Olimpo Informatico

[Jeppo59]

Ciao a tutti, ho appena aperto il forum ed ho visto l'avviso di "holifay", posto lo stesso, perché ci potreste trovare qualche notizia utile. Se non lo fosse, cestinate tutto; non so proprio da dove partire!!!
Partiamo da quello che credo l’inizio.
Giorni fa, cercavo un sito dove poter consultare lo schema elettrico di un TV color e quindi ho effettuato la ricerca su GOOGLE.
Fra i tanti consultati, non ricordo di preciso se (www.1534.azionamento.com/schemielettrici/33K) o (www.riparatore.altervista.org), dopo aver avviato la pagina, prima che questa fosse completa, mi si chiudeva il collegamento a internet e sparivano e riapparivano le icone sul desktop.
Ho provato un paio di volte a riaprire la pagina, ma con lo stesso esito e quindi ho desistito.
Dopo qualche giorno ho riscontrato problemini di poco conto al PC, ma mi sono accorto durante un collegamento su internet che ripartiva il classico tentativo di connessione a internet e sulla barra infatti, mancavano i due monitor piccolini della connessione. Provando io stesso ad effettuare la connessione, mi usciva l’avviso che c’era già un altro tentativo di connessione in corso.
Aperta la cartella “Connessione Remota”, ho trovato un nuovo collegamento (io ne ho uno a Wind e uno a Telecom) chiamato “Internet” e mi sembra che avesse il numero di Telecom; al ché l’ho cancellato subito. Poi per curiosità, visto che conservo qualche pagina dei vostri Forum, ho aperto quella relativa a “log hijackthis (reindirizzo a altri siti web) e, visti i suggerimenti di “holifay”, ho scansionato il PC con “Panda Active Scan”, il quale mi ha trovato:

Incidente Stato Percorso

Spyware:Cookie/FastClick Non Disinfettato C:\WINDOWS\Cookies\jeppo@fastclick[1].txt
Spyware:Cookie/2o7 Non Disinfettato C:\WINDOWS\Cookies\jeppo@2o7[1].txt
Spyware:Cookie/Mediaplex Non Disinfettato C:\WINDOWS\Cookies\jeppo@mediaplex[1].txt
Spyware:Cookie/Atlas DMT Non Disinfettato C:\WINDOWS\Cookies\jeppo@atdmt[2].txt
Spyware:Cookie/Falkag Non Disinfettato C:\WINDOWS\Cookies\jeppo@as-eu.falkag[1].txt
Spyware:Cookie/Adtech Non Disinfettato C:\WINDOWS\Cookies\jeppo@adtech[2].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\WINDOWS\Cookies\jeppo@doubleclick[1].txt
Spyware:Cookie/Bluestreak Non Disinfettato C:\WINDOWS\Cookies\jeppo@bluestreak[1].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\WINDOWS\Cookies\jeppo@tradedoubler[2].txt
Spyware:Cookie/Statcounter Non Disinfettato C:\WINDOWS\Cookies\jeppo@statcounter[2].txt
Spyware:Cookie/2o7 Non Disinfettato C:\WINDOWS\Cookies\jeppo@microsofteup.112.2o7[1].txt
Spyware:Cookie/Hitslink Non Disinfettato C:\WINDOWS\Cookies\jeppo@counter.hitslink[2].txt
Spyware:Cookie/Apmebf Non Disinfettato C:\WINDOWS\Cookies\jeppo@apmebf[2].txt
Spyware:Cookie/Cgi-bin Non Disinfettato C:\WINDOWS\Cookies\jeppo@cgi-bin[4].txt
Spyware:Cookie/Zedo Non Disinfettato C:\WINDOWS\Cookies\jeppo@zedo[1].txt
Spyware:Cookie/Tribalfusion Non Disinfettato C:\WINDOWS\Cookies\jeppo@tribalfusion[1].txt
Spyware:Cookie/Xiti Non Disinfettato C:\WINDOWS\Cookies\jeppo@xiti[1].txt
Spyware:Cookie/Advertising Non Disinfettato C:\WINDOWS\Cookies\jeppo@advertising[1].txt
Spyware:Cookie/myaffiliateprogram Non Disinfettato C:\WINDOWS\Cookies\jeppo@www.myaffiliateprogram[2].txt
Spyware:Cookie/YieldManager Non Disinfettato C:\WINDOWS\Cookies\jeppo@ad.yieldmanager[1].txt
Spyware:Cookie/Falkag Non Disinfettato C:\WINDOWS\Cookies\jeppo@as1.falkag[1].txt
Spyware:Cookie/Advnt Non Disinfettato C:\WINDOWS\Cookies\jeppo@www.advnt01[1].txt
Spyware:Cookie/WUpd Non Disinfettato C:\WINDOWS\Cookies\jeppo@revenue[2].txt
Spyware:Cookie/Com.com Non Disinfettato C:\WINDOWS\Cookies\jeppo@com[1].txt
Virus:W32/Bagle.pwdzip Disinfettato D:\Documenti\Forum Zeus\Come debellara un Trojan\SmitfraudFix.zip
Virus:Exploit/URLSpoof Disinfettato

Al ché ho cancellato tutti i cookies.

Il giorno dopo, per curiosità ho rieffettuato la scansione:


Incident Status Location

Virus:Trj/Agent.CJB Disinfected Operating system
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\SYSTEM\lgaa.dll
Spyware:Cookie/Tradedoubler Not disinfected C:\WINDOWS\Cookies\jeppo@tradedoubler[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\WINDOWS\Cookies\jeppo@hitbox[1].txt
Spyware:Cookie/Cgi-bin Not disinfected C:\WINDOWS\Cookies\jeppo@cgi-bin[3].txt
Spyware:Cookie/Falkag Not disinfected C:\WINDOWS\Cookies\jeppo@as1.falkag[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\WINDOWS\Cookies\jeppo@doubleclick[1].txt
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\m
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\9175.TMP
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\E194.TMP
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\3234.TMP
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\3313.TMP
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\TEMP\62E4.TMP
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar[Gummy.class]
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar[Counter.class]
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar[VerifierBug.class]
Virus:Trj/Agent.CIJ Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\d[1].gif
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar[Gummy.class]
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar[Counter.class]
Virus:Exploit/ByteVerify Disinfected C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar[VerifierBug.class]

Anche questa volta ho cancellato i cookies

Riaprendo la cronologia, aprendo una pagina della quale non ricordo l’indirizzo, si è verificato la stessa sparizione che si era verificata giorni prima, ma questa volta con l’avviso di errore.
OE:016F:BFF8E64B
GDI.EXE in
0001:00004b48
OK
Avviso Iexplore
IEXPLORE HA PROVOCATO UN ERRORE DI PROTEZIONE GENERALE NEL MODULO GDI.EXE IN 0001:00004b48.
Ho rifatto una scansione con Panda:


Incidente Stato Percorso

Virus:Trj/Goldun.JU Disinfettato Sistema Operativo
Spyware:Cookie/Adtech Non Disinfettato C:\WINDOWS\Cookies\jeppo@adtech[2].txt
Spyware:Cookie/Atlas DMT Non Disinfettato C:\WINDOWS\Cookies\jeppo@atdmt[2].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\WINDOWS\Cookies\jeppo@doubleclick[1].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\WINDOWS\Cookies\jeppo@tradedoubler[2].txt
Spyware:Cookie/Zedo Non Disinfettato C:\WINDOWS\Cookies\jeppo@zedo[2].txt
Strumenti indesiderati:Application/Processor Non Disinfettato

Anche questa volta ho cancellato i cookies, ed ho cercato su GOOGLE il virus Goldun.JU per sapere di cosa si trattasse.
Ho provato ad aprire la pagina VIRUSLIST.COM – TROJAN – Spy.Win32.Goldun.ju ….caratteri stranieri ed è andato di nuovo in blocco il PC ed ho dovuto riavviare.
Scansione con Panda:

Incidente Stato Percorso

Virus:Trj/Goldun.JU Disinfettato Sistema Operativo

Da questo momento il mio AVAST ha incominciato a segnalare la presenza di:

C:\windows\hmikp1.dll
Win32:Agent.gen(Trj)

C:\windows\system\ActiveScan\pskavs.dll
Win32:CTX

Credo di averli cestinati o cancellati su richiesta di AVAST.
A questo punto ho provato una prima scansione con Kaspersky, ma si è bloccata con la dicitura:
Si è verificato un errore, etc.
Nome file: VMM(01)+000097EZ Errore:OD:0028:C000A7E2
Premere un tasto, etc.
Ho riprovato il giorno dopo con esito positivo:
KASPERSKY ONLINE SCANNER REPORT
giovedì 13 luglio 2006 19.45.33Operating System: Microsoft Windows Millennium EditionKaspersky Online Scanner version: 5.0.83.0Kaspersky Anti-Virus database last update: 13/07/2006Kaspersky Anti-Virus database records: 194724

Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
a:\c:\d:\e:\f:\

Scan Statistics
Total number of scanned objects 75608
Number of viruses found 3
Number of infected objects 14 / 0
Number of suspicious objects 0
Duration of the scan process 01:01:52

Infected Object Name Virus Name Last Action
c:\_RESTORE\TEMP\A0011974.CPY Infected: Trojan.Win32.Agent.vp skipped

c:\_RESTORE\TEMP\A0011981.CPY Infected: Trojan.Win32.Agent.vp skipped

c:\_RESTORE\TEMP\A0011983.CPY Infected: Trojan.Win32.Agent.vp skipped

c:\_RESTORE\TEMP\A0011992.CPY Infected: Trojan.Win32.Agent.vp skipped

c:\_RESTORE\TEMP\A0011994.CPY Infected: Trojan.Win32.Agent.vp skipped

c:\_RESTORE\TEMP\A0012004.CPY Infected: Trojan.Win32.Agent.vp skipped

c:\_RESTORE\TEMP\A0012006.CPY Infected: Trojan.Win32.Agent.vp skipped

c:\_RESTORE\TEMP\A0013004.CPY Infected: Trojan.Win32.Agent.vp skipped

c:\_RESTORE\TEMP\A0014395.CPY Infected: Trojan-Downloader.Win32.Agent.wo skipped

c:\_RESTORE\LOGS\vxdsfp.log Object is locked skipped

c:\_RESTORE\LOGS\vxdalt1.log Object is locked skipped

c:\WINDOWS\SYSTEM\CatRoot\SYSMAST.cbd Object is locked skipped

c:\WINDOWS\SYSTEM\CatRoot\SYSMAST.cbk Object is locked skipped

c:\WINDOWS\SYSTEM\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATMAST.cbd Object is locked skipped

c:\WINDOWS\SYSTEM\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATMAST.cbk Object is locked skipped

c:\WINDOWS\WIN386.SWP Object is locked skipped

c:\WINDOWS\Cookies\index.dat Object is locked skipped

c:\WINDOWS\TEMP\_avast4_\Webshlock.txt Object is locked skipped

c:\WINDOWS\TEMP\~DFC298.TMP Object is locked skipped

c:\WINDOWS\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT Object is locked skipped

c:\WINDOWS\Sti_Trace.log Object is locked skipped

c:\WINDOWS\Sti_Event.log Object is locked skipped

c:\WINDOWS\wiaservc.log Object is locked skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar/Beyond.class Infected: Trojan.Java.ClassLoader.k skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\0SSJF320\stat[1].jar ZIP: infected - 1 skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar/Beyond.class Infected: Trojan.Java.ClassLoader.k skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\stat[1].jar ZIP: infected - 1 skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\YKW0SSCM\g[1].php Infected: Trojan-Downloader.Win32.Agent.wo skipped

c:\WINDOWS\Cronologia\History.IE5\index.dat Object is locked skipped

c:\WINDOWS\Cronologia\History.IE5\MSHist012006071320060714\index.dat Object is locked skipped

c:\WINDOWS\SchedLog.Txt Object is locked skipped

c:\WINDOWS\Motorola SM56 PCI Speakerphone Modem.log Object is locked skipped

c:\Programmi\File comuni\SYSTEM\pvX.exe Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\report\Protezione residente.txt Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped

Scan process completed.

A questo punto ho lanciato la scansione con l’AVAST che mi ha trovato:

WINDOWS\DESKTOP\com.com
Win32:Agent – YE(Trj)
Cavallo di troia

C:\RESTORE\TEMP\kgrp1.exe(UPX)
Win32:Agent – AKW(Trj)
Cavallo di troia

C:\windows\hmikp1.dll
Win32Agent.gen(Trj)
Cavallo di troia

C:\_RESTORE\TEMP\A0014364.CPY
Win32:CTX
Virus/Worm

C:\_RESTORE\TEMP\HMIKP1.0
Win32:Agent.gen(Trj)
Cavallo di troia

C:\_RESTORE\TEMP\A0014385.CPY
Win32:Agent.YE(Trj)

C:\_RESTORE\TEMP\A0014487.CPY
Win32:Agent.YE(Trj)

C:\WINDOWS\Temporary Internet Files\Content.IE5\YKWOSSCM
Win32:Agent – YE(Trj)

Ho cercato di nuovo di avere un parere da Panda Active Scan, ma dopo la fase iniziale sull’aggiornamento, all’avvio della scansione dei file, non va più avanti.
Quando riprovo, va in blocco ed esce l’avviso:
Iexplore ha causato un errore in KERNE32.DLL. etc. etc.

A parte qualche uscita di avviso di explorer ha causato un errore in sconosciuto. etc. etc.
Sembra che il floppy disk non ne vuol sapere di aprire i dischetti e non li formatta dichiarandoli non funzionanti o assenti.
Altri problemi al momento non ne vedo.
Adesso mi chiedo, come mai AVAST non ha visto e bloccato quello che Panda ha trovato all’inizio?
Perché Panda non scansiona più? (ho provato anche a disabilitare AVAST ai tentativi di scansione)
Sono stato lunghissimo, ma ho messo quante più notizie possibili per chiarire agli esaminatori gli eventuali errori commessi; ovviamente postate solo quello che ritenete di utilità comune.
Accetto ben volentieri i vostri consigli, ma vi prego di parlare terra-terra (per intenderci: schiaccia il tasto invece di clicca, o quasi!!!)
Ciao

[holifay]

ciao, credo che sei anche tu vittima tra le altre cose di LinkOptimizer.... Grazie per le informazioni dettagliate, che ci serviranno adesso per ripulire.

Allora, fai così: scarica Ewido e installalo. Durante l´installazione nel menu Additional Options deseleziona Install background guard e Install scan via context menu. Avvialo e aggiornalo (bottone Start Update) online, ma non usarlo ancora.

scarica ATFCleaner da Atribune e salvalo sul desktop

Riavvia in modalità provvisoria, premendo F8 al boot.

dalla modalità provvisoria, fai una scansione completa con EWIDO e cancella quello che trova. Se trova qualcosa, ripetila più volte finchè non trova più niente

Adesso fanne una sempre dalla provvisoria con Avast, Anche con Avast ripeti la scansione finchè non trova più nulla.

Poi avvia ATF cleaner clicca sul menu main e poi seleziona la casella Select All.. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.

Riavvia in modalità normale e fai tutte le scansioni ed i controlli (i punti da 1 a 6) del post in rilievo, quelli descritti sotto AIUTO DAL FORUM DI ZEUSNEWS.

Poi posta qui i risultati, insieme al log di Ewido, vedrai che risolviamo

Ciao

[Jeppo59]

Ho scordato di dirti che ho WindowsME; Ewido mva bene lo stesso? (Developed for Windows 2000 and XP (32-Bit))Nel frattempo avevo installato VIRIT-LT ed ho scansionato più volte. Ecco gli esiti:
VirIT eXplorer Lite Log

SCANSIONE DELLA MEMORIA
OK
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 00:25:24

[SCANSIONE DEL REGISTRO]
{2ee25147-37d4-4640-832c-fccfac8b21d9} Infetto da BHO.Agent.AR
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\SYSTEM\1252043e.cpx Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *
C:\WINDOWS\SYSTEM\vnii.386 Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *

Chiavi Registro infette: 1.
Files Infetti: 12.
Files Sospetti: 0.
Files Analizzati: 27337.
Files Totali: 27337.
Chiavi Registro rimosse: 1.
Virus Rimossi: 2.

SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 00:47:30

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft

Chiavi Registro infette: 0.
Files Infetti: 11.
Files Sospetti: 0.
Files Analizzati: 27380.
Files Totali: 27380.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 01:02:24

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft

Chiavi Registro infette: 0.
Files Infetti: 11.
Files Sospetti: 0.
Files Analizzati: 27392.
Files Totali: 27392.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 17:46:44

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft

Chiavi Registro infette: 0.
Files Infetti: 11.
Files Sospetti: 0.
Files Analizzati: 27399.
Files Totali: 27399.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 18:04:13

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\TEMP\kgrp1.exe Infetto da Trojan.Win32.Agent.ACH
* * * RIMOSSO * * *
C:\WINDOWS\hmikp1.dll Infetto da BHO.Agent.AS
* * * RIMOSSO * * *

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]


[F:]


Chiavi Registro infette: 0.
Files Infetti: 13.
Files Sospetti: 0.
Files Analizzati: 72003.
Files Totali: 72003.
Chiavi Registro rimosse: 0.
Virus Rimossi: 2.

SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
15/07/2006 - 18:28:41

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\_RESTORE\TEMP\A0011974.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011981.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011983.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011992.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0011994.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0012006.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0013004.CPY Infetto da Trojan.Win32.Agent.ABV
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\HMIKP1.0 Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0014487.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016681.CPY Infetto da Trojan.Win32.RootKit.E
Contattare il Supporto Tecnico TG Soft
C:\_RESTORE\TEMP\A0016692.CPY Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft

Chiavi Registro infette: 0.
Files Infetti: 12.
Files Sospetti: 0.
Files Analizzati: 27466.
Files Totali: 27466.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

SCANSIONE DELLA MEMORIA
OK
Nel frattempo sul Desktop si è installato un file com.com che sembra abbia a che fare col DOS e che Avast mi aveva fatto cestinare.
Inoltre virIT mi ha fatto mandarer dei file sospetti al controllo trovati nella LITE - key: 4 Valore: *wx Dato: "C.\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE"WIJ ; LITE - key:4 Valore: *fuL Dato:"C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE"TWKPIEUO ; LITE - key:4 Valore: *xY Dato:"C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE"ZKNFRGQ
E questo è quanto, per il momento.
A bien tot

[holifay]

Rootkit E... sì è roprio quello di linkoptimizer.

Fai i punti da 1-6 del post in rilievo, quelli di AIUTO DAL FORUM DI ZEUSNEWS e poi posta i log e le altre osservazioni richieste

Ewido non va bene. Scansiona il sistema online con Bitdefender

[Jeppo59]

Allora:
Logfile of HijackThis v1.99.1
Scan saved at 22.25.30, on 15/07/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\FILE COMUNI\ROXIO SHARED\PROJECT SELECTOR\PROJSELECTOR.EXE
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [projselector] "C:\Programmi\File comuni\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServicesOnce: [*YR] "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" ogmd
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/activescan/it/activescan_principal.htm (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_ansi.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

questo è il log di HijackThis

Gmer con WindowsME non va

linkoptimizer l'ho trovato nel pannello di controllo - Installazioni applicazioni e non l'ho tolto

file nascosti con estensione exe, tmp, dll non ce ne sono nella cartella C:\PROGRAMMI

:/Documents and settings in WindowsME non c'è

Sto facendo la scansione con BitDefender e si è presentata la schermata blu con l'avviso di errore:
Nome file VMM(01)+000097E2 Error: OD: 0028: C000A7E2
Subito dopo virIT mi ha avvisato della presenza del virus BHO.Agent.AS in C:\windows\HMIKP1.DLL e gli ho chiesto di cancellarlo
Posto prima che un nuovo blocco mi cancelli tutto quello che ti ho scritto. Appena BitDefender finisce posto di nuovo.
A più tardi

[Jeppo59]

BitDefender Online Scanner



Scan report generated at: Sun, Jul 16, 2006 - 00:17:37





Scan path: A:\;C:\;D:\;E:\;F:\;







Statistics

Time
01:20:19

Files
229340

Folders
3453

Boot Sectors
4

Archives
3257

Packed Files
24506




Results

Identified Viruses
4

Infected Files
15

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
6




Engines Info

Virus Definitions
407975

Engine build
AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Scan plugins
13

Archive plugins
38

Unpack plugins
5

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\_RESTORE\TEMP\A0011974.CPY
Infected with: Trojan.Agent.VP

C:\_RESTORE\TEMP\A0011974.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0011974.CPY
Delete failed

C:\_RESTORE\TEMP\A0011981.CPY
Infected with: Trojan.Agent.VP

C:\_RESTORE\TEMP\A0011981.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0011981.CPY
Delete failed

C:\_RESTORE\TEMP\A0011983.CPY
Infected with: Trojan.Agent.VP

C:\_RESTORE\TEMP\A0011983.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0011983.CPY
Delete failed

C:\_RESTORE\TEMP\A0011992.CPY
Infected with: Trojan.Agent.VP

C:\_RESTORE\TEMP\A0011992.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0011992.CPY
Delete failed

C:\_RESTORE\TEMP\A0011994.CPY
Infected with: Trojan.Agent.VP

C:\_RESTORE\TEMP\A0011994.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0011994.CPY
Delete failed

C:\_RESTORE\TEMP\A0012004.CPY
Infected with: Trojan.Agent.VP

C:\_RESTORE\TEMP\A0012004.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0012004.CPY
Delete failed

C:\_RESTORE\TEMP\A0012006.CPY
Infected with: Trojan.Agent.VP

C:\_RESTORE\TEMP\A0012006.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0012006.CPY
Delete failed

C:\_RESTORE\TEMP\A0013004.CPY
Infected with: Trojan.Agent.VP

C:\_RESTORE\TEMP\A0013004.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0013004.CPY
Delete failed

C:\_RESTORE\TEMP\A0014395.CPY
Infected with: Trojan.Downloader.Agent.ADZ

C:\_RESTORE\TEMP\A0014395.CPY
Disinfection failed

C:\_RESTORE\TEMP\A0014395.CPY
Delete failed

C:\WINDOWS\Desktop\com.com
Infected with: Trojan.Downloader.Agent.ADZ

C:\WINDOWS\Desktop\com.com
Disinfection failed

C:\WINDOWS\Desktop\com.com
Deleted

C:\WINDOWS\Temporary Internet Files\Content.IE5\YFIZ6DQ5\obj[2].hta
Infected with: Trojan.Agent.VP

C:\WINDOWS\Temporary Internet Files\Content.IE5\YFIZ6DQ5\obj[2].hta
Disinfection failed

C:\WINDOWS\Temporary Internet Files\Content.IE5\YFIZ6DQ5\obj[2].hta
Deleted

C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\obj[1].hta
Infected with: Trojan.Agent.VP

C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\obj[1].hta
Disinfection failed

C:\WINDOWS\Temporary Internet Files\Content.IE5\SAI3BLS5\obj[1].hta
Deleted

C:\WINDOWS\Temporary Internet Files\Content.IE5\YKW0SSCM\g[1].php
Infected with: Trojan.Downloader.Agent.ADZ

C:\WINDOWS\Temporary Internet Files\Content.IE5\YKW0SSCM\g[1].php
Disinfection failed

C:\WINDOWS\Temporary Internet Files\Content.IE5\YKW0SSCM\g[1].php
Deleted

C:\Download\dolphinfree.exe=>wise0053
Infected with: Dropped:Application.Adware.NewDotNet.A

C:\Download\dolphinfree.exe=>wise0053
Disinfection failed

C:\Download\dolphinfree.exe=>wise0053
Deleted

C:\Download\dolphinfree.exe
Update failed

C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Detected with: Application.Spyware.WebHancer.A

C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Disinfection failed

C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Deleted

C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)
Update failed

Questa è la scansione di BitDefender.

C:\_RESTORE\TEMP\A0011974.CPY
Delete failed
Per questo ed altri che non è riuscito ad eliminare, posso farlo io andando nella cartella in questione?

Vedo che stai postando anche con altri e ti immagino come un campione di scacchi che fa la sua mossa e si sposta dal giocatore affianco!
Sei veramente in gamba

[Jeppo59]

Ogni volta che avvio il PC, parte la scansione di virIT che sistematicamente mi trova un file sospetto e mi chiede di inviarlo al supporto tecnico, cosa che faccio puntualmente.
Gli ultimi sono:
File Sospetti LITE - Key: 4 Valore: *YR Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" OGMD
4 Valore: *vq Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" IVVDMMFX
4 Valore: *mv Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" CPOSKOCTZ
4 Valore: *mb Dato: C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" RVSRB
Quindi c'è sicuramente qualcosa che li genera!
Tu consigli di installare la patch, ma devo farlo adesso o aspettare se riusciamo a ripulire il PC prima?
Ciao

[holifay]

Sì, certo che prima dobbiamo ripulirlo, ma se non mi posti i log che ti ho chiesto non risolveremo mai

ti riporto i log che chiedevo qui:

1. Log di HijackThis. Fate riferimento a questa parte della guida: http://www.zeusnews.it/index.php3?ar=stampa&cod=4701
   
2. Rootkit di Gmer: scaricate GMER.EXE. Avviatelo, andate sul Tab Rootkit , cliccate su Scan . Il risultato della scansione si può salvare premendo Copy e incollare dove volete.
   
3. Autostart di GMER: allo stesso modo del punto 1 fate anche la scansione dal tab Autostart di GMER
   
4. la presenza di una cartella chiamata linkoptimizer o link optimizer ed il suo percorso
   
5. i nomi dei file nascosti con estensione exe, tmp, dll (o altre) che hanno nomi random, presenti in C:/programmi che sono stati creati con una data recente (1-2 giorni)
   
6. il nome delle cartelle con la loro data di creazione presenti in C:/Documents and settings
   
7. eventuali file in C:\PROGRAMMI\FILE COMUNI\SYSTEM*

* nota: questa è una aggiunta per il tuo caso


Mentre aspetti la risposta del forum, se possibile NON riavviare , altrimenti i nomi dei file random nascosti potrebbero cambiare.


----------------------------------------------------------

IMPORTANTE: Quando cerchi i file o cartelle, abilita prima le visualizzazione dei file nascosti e di sistema:

[Jeppo59]

Il log l'avevo già postato, vedi sopra.
Se serve lo rifaccio.

Ribadisco che Gmer con WindowsME non va

linkoptimizer l'ho trovato nel pannello di controllo - Installazioni applicazioni e non l'ho tolto

file nascosti con estensione exe, tmp, dll non ce ne sono nella cartella C:\PROGRAMMI

:/Documents and settings in WindowsME non c'è

Nella cartella Programmi\File Comuni\System ci sono 4 cartelle: ADO, Mapi, MSADC, ole db; poi dei file: directdb.dll pvx.exe SNAPVIEW.OCX wab32.dll wab32res.dll
Ovviamente credo che il file che cercavamo è pvx.exe che è nascosto e deve essere quello che genera i file sospetti che virIT mi trova ad oggni avvio del PC

Tu mi devi dire quello che devo fare ed io lo faccio!!! (Tratto da Colorado Caffè Live)
Grazie per la pazienza

[holifay]

Ah, OK... scusa tu mi ripetevi la stessa cosa da 3 post e io insistevo...grazie a te della pazienza

Devi essere un po´ fusa

Allora i vari tool che abbiamo usato possono fare ben poco... nessuno gira su WindowsME quindi non potremo ripristinare a livello di Kernel la APPIni:DLLs che carica il rootkit, ma potremmo cancellare il file da lei richiamato.

I file sospetti li hai sicuramente evidenziati con le varie scansioni e li riassumo qui (magari alcuni non ci sono nemmeno più). Quando sono in cartelle che possiamo cancellare scrivo solo la cartella

[Jeppo59]

Probabilmente il virus ha capito che lo stiamo attaccando e cerca di difendersi!
Infatti appena finito di leggere la tua risposta, è apparsa la schermata blu di errore con:
Nome file VCACHE(01)+000015A4 Errore: OE: 0028: C004EC40
Ho dovuto riavviare; è ripartito virIT che mi ha fatto spedire al supporto tecnico il
File sospetto LITE - Key: 4 Valore: *wW Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE\NGBMFI
Come ho provato a connettermi è uscito l'avviso di Iexplore che ha causato un errore in SHLWAPI.DLL e l'ho chiuso.
Al secondo tentativo: Iexplore ha causato un errore in FLASH8B.OCX e l'ho chiuso.
Subito dopo videata blu Errore: OE: 016F: BFF8E64B
Riavvio, parte virIT che mi fa spedire al supporto tecnico il
File sospetto LITE - Key: 4 Valore: *MH Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" MAG
Avast mi avvisa di aver beccato un cavallo di troia in C:\WINDOWS\TEMP\kgrp1.exe\(UPX) trattasi di Win32:Agent-AKW(Trj)
Nuova schermata blu:
Nome file VMM(01)+000097E2 Errore:OD:0028:C000A7E2
e finalmente posso connettermi.
Adesso sto scaricando TrojanHunter.exe (non ho l'ADSL) e ci vuole tempo.
Ho già preparato il file bat.
Per togliere la funzione del ripristino del sistema devo riavviare.
HijackThis lo lancio appena posso chiudere tutte le applicazioni.
In modalità provvisoria so partire.
Ma in DOS come si parte?

[Jeppo59]

Mamma mia il PC non è mai stato così lento.
Ho appena finito di installare TrojanHunter e spero di averlo fatto bene, visto che non conosco l'inglese.
Ho incominciato a scaricare l'aggiornamento che, se non ho capito male, dovrò dezipparlo nella cartella d'installazione in C:\Programmi etc. etc.
Poi spero che sia pronto per essere avviato.
Intanto sto scaricando a 750 byte e mi ci vorranno un paio di ore ancora, dopo mollo e riprendo domani pomeriggio al ritorno da lavoro.
Se nel frattempo hai qualche suggerimento terra terra su come muovermi, posta pure.
E se qualcuno sa come avviare in DOS ben venga.
Se serve l'uso del floppy, credo che non stia funzionando.
A presto.

[holifay]

No, il pacchetto di aggiornamento di TrojanHunter va messo nella cartella RuleFiles che trovi in quella dove hai installato TrojanHunter.

La lentezza è anche uno dei sintomi di questo trojan, purtroppo.

Per riavviare in DOS dovresti premere F8 al boot e tra le opzioni dovrebbe esserci anche la modalità DOS. Se non c´è servirebbe un dischetto di boot, quindi pensavo di linkarti questo, ma dici che il floppy non funziona...
http://www.bootdisk.com/bootdisk.htm


Se per qualche motivo non riesci con il DOS, allora prova con Killbox. Dovrebbe andare anche su windows ME. Scaricalo sul desktop.

Prepara la lista dei file e delle cartelle che vuoi eliminare, tutto quello che ti è stato segnalato dai vari antivirus. Fai riferimento al mio elenco di file (non allo script bat) ed eventualmente aggiungi quello che manca.

Seleziona l´elenco che hai preparato (o il mio) e premi CTRL+C per copiare il contenuto della lista negli appunti.

Avvia Killbox e impostalo così:
- seleziona l´opzione Delete on reboot
- clicca il pulsante All files (diventerà lampeggiante in verde)

Fai riferimento a questa immagine:



Poi dal Menu di Killbox, seleziona Paste from clipboard. Vedrai che tutto quello che hai copiato prima e che Killbox trova verrà aggiunto all´elenco a tendina.

Ora premi il pulsante rosso con la X bianca (Delete File). Se il PC non si riavvia, riavvialo tu

Per il resto fai come sopra: una scansione con TrojanHunter +scansioni di Avast e Antivir dalla modalità provvisoria

Ciao

[Jeppo59]

Escuse moi, la cartella RuleFiles non c'è.
C'è la cartella SubmitFiles la cartella Tools ed una Update zip(vuota) e tanti file.
Ho provato anche a reinstallarlo e mi è uscito l'avviso di errore:
C.\Programmi\TrojanHunter4.0\THGuard.exe
An error occured while tryng to replace the existing file:
DeleteFile failed; code 5.
Accesso negato(unica frase in italiano)
Click Retry totry again, Ignore to skip this file (not recommended), or Abort to cancel installation.
Ho cliccato su riprova, ma niente; cliccato su ignora ed è andato.
Adesso ho un icona con una lente d'ingrandimento con manico azzurro sulla barra lato Start e due icone con lente d'ingrandimento con manico rosso sul lato orologio, ma della cartella RuleFiles neanche l'ombra.
Abbi pazienza sono abbastanza imbranato, cosa ho fatto che non va?
A proposito questa è la risposta del supporto tecnico di virIT:
Il suo computer è infetto da Trojan.Win32.Rootkit.D (http://www.malwarelist.org/startup/scheda.asp?num=3039) oppure Trojan.Win32.Rootkit.E (http://www.malwarelist.org/startup/scheda.asp?num=3074)

Le consigliamo di leggere le NEWS della TG Soft: http://www.viritpro.info/news/malware_e_hoax_NEWS.asp


TG Soft
Lo sapevamo già

Questo invece è quello che ha trovato oggi virIT
I file temp sospetti sono spariti tutti.

C:\WINDOWS\SYSTEM\cp_2012a.nls Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *
C:\WINDOWS\hmikp1.dll Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft

Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 29282.
Files Totali: 29282.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
Per il momento ciao.

[holifay]

stai creando tutte le varianti di quel trojan... tra un po' esaurirà i nomi a sua disposizione

Credo che quella cartella la devi creare dentro a quella di trojanhunter e lì dentro ci metti i file estratti dall'archivio. Poi riavvii trojanhunter.

Probabilmente hai cercato di installarlo una seconda volta senza prima disinstallarlo e lui non ha gradito

Comunque come sopra, prendi nota di tutti i file infetti e poi prova a cancellarli con uno script bat o con killbox come ti ho mostrato sopra

Li riassumo qui

[Jeppo59]

Riepilogo le operazioni svolte.
01) Avviato HijackThis--->Fix Xhecked--->R3-Default URL SearchHook is missing--->OK
02) Il ripristino di configurazione l'avevo già tolto. (lo posso rimettere?)
03) In DOS WindowsME non parte, ci sono le opzioni: Normale; Con file registro (\BootLog.Txt); Modalità provvisoria; Conferma passo - passo.
Quindi ho installato Killbox sul desktop, ho copiato dentro i file che mi avevi segnato, ho cancellato e si è riavviato.
04) Ho riavviato in modalità provvisoria ed ho avviato la scansione con TrojanHunter sia Full che Quick per non sbagliare, dopo aver settato tutte le caselle; non mi ha dato nessun esito, nessun log, niente (senza soddisfazione! )
05) Sempre in modalità provvisoria ho effettuato la scansione approfondita con Avast (che non si è fermato e me l'ha fatta due volte e se non lo fermavo io..... è durata 4 ore) e non ha trovato niente.
06) Sempre in modalità provvisoria ho avviato virIT (che è bello a vedersi ed è comprensibile ) e mi ha trovato: C:\_RESTORE\TEMP\PVX.O Infetto da Trojan.Win32.Agent.ABK
07) L'ho inserito in Killbox e l'ho cancellato.
08) Riavviato in modalità provvisoria e riscansionato con virIT, che mi ha trovato: C:\!Killbox\PVX.O Infetto da Trojan.Win32.Agent:ABK *RIMOSSO*; alla fine ho riavviato.
9) dopo il riavvio normale, è ripartito virIT che non ha trovato nulla

Ultime riflessioni:
Ho aperto la cartella Pannello di controllo--->Installazioni Applicazioni e LinkOptimizer è ancora lì e se lo provo a disinstallare, mi invia ad un sito http//notetol.com/uninstall.php (ovviamente non l'ho aperto).
Avevi consigliato di installare la patch; dove trovo quella per WindowsME? e Microsoft non ha sospeso l'assistenza l' 11/07/06?
Mi consigli di rifare una scansione on line?
Alla fine, cosa devo fare con i programmi installati (Panda ActiveScan; Kaspersky; Virit-LT; TrojanHunter; Killbox; HijackThis); mi consigli di tenerne qualcuno (magari quelli free!!!).

Scusami ancora per il fastidio che ti sto arrecando e grazie per la tua disponibilità.

Ultimissima riflessione: Tutte le sere alle 23,00 circa il PC se ne andava in blocco ed Avast mi trovava un virus: C:\WINDOWS\TEMP\kgrp1.exe\(UPX) Win32:Agent-AKW(Trj)
Sono già passate le 23,05 e non è successo niente lo dico in silenzio, non vorrei svegliar can che dorme.
a riciao

[Jeppo59]

Alle 23,20 mentre da un altro forum rilevavo notizie per creare un Avatar (ancora grazie a Gateo) si è bloccato il PC dopo la segnalazione di errore:
VCACHE(01) + 000015A4 Errore: OE: 0028: C004EC40
Ho dovuto resettare due volte; però questa volta non è stata segnalata nessuna presenza di virus, nè da virIT e nè da Avast ed il PC sembra stia andando bene.
Anche prima del blocco stava andando abbastanza veloce, a differenza dei giorni scorsi.
Vorrà dire qualcosa?

[holifay]

Bene, allora incrociamo le dita

Mi dispiace per trojan Hunter, che tra l´altro hai scaricato con fatica perchè non avevi l´ADSL.... comunque è considerato da CastleCops molto valido ed è consigliato averlo a chi ha W98 o WMe. Magari puoi disattivare la scansione in real time se ti rallenta molto il PC.

Per la patch hai ragione: non c´è ppurtroppo per Windows ME. Micorsofft non l´ha rilasciata, però ricordo che ce n´era un a non ufficiale di ESET che funzionava anche per WME, ma adesso non la trovo...

Una soluzione radicale è disabilitare la visione delle immagini wmf sul tuo computer, in fondo non è una limitazione molto grande... io te le consiglio vivamente se vuoi farlo il comando da digitare in una finestra di DOS è
regsvr32 -u shimgvw.dll

Per ripristinare la visualizzazione si può fare con lo stesso comando, senza l´opzione -u.

Mi raccomando di cancellare la cache di Internet Explorer, potrebbe essere ancora presente l´immagine infetta e rischi di infettarti. Ti consiglio anche di usare Firefox invece di IE: quando trova una immagine WMF non la apre in automatico, ma ti chiede cosa vuoi fare.


Per linkoptimizer nell´elenco delle applicazioni, devi semplicemente cancellare quella voce. Era meglio se non tentavi di disinstallarla...
Apri HijackThis, premi Open the misc tools sections >> Uninstall Manager e selezioni dalla lista delle Applicazioni Linkoptimizer. Poi premi Delete Entry

Va più veloce il PC? E´ normale senza linkoptimizer attaccato ai fianchi

[Jeppo59]

Ancora un po' di pazienza e tolgo il disturbo!
Come ti avevo preannunciato all'inizio, non è che sono così evoluto nell'uso del PC!!!
Svuotare la cache, intendi eliminare i temporary internet file?
Per eliminare le immagini wmf da DOS, devo aprire il prompt dei comandi e digitare:
C:\WINDOWS>regsvr32 -u shimgvw.dll
o:
C:>regsvr32 -u shimgvw.dll
oppure?
LinkOptimizer l'ho eliminato con HijackThis.
Cosa devo fare con i programmi installati (Panda ActiveScan; Kaspersky; Virit-LT; TrojanHunter; Killbox; HijackThis); mi consigli di tenerne qualcuno (magari quelli free), od è sufficente Avast?
Scusami ancora

[holifay]

Sì, la cache sono i file temporanei .

Apri il prompt dei comandi e digita semplicemente