Precedente :: Successivo |
Autore |
Messaggio |
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 16 Lug 2006 23:40 Oggetto: |
|
|
Probabilmente il virus ha capito che lo stiamo attaccando e cerca di difendersi!
Infatti appena finito di leggere la tua risposta, è apparsa la schermata blu di errore con:
Nome file VCACHE(01)+000015A4 Errore: OE: 0028: C004EC40
Ho dovuto riavviare; è ripartito virIT che mi ha fatto spedire al supporto tecnico il
File sospetto LITE - Key: 4 Valore: *wW Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE\NGBMFI
Come ho provato a connettermi è uscito l'avviso di Iexplore che ha causato un errore in SHLWAPI.DLL e l'ho chiuso.
Al secondo tentativo: Iexplore ha causato un errore in FLASH8B.OCX e l'ho chiuso.
Subito dopo videata blu Errore: OE: 016F: BFF8E64B
Riavvio, parte virIT che mi fa spedire al supporto tecnico il
File sospetto LITE - Key: 4 Valore: *MH Dato: "C:\PROGRAMMI\FILE COMUNI\SYSTEM\PVX.EXE" MAG
Avast mi avvisa di aver beccato un cavallo di troia in C:\WINDOWS\TEMP\kgrp1.exe\(UPX) trattasi di Win32:Agent-AKW(Trj)
Nuova schermata blu:
Nome file VMM(01)+000097E2 Errore:OD:0028:C000A7E2
e finalmente posso connettermi.
Adesso sto scaricando TrojanHunter.exe (non ho l'ADSL) e ci vuole tempo.
Ho già preparato il file bat.
Per togliere la funzione del ripristino del sistema devo riavviare.
HijackThis lo lancio appena posso chiudere tutte le applicazioni.
In modalità provvisoria so partire.
Ma in DOS come si parte? |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 17 Lug 2006 01:11 Oggetto: |
|
|
Mamma mia il PC non è mai stato così lento.
Ho appena finito di installare TrojanHunter e spero di averlo fatto bene, visto che non conosco l'inglese.
Ho incominciato a scaricare l'aggiornamento che, se non ho capito male, dovrò dezipparlo nella cartella d'installazione in C:\Programmi etc. etc.
Poi spero che sia pronto per essere avviato.
Intanto sto scaricando a 750 byte e mi ci vorranno un paio di ore ancora, dopo mollo e riprendo domani pomeriggio al ritorno da lavoro.
Se nel frattempo hai qualche suggerimento terra terra su come muovermi, posta pure.
E se qualcuno sa come avviare in DOS ben venga.
Se serve l'uso del floppy, credo che non stia funzionando.
A presto. |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 17 Lug 2006 09:00 Oggetto: |
|
|
No, il pacchetto di aggiornamento di TrojanHunter va messo nella cartella RuleFiles che trovi in quella dove hai installato TrojanHunter.
La lentezza è anche uno dei sintomi di questo trojan, purtroppo.
Per riavviare in DOS dovresti premere F8 al boot e tra le opzioni dovrebbe esserci anche la modalità DOS. Se non c´è servirebbe un dischetto di boot, quindi pensavo di linkarti questo, ma dici che il floppy non funziona...
http://www.bootdisk.com/bootdisk.htm
Se per qualche motivo non riesci con il DOS, allora prova con Killbox. Dovrebbe andare anche su windows ME. Scaricalo sul desktop.
Prepara la lista dei file e delle cartelle che vuoi eliminare, tutto quello che ti è stato segnalato dai vari antivirus. Fai riferimento al mio elenco di file (non allo script bat) ed eventualmente aggiungi quello che manca.
Seleziona l´elenco che hai preparato (o il mio) e premi CTRL+C per copiare il contenuto della lista negli appunti.
Avvia Killbox e impostalo così:
- seleziona l´opzione Delete on reboot
- clicca il pulsante All files (diventerà lampeggiante in verde)
Fai riferimento a questa immagine:
Poi dal Menu di Killbox, seleziona Paste from clipboard. Vedrai che tutto quello che hai copiato prima e che Killbox trova verrà aggiunto all´elenco a tendina.
Ora premi il pulsante rosso con la X bianca (Delete File). Se il PC non si riavvia, riavvialo tu
Per il resto fai come sopra: una scansione con TrojanHunter +scansioni di Avast e Antivir dalla modalità provvisoria
Ciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 17 Lug 2006 17:53 Oggetto: |
|
|
Escuse moi, la cartella RuleFiles non c'è.
C'è la cartella SubmitFiles la cartella Tools ed una Update zip(vuota) e tanti file.
Ho provato anche a reinstallarlo e mi è uscito l'avviso di errore:
C.\Programmi\TrojanHunter4.0\THGuard.exe
An error occured while tryng to replace the existing file:
DeleteFile failed; code 5.
Accesso negato(unica frase in italiano)
Click Retry totry again, Ignore to skip this file (not recommended), or Abort to cancel installation.
Ho cliccato su riprova, ma niente; cliccato su ignora ed è andato.
Adesso ho un icona con una lente d'ingrandimento con manico azzurro sulla barra lato Start e due icone con lente d'ingrandimento con manico rosso sul lato orologio, ma della cartella RuleFiles neanche l'ombra.
Abbi pazienza sono abbastanza imbranato, cosa ho fatto che non va?
A proposito questa è la risposta del supporto tecnico di virIT:
Il suo computer è infetto da Trojan.Win32.Rootkit.D (http://www.malwarelist.org/startup/scheda.asp?num=3039) oppure Trojan.Win32.Rootkit.E (http://www.malwarelist.org/startup/scheda.asp?num=3074)
Le consigliamo di leggere le NEWS della TG Soft: http://www.viritpro.info/news/malware_e_hoax_NEWS.asp
TG Soft
Lo sapevamo già
Questo invece è quello che ha trovato oggi virIT
I file temp sospetti sono spariti tutti.
C:\WINDOWS\SYSTEM\cp_2012a.nls Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *
C:\WINDOWS\hmikp1.dll Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 29282.
Files Totali: 29282.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
Per il momento ciao. |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 17 Lug 2006 23:50 Oggetto: |
|
|
stai creando tutte le varianti di quel trojan... tra un po' esaurirà i nomi a sua disposizione
Credo che quella cartella la devi creare dentro a quella di trojanhunter e lì dentro ci metti i file estratti dall'archivio. Poi riavvii trojanhunter.
Probabilmente hai cercato di installarlo una seconda volta senza prima disinstallarlo e lui non ha gradito
Comunque come sopra, prendi nota di tutti i file infetti e poi prova a cancellarli con uno script bat o con killbox come ti ho mostrato sopra
Li riassumo qui
Citazione: | C:\WINDOWS\SYSTEM\lgaa.dll
C:\windows\hmikp1.dll
C:\windows\system\ActiveScan\pskavs.dll
C:\WINDOWS\Temporary Internet Files\Content.IE5
C:\WINDOWS\TEMP
C:\PROGRAMMI\File Comuni\SYSTEM\PVX.EXE
C:\RESTORE
C:\WINDOWS\SYSTEM\cp_2012a.nls |
Ricordati di disabilitare il ripristino di sistema
Ciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 18 Lug 2006 22:08 Oggetto: |
|
|
Riepilogo le operazioni svolte.
01) Avviato HijackThis--->Fix Xhecked--->R3-Default URL SearchHook is missing--->OK
02) Il ripristino di configurazione l'avevo già tolto. (lo posso rimettere?)
03) In DOS WindowsME non parte, ci sono le opzioni: Normale; Con file registro (\BootLog.Txt); Modalità provvisoria; Conferma passo - passo.
Quindi ho installato Killbox sul desktop, ho copiato dentro i file che mi avevi segnato, ho cancellato e si è riavviato.
04) Ho riavviato in modalità provvisoria ed ho avviato la scansione con TrojanHunter sia Full che Quick per non sbagliare, dopo aver settato tutte le caselle; non mi ha dato nessun esito, nessun log, niente (senza soddisfazione! )
05) Sempre in modalità provvisoria ho effettuato la scansione approfondita con Avast (che non si è fermato e me l'ha fatta due volte e se non lo fermavo io..... è durata 4 ore) e non ha trovato niente.
06) Sempre in modalità provvisoria ho avviato virIT (che è bello a vedersi ed è comprensibile ) e mi ha trovato: C:\_RESTORE\TEMP\PVX.O Infetto da Trojan.Win32.Agent.ABK
07) L'ho inserito in Killbox e l'ho cancellato.
08) Riavviato in modalità provvisoria e riscansionato con virIT, che mi ha trovato: C:\!Killbox\PVX.O Infetto da Trojan.Win32.Agent:ABK *RIMOSSO*; alla fine ho riavviato.
9) dopo il riavvio normale, è ripartito virIT che non ha trovato nulla
Ultime riflessioni:
Ho aperto la cartella Pannello di controllo--->Installazioni Applicazioni e LinkOptimizer è ancora lì e se lo provo a disinstallare, mi invia ad un sito http//notetol.com/uninstall.php (ovviamente non l'ho aperto).
Avevi consigliato di installare la patch; dove trovo quella per WindowsME? e Microsoft non ha sospeso l'assistenza l' 11/07/06?
Mi consigli di rifare una scansione on line?
Alla fine, cosa devo fare con i programmi installati (Panda ActiveScan; Kaspersky; Virit-LT; TrojanHunter; Killbox; HijackThis); mi consigli di tenerne qualcuno (magari quelli free!!!).
Scusami ancora per il fastidio che ti sto arrecando e grazie per la tua disponibilità.
Ultimissima riflessione: Tutte le sere alle 23,00 circa il PC se ne andava in blocco ed Avast mi trovava un virus: C:\WINDOWS\TEMP\kgrp1.exe\(UPX) Win32:Agent-AKW(Trj)
Sono già passate le 23,05 e non è successo niente lo dico in silenzio, non vorrei svegliar can che dorme.
a riciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 18 Lug 2006 23:37 Oggetto: |
|
|
Alle 23,20 mentre da un altro forum rilevavo notizie per creare un Avatar (ancora grazie a Gateo) si è bloccato il PC dopo la segnalazione di errore:
VCACHE(01) + 000015A4 Errore: OE: 0028: C004EC40
Ho dovuto resettare due volte; però questa volta non è stata segnalata nessuna presenza di virus, nè da virIT e nè da Avast ed il PC sembra stia andando bene.
Anche prima del blocco stava andando abbastanza veloce, a differenza dei giorni scorsi.
Vorrà dire qualcosa? |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 19 Lug 2006 19:45 Oggetto: |
|
|
Bene, allora incrociamo le dita
Mi dispiace per trojan Hunter, che tra l´altro hai scaricato con fatica perchè non avevi l´ADSL.... comunque è considerato da CastleCops molto valido ed è consigliato averlo a chi ha W98 o WMe. Magari puoi disattivare la scansione in real time se ti rallenta molto il PC.
Per la patch hai ragione: non c´è ppurtroppo per Windows ME. Micorsofft non l´ha rilasciata, però ricordo che ce n´era un a non ufficiale di ESET che funzionava anche per WME, ma adesso non la trovo...
Una soluzione radicale è disabilitare la visione delle immagini wmf sul tuo computer, in fondo non è una limitazione molto grande... io te le consiglio vivamente se vuoi farlo il comando da digitare in una finestra di DOS è
regsvr32 -u shimgvw.dll
Per ripristinare la visualizzazione si può fare con lo stesso comando, senza l´opzione -u.
Mi raccomando di cancellare la cache di Internet Explorer, potrebbe essere ancora presente l´immagine infetta e rischi di infettarti. Ti consiglio anche di usare Firefox invece di IE: quando trova una immagine WMF non la apre in automatico, ma ti chiede cosa vuoi fare.
Per linkoptimizer nell´elenco delle applicazioni, devi semplicemente cancellare quella voce. Era meglio se non tentavi di disinstallarla...
Apri HijackThis, premi Open the misc tools sections >> Uninstall Manager e selezioni dalla lista delle Applicazioni Linkoptimizer. Poi premi Delete Entry
Va più veloce il PC? E´ normale senza linkoptimizer attaccato ai fianchi |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 19 Lug 2006 22:03 Oggetto: |
|
|
Ancora un po' di pazienza e tolgo il disturbo!
Come ti avevo preannunciato all'inizio, non è che sono così evoluto nell'uso del PC!!!
Svuotare la cache, intendi eliminare i temporary internet file?
Per eliminare le immagini wmf da DOS, devo aprire il prompt dei comandi e digitare:
C:\WINDOWS>regsvr32 -u shimgvw.dll
o:
C:>regsvr32 -u shimgvw.dll
oppure?
LinkOptimizer l'ho eliminato con HijackThis.
Cosa devo fare con i programmi installati (Panda ActiveScan; Kaspersky; Virit-LT; TrojanHunter; Killbox; HijackThis); mi consigli di tenerne qualcuno (magari quelli free), od è sufficente Avast?
Scusami ancora |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 19 Lug 2006 22:17 Oggetto: |
|
|
Sì, la cache sono i file temporanei .
Apri il prompt dei comandi e digita semplicemente
Citazione: | regsvr32 -u shimgvw.dll |
Dimmi che cosa ti risponde.
Disinstalla pure tutto e tieni solo Avast. Non mi ricordo se avevi un firewall. Se non ce l´hai mi raccomando: installane uno.
PS: nessun disturbo |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 19 Lug 2006 22:45 Oggetto: |
|
|
Quando apro il prompt del DOS, esce già la scritta C:\WINDOWS
Gli ho digitato regsvr32 -u shimgvw.dll e mi da comando o nome file non valido.
Qualche consiglio per il firewall ? |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 20 Lug 2006 08:20 Oggetto: |
|
|
Jeppo59 ha scritto: | Quando apro il prompt del DOS, esce già la scritta C:\WINDOWS
Gli ho digitato regsvr32 -u shimgvw.dll e mi da comando o nome file non valido. | Che sistema operativo hai? aspe' che riguardo qualche tuo messaggio vecchio ... WInME, probabilmente è per quello. (il 32 in fondo al nome mi fa pensare che sia solo per NT e successivi).
Non conosco WinME , prova a controllare se in c:\windows\system esista un file eseguibile col nome tipo regserv.exe (se non è lì, prova in c:\windows + subdirectory).
Se c'è, potrebbe essere quello. Per prima cosa, lancialo come regserv /? e guarda se ti dà delel informaizoni utili (in particolare guarda se accetta l'opzione -u per deregistrare una dll). |
|
Top |
|
|
Gateo Dio maturo
Registrato: 17/11/03 18:16 Messaggi: 12379
|
Inviato: 20 Lug 2006 08:28 Oggetto: |
|
|
Jeppo59 ha scritto: | Quando apro il prompt del DOS, esce già la scritta C:\WINDOWS
Gli ho digitato regsvr32 -u shimgvw.dll e mi da comando o nome file non valido. | A me risulta che il comando sia questo Codice: | regsvr32 /u shimgvw.dll | , il problema sara' quello. |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 20 Lug 2006 08:29 Oggetto: |
|
|
In ME si trova dentro la cartella System
Quando sei in C:>windows, digita cd system per portarti dentro questa cartella, poi usa il comando
regsvr32 /u shimgvw.dll
come giustamente notava Chemicalbit (EDIT: e anche Gateo ), la sintassi giusta è quella, non con il trattino come ti ho scritto ieri.
Per i firewall: in questo topic sono stati raccolti quelli free, ma non tutti girano su ME. Zone Alarm ad esempio non funziona più. Io ho Oupost free che è dato anche per Windows ME.
Ciao |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 20 Lug 2006 10:10 Oggetto: |
|
|
Grazie anche a Chemicalbit e Gateo per il loro intervento
Ho fatto come mi avete ilustrato e la risposta è:
DllUnregisterServer in shimgvw.dll succeded
Siamo a posto?
Un grazie particolare a Holifay e la sua immensa pazienza. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 20 Lug 2006 17:32 Oggetto: |
|
|
Gateo ha scritto: | A me risulta che il comando sia questo Codice: | regsvr32 /u shimgvw.dll | , il problema sara' quello. | regsvr /? da un help in cui la sintassi è col "-" (anche se problabimlemtne funziona in entrambi i modi) ).Inoltre "comando o nome di file errato" vuol dire chen on gli trova proprio l'eseguibile. |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 21 Lug 2006 01:02 Oggetto: |
|
|
Cara Holifay, abbiamo fatto 30, facciamo 31!!!
Ho installato Oupost free che, credo di aver capito, bisogna personalizzare.
Qualche consiglio, tenendo sempre presente che oltre a non essere granché capace col PC, non conosco l'inglese!
Ho già messo il segno di spunta su Allow all...etc. per la connessione di Avast, mentre per la richiesta di aggiornamento al sito Outpost, ed alla richiesta del collegamento a Internet, ho lasciato come stava e mi sono fermato prima di fare danni, a meno che non ne abbia già fatti!
Non so se è meglio spostare la discussione su qualche altro forum!
Ciao |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 21 Lug 2006 12:41 Oggetto: |
|
|
Io avevo provato ad aggiornalrlo, ma installava la versione trial che scadeva dopo 30 giorni, quindi ho tenuto la base.
Outpost ti propone già alcune regole predefinite per l´accesso ad internet dei programmi che ne fanno richiesta. Di solito va bene così come ti viene proposto.
Nega l´accesso a tutte le applicazioni che non conosci. Se avrai problemi ad usarne qualcuna potrai sempre revocare le restrizioni
Qui c´è una guida: http://www.megalab.it/articoli.php?id=770 |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 22 Lug 2006 00:09 Oggetto: |
|
|
Sei semplicemente meravigliosa.
Ma quante ne sai!!!
Ancora grazie |
|
Top |
|
|
serenere Comune mortale
Registrato: 21/08/06 19:01 Messaggi: 4
|
Inviato: 21 Ago 2006 19:15 Oggetto: kernel32 e ciò ke ne consegue... |
|
|
ciao ragazzi! scusate se mi intrometto in qs forum ke mi sembra moolto professional...capisco forse un decimo delle cose ke scrivete e vi kiedo già da subito di xdonare la mia ignoranza in materia...ma ho un bisogno disperato del vs aiuto!!
mi si è totalmente impallato il portatile e immettendo su google le parole chiave del disastro ( errore di iexplore in GDI.EXE e KERNEL32 ha causato un errore etc. etc. ) sono balzata su qs. forum..come detto in precedenza la mia ignoranza in fatto di computer vi farà impallidire ma vorrei cercare di ovviare alla tragedia e salvare il mio portatile dall' autodistruzione. so ke gli elementi ke vi ho fornito nn soni molti ma a quanto ho intuito si tratta di un virus? spero ke mi aiuterete GRAZIE |
|
Top |
|
|
|