Olimpo Informatico

[Jeppo59]

Probabilmente il virus ha capito che lo stiamo attaccando e cerca di difendersi!
Infatti appena finito di leggere la tua risposta, è apparsa la schermata blu di errore con:
Nome file VCACHE(01)+000015A4 Errore: OE: 0028: C004EC40
Ho dovuto riavviare; è ripartito virIT che mi ha fatto spedire al supporto tecnico il
File sospetto LITE - Key: 4 Valore: *wW Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE\NGBMFI
Come ho provato a connettermi è uscito l'avviso di Iexplore che ha causato un errore in SHLWAPI.DLL e l'ho chiuso.
Al secondo tentativo: Iexplore ha causato un errore in FLASH8B.OCX e l'ho chiuso.
Subito dopo videata blu Errore: OE: 016F: BFF8E64B
Riavvio, parte virIT che mi fa spedire al supporto tecnico il
File sospetto LITE - Key: 4 Valore: *MH Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" MAG
Avast mi avvisa di aver beccato un cavallo di troia in C:\WINDOWS\TEMP\kgrp1.exe\(UPX) trattasi di Win32:Agent-AKW(Trj)
Nuova schermata blu:
Nome file VMM(01)+000097E2 Errore:OD:0028:C000A7E2
e finalmente posso connettermi.
Adesso sto scaricando TrojanHunter.exe (non ho l'ADSL) e ci vuole tempo.
Ho già preparato il file bat.
Per togliere la funzione del ripristino del sistema devo riavviare.
HijackThis lo lancio appena posso chiudere tutte le applicazioni.
In modalità provvisoria so partire.
Ma in DOS come si parte?

[Jeppo59]

Mamma mia il PC non è mai stato così lento.
Ho appena finito di installare TrojanHunter e spero di averlo fatto bene, visto che non conosco l'inglese.
Ho incominciato a scaricare l'aggiornamento che, se non ho capito male, dovrò dezipparlo nella cartella d'installazione in C:\Programmi etc. etc.
Poi spero che sia pronto per essere avviato.
Intanto sto scaricando a 750 byte e mi ci vorranno un paio di ore ancora, dopo mollo e riprendo domani pomeriggio al ritorno da lavoro.
Se nel frattempo hai qualche suggerimento terra terra su come muovermi, posta pure.
E se qualcuno sa come avviare in DOS ben venga.
Se serve l'uso del floppy, credo che non stia funzionando.
A presto.

[holifay]

No, il pacchetto di aggiornamento di TrojanHunter va messo nella cartella RuleFiles che trovi in quella dove hai installato TrojanHunter.

La lentezza è anche uno dei sintomi di questo trojan, purtroppo.

Per riavviare in DOS dovresti premere F8 al boot e tra le opzioni dovrebbe esserci anche la modalità DOS. Se non c´è servirebbe un dischetto di boot, quindi pensavo di linkarti questo, ma dici che il floppy non funziona...
http://www.bootdisk.com/bootdisk.htm


Se per qualche motivo non riesci con il DOS, allora prova con Killbox. Dovrebbe andare anche su windows ME. Scaricalo sul desktop.

Prepara la lista dei file e delle cartelle che vuoi eliminare, tutto quello che ti è stato segnalato dai vari antivirus. Fai riferimento al mio elenco di file (non allo script bat) ed eventualmente aggiungi quello che manca.

Seleziona l´elenco che hai preparato (o il mio) e premi CTRL+C per copiare il contenuto della lista negli appunti.

Avvia Killbox e impostalo così:
- seleziona l´opzione Delete on reboot
- clicca il pulsante All files (diventerà lampeggiante in verde)

Fai riferimento a questa immagine:



Poi dal Menu di Killbox, seleziona Paste from clipboard. Vedrai che tutto quello che hai copiato prima e che Killbox trova verrà aggiunto all´elenco a tendina.

Ora premi il pulsante rosso con la X bianca (Delete File). Se il PC non si riavvia, riavvialo tu

Per il resto fai come sopra: una scansione con TrojanHunter +scansioni di Avast e Antivir dalla modalità provvisoria

Ciao

[Jeppo59]

Escuse moi, la cartella RuleFiles non c'è.
C'è la cartella SubmitFiles la cartella Tools ed una Update zip(vuota) e tanti file.
Ho provato anche a reinstallarlo e mi è uscito l'avviso di errore:
C.\Programmi\TrojanHunter4.0\THGuard.exe
An error occured while tryng to replace the existing file:
DeleteFile failed; code 5.
Accesso negato(unica frase in italiano)
Click Retry totry again, Ignore to skip this file (not recommended), or Abort to cancel installation.
Ho cliccato su riprova, ma niente; cliccato su ignora ed è andato.
Adesso ho un icona con una lente d'ingrandimento con manico azzurro sulla barra lato Start e due icone con lente d'ingrandimento con manico rosso sul lato orologio, ma della cartella RuleFiles neanche l'ombra.
Abbi pazienza sono abbastanza imbranato, cosa ho fatto che non va?
A proposito questa è la risposta del supporto tecnico di virIT:
Il suo computer è infetto da Trojan.Win32.Rootkit.D (http://www.malwarelist.org/startup/scheda.asp?num=3039) oppure Trojan.Win32.Rootkit.E (http://www.malwarelist.org/startup/scheda.asp?num=3074)

Le consigliamo di leggere le NEWS della TG Soft: http://www.viritpro.info/news/malware_e_hoax_NEWS.asp


TG Soft
Lo sapevamo già

Questo invece è quello che ha trovato oggi virIT
I file temp sospetti sono spariti tutti.

C:\WINDOWS\SYSTEM\cp_2012a.nls Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *
C:\WINDOWS\hmikp1.dll Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft

Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 29282.
Files Totali: 29282.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
Per il momento ciao.

[holifay]

stai creando tutte le varianti di quel trojan... tra un po' esaurirà i nomi a sua disposizione

Credo che quella cartella la devi creare dentro a quella di trojanhunter e lì dentro ci metti i file estratti dall'archivio. Poi riavvii trojanhunter.

Probabilmente hai cercato di installarlo una seconda volta senza prima disinstallarlo e lui non ha gradito

Comunque come sopra, prendi nota di tutti i file infetti e poi prova a cancellarli con uno script bat o con killbox come ti ho mostrato sopra

Li riassumo qui

[Jeppo59]

Riepilogo le operazioni svolte.
01) Avviato HijackThis--->Fix Xhecked--->R3-Default URL SearchHook is missing--->OK
02) Il ripristino di configurazione l'avevo già tolto. (lo posso rimettere?)
03) In DOS WindowsME non parte, ci sono le opzioni: Normale; Con file registro (\BootLog.Txt); Modalità provvisoria; Conferma passo - passo.
Quindi ho installato Killbox sul desktop, ho copiato dentro i file che mi avevi segnato, ho cancellato e si è riavviato.
04) Ho riavviato in modalità provvisoria ed ho avviato la scansione con TrojanHunter sia Full che Quick per non sbagliare, dopo aver settato tutte le caselle; non mi ha dato nessun esito, nessun log, niente (senza soddisfazione! )
05) Sempre in modalità provvisoria ho effettuato la scansione approfondita con Avast (che non si è fermato e me l'ha fatta due volte e se non lo fermavo io..... è durata 4 ore) e non ha trovato niente.
06) Sempre in modalità provvisoria ho avviato virIT (che è bello a vedersi ed è comprensibile ) e mi ha trovato: C:\_RESTORE\TEMP\PVX.O Infetto da Trojan.Win32.Agent.ABK
07) L'ho inserito in Killbox e l'ho cancellato.
08) Riavviato in modalità provvisoria e riscansionato con virIT, che mi ha trovato: C:\!Killbox\PVX.O Infetto da Trojan.Win32.Agent:ABK *RIMOSSO*; alla fine ho riavviato.
9) dopo il riavvio normale, è ripartito virIT che non ha trovato nulla

Ultime riflessioni:
Ho aperto la cartella Pannello di controllo--->Installazioni Applicazioni e LinkOptimizer è ancora lì e se lo provo a disinstallare, mi invia ad un sito http//notetol.com/uninstall.php (ovviamente non l'ho aperto).
Avevi consigliato di installare la patch; dove trovo quella per WindowsME? e Microsoft non ha sospeso l'assistenza l' 11/07/06?
Mi consigli di rifare una scansione on line?
Alla fine, cosa devo fare con i programmi installati (Panda ActiveScan; Kaspersky; Virit-LT; TrojanHunter; Killbox; HijackThis); mi consigli di tenerne qualcuno (magari quelli free!!!).

Scusami ancora per il fastidio che ti sto arrecando e grazie per la tua disponibilità.

Ultimissima riflessione: Tutte le sere alle 23,00 circa il PC se ne andava in blocco ed Avast mi trovava un virus: C:\WINDOWS\TEMP\kgrp1.exe\(UPX) Win32:Agent-AKW(Trj)
Sono già passate le 23,05 e non è successo niente lo dico in silenzio, non vorrei svegliar can che dorme.
a riciao

[Jeppo59]

Alle 23,20 mentre da un altro forum rilevavo notizie per creare un Avatar (ancora grazie a Gateo) si è bloccato il PC dopo la segnalazione di errore:
VCACHE(01) + 000015A4 Errore: OE: 0028: C004EC40
Ho dovuto resettare due volte; però questa volta non è stata segnalata nessuna presenza di virus, nè da virIT e nè da Avast ed il PC sembra stia andando bene.
Anche prima del blocco stava andando abbastanza veloce, a differenza dei giorni scorsi.
Vorrà dire qualcosa?

[holifay]

Bene, allora incrociamo le dita

Mi dispiace per trojan Hunter, che tra l´altro hai scaricato con fatica perchè non avevi l´ADSL.... comunque è considerato da CastleCops molto valido ed è consigliato averlo a chi ha W98 o WMe. Magari puoi disattivare la scansione in real time se ti rallenta molto il PC.

Per la patch hai ragione: non c´è ppurtroppo per Windows ME. Micorsofft non l´ha rilasciata, però ricordo che ce n´era un a non ufficiale di ESET che funzionava anche per WME, ma adesso non la trovo...

Una soluzione radicale è disabilitare la visione delle immagini wmf sul tuo computer, in fondo non è una limitazione molto grande... io te le consiglio vivamente se vuoi farlo il comando da digitare in una finestra di DOS è
regsvr32 -u shimgvw.dll

Per ripristinare la visualizzazione si può fare con lo stesso comando, senza l´opzione -u.

Mi raccomando di cancellare la cache di Internet Explorer, potrebbe essere ancora presente l´immagine infetta e rischi di infettarti. Ti consiglio anche di usare Firefox invece di IE: quando trova una immagine WMF non la apre in automatico, ma ti chiede cosa vuoi fare.


Per linkoptimizer nell´elenco delle applicazioni, devi semplicemente cancellare quella voce. Era meglio se non tentavi di disinstallarla...
Apri HijackThis, premi Open the misc tools sections >> Uninstall Manager e selezioni dalla lista delle Applicazioni Linkoptimizer. Poi premi Delete Entry

Va più veloce il PC? E´ normale senza linkoptimizer attaccato ai fianchi

[Jeppo59]

Ancora un po' di pazienza e tolgo il disturbo!
Come ti avevo preannunciato all'inizio, non è che sono così evoluto nell'uso del PC!!!
Svuotare la cache, intendi eliminare i temporary internet file?
Per eliminare le immagini wmf da DOS, devo aprire il prompt dei comandi e digitare:
C:\WINDOWS>regsvr32 -u shimgvw.dll
o:
C:>regsvr32 -u shimgvw.dll
oppure?
LinkOptimizer l'ho eliminato con HijackThis.
Cosa devo fare con i programmi installati (Panda ActiveScan; Kaspersky; Virit-LT; TrojanHunter; Killbox; HijackThis); mi consigli di tenerne qualcuno (magari quelli free), od è sufficente Avast?
Scusami ancora

[holifay]

Sì, la cache sono i file temporanei .

Apri il prompt dei comandi e digita semplicemente

[Jeppo59]

Quando apro il prompt del DOS, esce già la scritta C:\WINDOWS
Gli ho digitato regsvr32 -u shimgvw.dll e mi da comando o nome file non valido.
Qualche consiglio per il firewall ?

[chemicalbit]

[Gateo]

[holifay]

In ME si trova dentro la cartella System

Quando sei in C:>windows, digita cd system per portarti dentro questa cartella, poi usa il comando

regsvr32 /u shimgvw.dll


come giustamente notava Chemicalbit (EDIT: e anche Gateo ), la sintassi giusta è quella, non con il trattino come ti ho scritto ieri.


Per i firewall: in questo topic sono stati raccolti quelli free, ma non tutti girano su ME. Zone Alarm ad esempio non funziona più. Io ho Oupost free che è dato anche per Windows ME.

Ciao

[Jeppo59]

Grazie anche a Chemicalbit e Gateo per il loro intervento
Ho fatto come mi avete ilustrato e la risposta è:
DllUnregisterServer in shimgvw.dll succeded
Siamo a posto?
Un grazie particolare a Holifay e la sua immensa pazienza.

[chemicalbit]

[Jeppo59]

Cara Holifay, abbiamo fatto 30, facciamo 31!!!
Ho installato Oupost free che, credo di aver capito, bisogna personalizzare.
Qualche consiglio, tenendo sempre presente che oltre a non essere granché capace col PC, non conosco l'inglese!
Ho già messo il segno di spunta su Allow all...etc. per la connessione di Avast, mentre per la richiesta di aggiornamento al sito Outpost, ed alla richiesta del collegamento a Internet, ho lasciato come stava e mi sono fermato prima di fare danni, a meno che non ne abbia già fatti!
Non so se è meglio spostare la discussione su qualche altro forum!
Ciao

[holifay]

Io avevo provato ad aggiornalrlo, ma installava la versione trial che scadeva dopo 30 giorni, quindi ho tenuto la base.

Outpost ti propone già alcune regole predefinite per l´accesso ad internet dei programmi che ne fanno richiesta. Di solito va bene così come ti viene proposto.

Nega l´accesso a tutte le applicazioni che non conosci. Se avrai problemi ad usarne qualcuna potrai sempre revocare le restrizioni

Qui c´è una guida: http://www.megalab.it/articoli.php?id=770

[Jeppo59]

Sei semplicemente meravigliosa.
Ma quante ne sai!!!
Ancora grazie

[serenere]

ciao ragazzi! scusate se mi intrometto in qs forum ke mi sembra moolto professional...capisco forse un decimo delle cose ke scrivete e vi kiedo già da subito di xdonare la mia ignoranza in materia...ma ho un bisogno disperato del vs aiuto!!
mi si è totalmente impallato il portatile e immettendo su google le parole chiave del disastro ( errore di iexplore in GDI.EXE e KERNEL32 ha causato un errore etc. etc. ) sono balzata su qs. forum..come detto in precedenza la mia ignoranza in fatto di computer vi farà impallidire ma vorrei cercare di ovviare alla tragedia e salvare il mio portatile dall' autodistruzione. so ke gli elementi ke vi ho fornito nn soni molti ma a quanto ho intuito si tratta di un virus? spero ke mi aiuterete GRAZIE