wo skipped
c:\WINDOWS\Cronologia\History.IE5\index.dat Object is locked skipped
c:\WINDOWS\Cronologia\History.IE5\MSHist012006071320060714\index.dat Object is locked skipped
c:\WINDOWS\SchedLog.Txt Object is locked skipped
c:\WINDOWS\Motorola SM56 PCI Speakerphone Modem.log Object is locked skipped
c:\Programmi\File comuni\SYSTEM\pvX.exe Object is locked skipped
c:\Programmi\Alwil Software\Avast4\DATA\report\Protezione residente.txt Object is locked skipped
c:\Programmi\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
c:\Programmi\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
c:\Programmi\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
c:\Programmi\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
Scan process completed.
A questo punto ho lanciato la scansione con l’AVAST che mi ha trovato:
WINDOWS\DESKTOP\com.com
Win32:Agent – YE(Trj)
Cavallo di troia
C:\RESTORE\TEMP\kgrp1.exe(UPX)
Win32:Agent – AKW(Trj)
Cavallo di troia
C:\windows\hmikp1.dll
Win32Agent.gen(Trj)
Cavallo di troia
C:\_RESTORE\TEMP\A0014364.CPY
Win32:CTX
Virus/Worm
C:\_RESTORE\TEMP\HMIKP1.0
Win32:Agent.gen(Trj)
Cavallo di troia
C:\_RESTORE\TEMP\A0014385.CPY
Win32:Agent.YE(Trj)
C:\_RESTORE\TEMP\A0014487.CPY
Win32:Agent.YE(Trj)
C:\WINDOWS\Temporary Internet Files\Content.IE5\YKWOSSCM
Win32:Agent – YE(Trj)
Ho cercato di nuovo di avere un parere da Panda Active Scan, ma dopo la fase iniziale sull’aggiornamento, all’avvio della scansione dei file, non va più avanti.
Quando riprovo, va in blocco ed esce l’avviso:
Iexplore ha causato un errore in KERNE32.DLL. etc. etc.
A parte qualche uscita di avviso di explorer ha causato un errore in sconosciuto. etc. etc.
Sembra che il floppy disk non ne vuol sapere di aprire i dischetti e non li formatta dichiarandoli non funzionanti o assenti.
Altri problemi al momento non ne vedo.
Adesso mi chiedo, come mai AVAST non ha visto e bloccato quello che Panda ha trovato all’inizio?
Perché Panda non scansiona più? (ho provato anche a disabilitare AVAST ai tentativi di scansione)
Sono stato lunghissimo, ma ho messo quante più notizie possibili per chiarire agli esaminatori gli eventuali errori commessi; ovviamente postate solo quello che ritenete di utilità comune.
Accetto ben volentieri i vostri consigli, ma vi prego di parlare terra-terra (per intenderci: schiaccia il tasto invece di clicca, o quasi!!!)
Ciao
|
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 15 Lug 2006 14:44 Oggetto: |
|
|
ciao, credo che sei anche tu vittima tra le altre cose di LinkOptimizer.... Grazie per le informazioni dettagliate, che ci serviranno adesso per ripulire.
Allora, fai così: scarica Ewido e installalo. Durante l´installazione nel menu Additional Options deseleziona Install background guard e Install scan via context menu. Avvialo e aggiornalo (bottone Start Update) online, ma non usarlo ancora.
scarica ATFCleaner da Atribune e salvalo sul desktop
Riavvia in modalità provvisoria, premendo F8 al boot.
dalla modalità provvisoria, fai una scansione completa con EWIDO e cancella quello che trova. Se trova qualcosa, ripetila più volte finchè non trova più niente
Adesso fanne una sempre dalla provvisoria con Avast, Anche con Avast ripeti la scansione finchè non trova più nulla.
Poi avvia ATF cleaner clicca sul menu main e poi seleziona la casella Select All.. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.
Riavvia in modalità normale e fai tutte le scansioni ed i controlli (i punti da 1 a 6) del post in rilievo, quelli descritti sotto AIUTO DAL FORUM DI ZEUSNEWS.
Poi posta qui i risultati, insieme al log di Ewido, vedrai che risolviamo
Ciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 15 Lug 2006 18:01 Oggetto: |
|
|
Ho scordato di dirti che ho WindowsME; Ewido mva bene lo stesso? (Developed for Windows 2000 and XP (32-Bit))Nel frattempo avevo installato VIRIT-LT ed ho scansionato più volte. Ecco gli esiti:
VirIT eXplorer Lite Log
SCANSIONE DELLA MEMORIA
OK
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 00:25:24
[SCANSIONE DEL REGISTRO]
{2ee25147-37d4-4640-832c-fccfac8b21d9} Infetto da BHO.Agent.AR
* * * RIMOSSO * * *
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\SYSTEM\1252043e.cpx Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *
C:\WINDOWS\SYSTEM\vnii.386 Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *
Chiavi Registro infette: 1.
Files Infetti: 12.
Files Sospetti: 0.
Files Analizzati: 27337.
Files Totali: 27337.
Chiavi Registro rimosse: 1.
Virus Rimossi: 2.
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 00:47:30
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft
Chiavi Registro infette: 0.
Files Infetti: 11.
Files Sospetti: 0.
Files Analizzati: 27380.
Files Totali: 27380.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 01:02:24
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft
Chiavi Registro infette: 0.
Files Infetti: 11.
Files Sospetti: 0.
Files Analizzati: 27392.
Files Totali: 27392.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 17:46:44
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft
Chiavi Registro infette: 0.
Files Infetti: 11.
Files Sospetti: 0.
Files Analizzati: 27399.
Files Totali: 27399.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 18:04:13
[SCANSIONE DEL REGISTRO]
OK
[A:]
BOOT SECTOR: OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\TEMP\kgrp1.exe Infetto da Trojan.Win32.Agent.ACH
* * * RIMOSSO * * *
C:\WINDOWS\hmikp1.dll Infetto da BHO.Agent.AS
* * * RIMOSSO * * *
[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
[E:]
[F:]
Chiavi Registro infette: 0.
Files Infetti: 13.
Files Sospetti: 0.
Files Analizzati: 72003.
Files Totali: 72003.
Chiavi Registro rimosse: 0.
Virus Rimossi: 2.
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 18:28:41
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016692.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
Chiavi Registro infette: 0.
Files Infetti: 12.
Files Sospetti: 0.
Files Analizzati: 27466.
Files Totali: 27466.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
SCANSIONE DELLA MEMORIA
OK
Nel frattempo sul Desktop si è installato un file com.com che sembra abbia a che fare col DOS e che Avast mi aveva fatto cestinare.
Inoltre virIT mi ha fatto mandarer dei file sospetti al controllo trovati nella LITE - key: 4 Valore: *wx Dato: "C.\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE"WIJ ; LITE - key:4 Valore: *fuL Dato:"C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE"TWKPIEUO ; LITE - key:4 Valore: *xY Dato:"C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE"ZKNFRGQ
E questo è quanto, per il momento.
A bien tot |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 15 Lug 2006 18:58 Oggetto: |
|
|
Rootkit E... sì è roprio quello di linkoptimizer.
Fai i punti da 1-6 del post in rilievo, quelli di AIUTO DAL FORUM DI ZEUSNEWS e poi posta i log e le altre osservazioni richieste
Ewido non va bene. Scansiona il sistema online con Bitdefender |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 15 Lug 2006 21:53 Oggetto: |
|
|
Allora:
Logfile of HijackThis v1.99.1
Scan saved at 22.25.30, on 15/07/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\FILE COMUNI\ROXIO SHARED\PROJECT SELECTOR\PROJSELECTOR.EXE
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [projselector] "C:\Programmi\File comuni\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServicesOnce: [*YR] "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" ogmd
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/activescan/it/activescan_principal.htm (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_ansi.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
questo è il log di HijackThis
Gmer con WindowsME non va
linkoptimizer l'ho trovato nel pannello di controllo - Installazioni applicazioni e non l'ho tolto
file nascosti con estensione exe, tmp, dll non ce ne sono nella cartella C:\PROGRAMMI
:/Documents and settings in WindowsME non c'è
Sto facendo la scansione con BitDefender e si è presentata la schermata blu con l'avviso di errore:
Nome file VMM(01)+000097E2 Error: OD: 0028: C000A7E2
Subito dopo virIT mi ha avvisato della presenza del virus BHO.Agent.AS in C:\windows\HMIKP1.DLL e gli ho chiesto di cancellarlo
Posto prima che un nuovo blocco mi cancelli tutto quello che ti ho scritto. Appena BitDefender finisce posto di nuovo.
A più tardi |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 15 Lug 2006 23:27 Oggetto: |
|
|
BitDefender Online Scanner
Scan report generated at: Sun, Jul 16, 2006 - 00:17:37
Scan path: A:\;C:\;D:\;E:\;F:\;
Statistics
Time
01:20:19
Files
229340
Folders
3453
Boot Sectors
4
Archives
3257
Packed Files
24506
Results
Identified Viruses
4
Infected Files
15
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
6
Engines Info
Virus Definitions
407975
Engine build
AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)
Scan plugins
13
Archive plugins
38
Unpack plugins
5
E-mail plugins
6
System plugins
1
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
*;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\_RESTORE\TEMP\A0011974.CPY
Infected with: Trojan.Agent.VP
C:\_RESTORE\TEMP\A0011974.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0011974.CPY
Delete failed
C:\_RESTORE\TEMP\A0011981.CPY
Infected with: Trojan.Agent.VP
C:\_RESTORE\TEMP\A0011981.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0011981.CPY
Delete failed
C:\_RESTORE\TEMP\A0011983.CPY
Infected with: Trojan.Agent.VP
C:\_RESTORE\TEMP\A0011983.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0011983.CPY
Delete failed
C:\_RESTORE\TEMP\A0011992.CPY
Infected with: Trojan.Agent.VP
C:\_RESTORE\TEMP\A0011992.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0011992.CPY
Delete failed
C:\_RESTORE\TEMP\A0011994.CPY
Infected with: Trojan.Agent.VP
C:\_RESTORE\TEMP\A0011994.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0011994.CPY
Delete failed
C:\_RESTORE\TEMP\A0012004.CPY
Infected with: Trojan.Agent.VP
C:\_RESTORE\TEMP\A0012004.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0012004.CPY
Delete failed
C:\_RESTORE\TEMP\A0012006.CPY
Infected with: Trojan.Agent.VP
C:\_RESTORE\TEMP\A0012006.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0012006.CPY
Delete failed
C:\_RESTORE\TEMP\A0013004.CPY
Infected with: Trojan.Agent.VP
C:\_RESTORE\TEMP\A0013004.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0013004.CPY
Delete failed
C:\_RESTORE\TEMP\A0014395.CPY
Infected with: Trojan.Downloader.Agent.ADZ
C:\_RESTORE\TEMP\A0014395.CPY
Disinfection failed
C:\_RESTORE\TEMP\A0014395.CPY
Delete failed
C:\WINDOWS\Desktop\com.com
Infected with: Trojan.Downloader.Agent.ADZ
C:\WINDOWS\Desktop\com.com
Disinfection failed
C:\WINDOWS\Desktop\com.com
Deleted
C:\WINDOWS\Temporary Internet Files\Content.IE5\YFIZ6DQ5\obj[2].hta
Infected with: Trojan.Agent.VP
C:\WINDOWS\Temporary Internet Files\Content.IE5\YFIZ6DQ5\obj[2].hta
Disinfection failed
C:\WINDOWS\Temporary Internet Files\Content.IE5\YFIZ6DQ5\obj[2].hta
Deleted
C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\obj[1].hta
Infected with: Trojan.Agent.VP
C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\obj[1].hta
Disinfection failed
C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\obj[1].hta
Deleted
C:\WINDOWS\Temporary Internet Files\Content.IE5\YKW0SSCM\g[1].php
Infected with: Trojan.Downloader.Agent.ADZ
C:\WINDOWS\Temporary Internet Files\Content.IE5\YKW0SSCM\g[1].php
Disinfection failed
C:\WINDOWS\Temporary Internet Files\Content.IE5\YKW0SSCM\g[1].php
Deleted
C:\Download\dolphinfree.exe=>wise0053
Infected with: Dropped:Application.Adware.NewDotNet.A
C:\Download\dolphinfree.exe=>wise0053
Disinfection failed
C:\Download\dolphinfree.exe=>wise0053
Deleted
C:\Download\dolphinfree.exe
Update failed
C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Detected with: Application.Spyware.WebHancer.A
C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Disinfection failed
C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Deleted
C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)
Update failed
Questa è la scansione di BitDefender.
C:\_RESTORE\TEMP\A0011974.CPY
Delete failed
Per questo ed altri che non è riuscito ad eliminare, posso farlo io andando nella cartella in questione?
Vedo che stai postando anche con altri e ti immagino come un campione di scacchi che fa la sua mossa e si sposta dal giocatore affianco!
Sei veramente in gamba |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 16 Lug 2006 12:28 Oggetto: |
|
|
Ogni volta che avvio il PC, parte la scansione di virIT che sistematicamente mi trova un file sospetto e mi chiede di inviarlo al supporto tecnico, cosa che faccio puntualmente.
Gli ultimi sono:
File Sospetti LITE - Key: 4 Valore: *YR Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" OGMD
4 Valore: *vq Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" IVVDMMFX
4 Valore: *mv Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" CPOSKOCTZ
4 Valore: *mb Dato: C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" RVSRB
Quindi c'è sicuramente qualcosa che li genera!
Tu consigli di installare la patch, ma devo farlo adesso o aspettare se riusciamo a ripulire il PC prima?
Ciao |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 16 Lug 2006 17:32 Oggetto: |
|
|
Sì, certo che prima dobbiamo ripulirlo, ma se non mi posti i log che ti ho chiesto non risolveremo mai
ti riporto i log che chiedevo qui:
- Log di HijackThis. Fate riferimento a questa parte della guida: http://www.zeusnews.it/index.php3?ar=stampa&cod=4701
- Rootkit di Gmer: scaricate GMER.EXE. Avviatelo, andate sul Tab Rootkit , cliccate su Scan . Il risultato della scansione si può salvare premendo Copy e incollare dove volete.
- Autostart di GMER: allo stesso modo del punto 1 fate anche la scansione dal tab Autostart di GMER
- la presenza di una cartella chiamata linkoptimizer o link optimizer ed il suo percorso
- i nomi dei file nascosti con estensione exe, tmp, dll (o altre) che hanno nomi random, presenti in C:/programmi che sono stati creati con una data recente (1-2 giorni)
- il nome delle cartelle con la loro data di creazione presenti in C:/Documents and settings
- eventuali file in C:\PROGRAMMI\FILE COMUNI\SYSTEM*
* nota: questa è una aggiunta per il tuo caso
Mentre aspetti la risposta del forum, se possibile NON riavviare , altrimenti i nomi dei file random nascosti potrebbero cambiare.
----------------------------------------------------------
IMPORTANTE: Quando cerchi i file o cartelle, abilita prima le visualizzazione dei file nascosti e di sistema:
Citazione: | - aprire gestione risorse
- dal menu selezionare strumenti >> opzioni cartella
- selezionare il tab visualizzazione
- mettere la spunta alla casella visualizza file e cartelle nascoste
- togliere la spunta alla casella nascondi file di sistema (consigliato) (ozione più in basso)
- cliccare Si, poi Applica, poi OK. |
Io aspetto, fai tutto e poi posta qui, vedrai che risolviamo poi in 10 minuti
Ciao! |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 16 Lug 2006 19:35 Oggetto: |
|
|
Il log l'avevo già postato, vedi sopra.
Se serve lo rifaccio.
Ribadisco che Gmer con WindowsME non va
linkoptimizer l'ho trovato nel pannello di controllo - Installazioni applicazioni e non l'ho tolto
file nascosti con estensione exe, tmp, dll non ce ne sono nella cartella C:\PROGRAMMI
:/Documents and settings in WindowsME non c'è
Nella cartella Programmi\File Comuni\System ci sono 4 cartelle: ADO, Mapi, MSADC, ole db; poi dei file: directdb.dll pvx.exe SNAPVIEW.OCX wab32.dll wab32res.dll
Ovviamente credo che il file che cercavamo è pvx.exe che è nascosto e deve essere quello che genera i file sospetti che virIT mi trova ad oggni avvio del PC
Tu mi devi dire quello che devo fare ed io lo faccio!!! (Tratto da Colorado Caffè Live)
Grazie per la pazienza |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 16 Lug 2006 21:57 Oggetto: |
|
|
Ah, OK... scusa tu mi ripetevi la stessa cosa da 3 post e io insistevo...grazie a te della pazienza
Devi essere un po´ fusa
Allora i vari tool che abbiamo usato possono fare ben poco... nessuno gira su WindowsME quindi non potremo ripristinare a livello di Kernel la APPIni:DLLs che carica il rootkit, ma potremmo cancellare il file da lei richiamato.
I file sospetti li hai sicuramente evidenziati con le varie scansioni e li riassumo qui (magari alcuni non ci sono nemmeno più). Quando sono in cartelle che possiamo cancellare scrivo solo la cartella
Citazione: | C:\WINDOWS\SYSTEM\lgaa.dll
C:\windows\hmikp1.dll
C:\windows\system\ActiveScan\pskavs.dll
C:\WINDOWS\Temporary Internet Files\Content.IE5
C:\WINDOWS\TEMP
C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE
C:\RESTORE |
Ora io non conosco molto bene WME, ma credo che si possa partire in DOS, vero? In questo caso non è caricata la GUI e quindi il trojan non sarà caricato e dovresti riuscire ad eliminarlo.
Quindi io proverei così:
1) Scrivi un file batch con questi comandi:
Citazione: | attrib -r -s -h C:\WINDOWS\SYSTEM\lgaa.dll
attrib -r -s -h C:\windows\hmikp1.dll
attrib -r -s -h C:\windows\system\ActiveScan\pskavs.dll
attrib -r -s -h C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE
attrib -r -s -h C:\WINDOWS\Temporary Internet Files\Content.IE5\*.*
attrib -r -s -h C:\WINDOWS\TEMP\*.*
attrib -r -s -h C:\RESTORE\*.*
del C:\WINDOWS\SYSTEM\lgaa.dll
del C:\windows\hmikp1.dll
del C:\windows\system\ActiveScan\pskavs.dll
del C:\WINDOWS\Temporary Internet Files\Content.IE5\*.*
del C:\WINDOWS\TEMP\*.*
del C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE
del C:\RESTORE\*.*
rd C:\WINDOWS\Temporary Internet Files\Content.IE5
rd C:\WINDOWS\TEMP
rd C:\RESTORE |
Puoi copiare il testo del riquadro qui sopra in un file di testo e salvarlo con estensione bat (es forum.bat). Se mi sono dimenticata qualche file, aggiungilo alla lista. Non avviare ancora il file bat, salvalo solamente in C:\
Non ti preoccupare per le cartelle dei file temporanei, poi viene ricreata.
Scarica TrojanHunter[/b] e installalo. Va aggiornato manualmente, anche se cercherà di aggiornarsi. Il pacchetto di aggiornamento lo trovi [url=http://forum.zeusnews.com/link/8918]qui. Non usarlo ancora
Avvia HijackThis e chiudi tutte le altre applicazioni e finestre aperte. Seleziona questa voce e premi Fix Xhecked
R3 - Default URLSearchHook is missing
2) Disattiva il ripristino di configurazione:
Fai riferimento a questa guida. In questo modo verrà cancellata tutta la cartella _RESTORE con tutto quello che contiene.
3) Riavvia in DOS
Quando sei al prompt dei comandi, avvia il file c:\forum.bat. Se riesci, prendi nota dei risultati
4) Riavvia in modalità provvisoria
Dalla modalità provvisoria, fai partire TrojanHunter e fai la scansione antirootkit, cancella quello che trova. Poi fai le scansioni con AVST e con VIRIT.
5) Riavvia in modalità normale
Sara andato?
Se hai dei dubbi, chiedi, li ho anche io
Ciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 16 Lug 2006 23:40 Oggetto: |
|
|
Probabilmente il virus ha capito che lo stiamo attaccando e cerca di difendersi!
Infatti appena finito di leggere la tua risposta, è apparsa la schermata blu di errore con:
Nome file VCACHE(01)+000015A4 Errore: OE: 0028: C004EC40
Ho dovuto riavviare; è ripartito virIT che mi ha fatto spedire al supporto tecnico il
File sospetto LITE - Key: 4 Valore: *wW Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE\NGBMFI
Come ho provato a connettermi è uscito l'avviso di Iexplore che ha causato un errore in SHLWAPI.DLL e l'ho chiuso.
Al secondo tentativo: Iexplore ha causato un errore in FLASH8B.OCX e l'ho chiuso.
Subito dopo videata blu Errore: OE: 016F: BFF8E64B
Riavvio, parte virIT che mi fa spedire al supporto tecnico il
File sospetto LITE - Key: 4 Valore: *MH Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" MAG
Avast mi avvisa di aver beccato un cavallo di troia in C:\WINDOWS\TEMP\kgrp1.exe\(UPX) trattasi di Win32:Agent-AKW(Trj)
Nuova schermata blu:
Nome file VMM(01)+000097E2 Errore:OD:0028:C000A7E2
e finalmente posso connettermi.
Adesso sto scaricando TrojanHunter.exe (non ho l'ADSL) e ci vuole tempo.
Ho già preparato il file bat.
Per togliere la funzione del ripristino del sistema devo riavviare.
HijackThis lo lancio appena posso chiudere tutte le applicazioni.
In modalità provvisoria so partire.
Ma in DOS come si parte? |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 17 Lug 2006 01:11 Oggetto: |
|
|
Mamma mia il PC non è mai stato così lento.
Ho appena finito di installare TrojanHunter e spero di averlo fatto bene, visto che non conosco l'inglese.
Ho incominciato a scaricare l'aggiornamento che, se non ho capito male, dovrò dezipparlo nella cartella d'installazione in C:\Programmi etc. etc.
Poi spero che sia pronto per essere avviato.
Intanto sto scaricando a 750 byte e mi ci vorranno un paio di ore ancora, dopo mollo e riprendo domani pomeriggio al ritorno da lavoro.
Se nel frattempo hai qualche suggerimento terra terra su come muovermi, posta pure.
E se qualcuno sa come avviare in DOS ben venga.
Se serve l'uso del floppy, credo che non stia funzionando.
A presto. |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 17 Lug 2006 09:00 Oggetto: |
|
|
No, il pacchetto di aggiornamento di TrojanHunter va messo nella cartella RuleFiles che trovi in quella dove hai installato TrojanHunter.
La lentezza è anche uno dei sintomi di questo trojan, purtroppo.
Per riavviare in DOS dovresti premere F8 al boot e tra le opzioni dovrebbe esserci anche la modalità DOS. Se non c´è servirebbe un dischetto di boot, quindi pensavo di linkarti questo, ma dici che il floppy non funziona...
http://www.bootdisk.com/bootdisk.htm
Se per qualche motivo non riesci con il DOS, allora prova con Killbox. Dovrebbe andare anche su windows ME. Scaricalo sul desktop.
Prepara la lista dei file e delle cartelle che vuoi eliminare, tutto quello che ti è stato segnalato dai vari antivirus. Fai riferimento al mio elenco di file (non allo script bat) ed eventualmente aggiungi quello che manca.
Seleziona l´elenco che hai preparato (o il mio) e premi CTRL+C per copiare il contenuto della lista negli appunti.
Avvia Killbox e impostalo così:
- seleziona l´opzione Delete on reboot
- clicca il pulsante All files (diventerà lampeggiante in verde)
Fai riferimento a questa immagine:
Poi dal Menu di Killbox, seleziona Paste from clipboard. Vedrai che tutto quello che hai copiato prima e che Killbox trova verrà aggiunto all´elenco a tendina.
Ora premi il pulsante rosso con la X bianca (Delete File). Se il PC non si riavvia, riavvialo tu
Per il resto fai come sopra: una scansione con TrojanHunter +scansioni di Avast e Antivir dalla modalità provvisoria
Ciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 17 Lug 2006 17:53 Oggetto: |
|
|
Escuse moi, la cartella RuleFiles non c'è.
C'è la cartella SubmitFiles la cartella Tools ed una Update zip(vuota) e tanti file.
Ho provato anche a reinstallarlo e mi è uscito l'avviso di errore:
C.\Programmi\TrojanHunter4.0\THGuard.exe
An error occured while tryng to replace the existing file:
DeleteFile failed; code 5.
Accesso negato(unica frase in italiano)
Click Retry totry again, Ignore to skip this file (not recommended), or Abort to cancel installation.
Ho cliccato su riprova, ma niente; cliccato su ignora ed è andato.
Adesso ho un icona con una lente d'ingrandimento con manico azzurro sulla barra lato Start e due icone con lente d'ingrandimento con manico rosso sul lato orologio, ma della cartella RuleFiles neanche l'ombra.
Abbi pazienza sono abbastanza imbranato, cosa ho fatto che non va?
A proposito questa è la risposta del supporto tecnico di virIT:
Il suo computer è infetto da Trojan.Win32.Rootkit.D (http://www.malwarelist.org/startup/scheda.asp?num=3039) oppure Trojan.Win32.Rootkit.E (http://www.malwarelist.org/startup/scheda.asp?num=3074)
Le consigliamo di leggere le NEWS della TG Soft: http://www.viritpro.info/news/malware_e_hoax_NEWS.asp
TG Soft
Lo sapevamo già
Questo invece è quello che ha trovato oggi virIT
I file temp sospetti sono spariti tutti.
C:\WINDOWS\SYSTEM\cp_2012a.nls Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *
C:\WINDOWS\hmikp1.dll Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 29282.
Files Totali: 29282.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
Per il momento ciao. |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 17 Lug 2006 23:50 Oggetto: |
|
|
stai creando tutte le varianti di quel trojan... tra un po' esaurirà i nomi a sua disposizione
Credo che quella cartella la devi creare dentro a quella di trojanhunter e lì dentro ci metti i file estratti dall'archivio. Poi riavvii trojanhunter.
Probabilmente hai cercato di installarlo una seconda volta senza prima disinstallarlo e lui non ha gradito
Comunque come sopra, prendi nota di tutti i file infetti e poi prova a cancellarli con uno script bat o con killbox come ti ho mostrato sopra
Li riassumo qui
Citazione: | C:\WINDOWS\SYSTEM\lgaa.dll
C:\windows\hmikp1.dll
C:\windows\system\ActiveScan\pskavs.dll
C:\WINDOWS\Temporary Internet Files\Content.IE5
C:\WINDOWS\TEMP
C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE
C:\RESTORE
C:\WINDOWS\SYSTEM\cp_2012a.nls |
Ricordati di disabilitare il ripristino di sistema
Ciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 18 Lug 2006 22:08 Oggetto: |
|
|
Riepilogo le operazioni svolte.
01) Avviato HijackThis--->Fix Xhecked--->R3-Default URL SearchHook is missing--->OK
02) Il ripristino di configurazione l'avevo già tolto. (lo posso rimettere?)
03) In DOS WindowsME non parte, ci sono le opzioni: Normale; Con file registro (\BootLog.Txt); Modalità provvisoria; Conferma passo - passo.
Quindi ho installato Killbox sul desktop, ho copiato dentro i file che mi avevi segnato, ho cancellato e si è riavviato.
04) Ho riavviato in modalità provvisoria ed ho avviato la scansione con TrojanHunter sia Full che Quick per non sbagliare, dopo aver settato tutte le caselle; non mi ha dato nessun esito, nessun log, niente (senza soddisfazione! )
05) Sempre in modalità provvisoria ho effettuato la scansione approfondita con Avast (che non si è fermato e me l'ha fatta due volte e se non lo fermavo io..... è durata 4 ore) e non ha trovato niente.
06) Sempre in modalità provvisoria ho avviato virIT (che è bello a vedersi ed è comprensibile ) e mi ha trovato: C:\_RESTORE\TEMP\PVX.O Infetto da Trojan.Win32.Agent.ABK
07) L'ho inserito in Killbox e l'ho cancellato.
08) Riavviato in modalità provvisoria e riscansionato con virIT, che mi ha trovato: C:\!Killbox\PVX.O Infetto da Trojan.Win32.Agent:ABK *RIMOSSO*; alla fine ho riavviato.
9) dopo il riavvio normale, è ripartito virIT che non ha trovato nulla
Ultime riflessioni:
Ho aperto la cartella Pannello di controllo--->Installazioni Applicazioni e LinkOptimizer è ancora lì e se lo provo a disinstallare, mi invia ad un sito http//notetol.com/uninstall.php (ovviamente non l'ho aperto).
Avevi consigliato di installare la patch; dove trovo quella per WindowsME? e Microsoft non ha sospeso l'assistenza l' 11/07/06?
Mi consigli di rifare una scansione on line?
Alla fine, cosa devo fare con i programmi installati (Panda ActiveScan; Kaspersky; Virit-LT; TrojanHunter; Killbox; HijackThis); mi consigli di tenerne qualcuno (magari quelli free!!!).
Scusami ancora per il fastidio che ti sto arrecando e grazie per la tua disponibilità.
Ultimissima riflessione: Tutte le sere alle 23,00 circa il PC se ne andava in blocco ed Avast mi trovava un virus: C:\WINDOWS\TEMP\kgrp1.exe\(UPX) Win32:Agent-AKW(Trj)
Sono già passate le 23,05 e non è successo niente lo dico in silenzio, non vorrei svegliar can che dorme.
a riciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 18 Lug 2006 23:37 Oggetto: |
|
|
Alle 23,20 mentre da un altro forum rilevavo notizie per creare un Avatar (ancora grazie a Gateo) si è bloccato il PC dopo la segnalazione di errore:
VCACHE(01) + 000015A4 Errore: OE: 0028: C004EC40
Ho dovuto resettare due volte; però questa volta non è stata segnalata nessuna presenza di virus, nè da virIT e nè da Avast ed il PC sembra stia andando bene.
Anche prima del blocco stava andando abbastanza veloce, a differenza dei giorni scorsi.
Vorrà dire qualcosa? |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 19 Lug 2006 19:45 Oggetto: |
|
|
Bene, allora incrociamo le dita
Mi dispiace per trojan Hunter, che tra l´altro hai scaricato con fatica perchè non avevi l´ADSL.... comunque è considerato da CastleCops molto valido ed è consigliato averlo a chi ha W98 o WMe. Magari puoi disattivare la scansione in real time se ti rallenta molto il PC.
Per la patch hai ragione: non c´è ppurtroppo per Windows ME. Micorsofft non l´ha rilasciata, però ricordo che ce n´era un a non ufficiale di ESET che funzionava anche per WME, ma adesso non la trovo...
Una soluzione radicale è disabilitare la visione delle immagini wmf sul tuo computer, in fondo non è una limitazione molto grande... io te le consiglio vivamente se vuoi farlo il comando da digitare in una finestra di DOS è
regsvr32 -u shimgvw.dll
Per ripristinare la visualizzazione si può fare con lo stesso comando, senza l´opzione -u.
Mi raccomando di cancellare la cache di Internet Explorer, potrebbe essere ancora presente l´immagine infetta e rischi di infettarti. Ti consiglio anche di usare Firefox invece di IE: quando trova una immagine WMF non la apre in automatico, ma ti chiede cosa vuoi fare.
Per linkoptimizer nell´elenco delle applicazioni, devi semplicemente cancellare quella voce. Era meglio se non tentavi di disinstallarla...
Apri HijackThis, premi Open the misc tools sections >> Uninstall Manager e selezioni dalla lista delle Applicazioni Linkoptimizer. Poi premi Delete Entry
Va più veloce il PC? E´ normale senza linkoptimizer attaccato ai fianchi |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 19 Lug 2006 22:03 Oggetto: |
|
|
Ancora un po' di pazienza e tolgo il disturbo!
Come ti avevo preannunciato all'inizio, non è che sono così evoluto nell'uso del PC!!!
Svuotare la cache, intendi eliminare i temporary internet file?
Per eliminare le immagini wmf da DOS, devo aprire il prompt dei comandi e digitare:
C:\WINDOWS>regsvr32 -u shimgvw.dll
o:
C:>regsvr32 -u shimgvw.dll
oppure?
LinkOptimizer l'ho eliminato con HijackThis.
Cosa devo fare con i programmi installati (Panda ActiveScan; Kaspersky; Virit-LT; TrojanHunter; Killbox; HijackThis); mi consigli di tenerne qualcuno (magari quelli free), od è sufficente Avast?
Scusami ancora |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 19 Lug 2006 22:17 Oggetto: |
|
|
Sì, la cache sono i file temporanei .
Apri il prompt dei comandi e digita semplicemente
Citazione: | regsvr32 -u shimgvw.dll |
Dimmi che cosa ti risponde.
Disinstalla pure tutto e tieni solo Avast. Non mi ricordo se avevi un firewall. Se non ce l´hai mi raccomando: installane uno.
PS: nessun disturbo |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|