Vai al contenuto

  • Connettiti con Facebook Log In with Google      Connettiti   
  • Registrati

Foto
- - - - -

Strumento Rimozione Malware Nov2006 Kb890830 Xp


  • Per cortesia connettiti per rispondere
22 risposte a questa discussione

#16 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 08 dicembre 2006 - 03:57

ciao .. non ho capito bene...

comuque...
posta un log di hijackthis così diamo un occhiata...

un'altro buon prodotto è avg antipsyware (ex ewido)...
però è shareware

#17 gtviola

gtviola

    Member

  • Members
  • StellettaStelletta
  • 41 messaggi

Inviato 09 dicembre 2006 - 10:41

ecco il log di hijackthis.
Ho notato che c'è ancora quell'utente dal nome innominabile sul mio pc. L'ho eliminato manualmente ma non sono sicuro se tutto funziona regolarmente.
Logfile of HijackThis v1.99.1
Scan saved at 10.39.04, on 09/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Prevx1\PXConsole.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Prevx1\PXAgent.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Source Engine\OSE.EXE
C:\Documents and Settings\AMD\Desktop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.c...://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn...st/srchasst.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.c...://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {434C0FA7-6453-658A-01DB-6339A48B81B4} - (no file)
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programmi\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {E394B190-8B5A-4AB3-9739-08D465E017CC} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.bancaintesa.it
O15 - Trusted Zone: privati.intesabc.it
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.syma...n/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B15B3BA7-430A-4CAB-89ED-FBC4AA372C94}: NameServer = 85.37.17.51 85.38.28.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe (file missing)

dimmi tu il da farsi

#18 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 09 dicembre 2006 - 03:43

Ciao

sinceramente non vedo nulla di anomalo

per l'utente farlocco... hai eliminato anche la cartella relativa a questo utente in Document and settings?

per il log puoi togliere

O2 - BHO: (no name) - {434C0FA7-6453-658A-01DB-6339A48B81B4} - (no file)

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)

non hai più norton no? strano che siano avenzate tute queste voci... hai avuto problemi a rimuoverlo?

se vuoi puoi fare qualche analisi online con antivirus e antispyware
(per esempio Trend Micro)


se non ha iproblemai dovresti stare tranquillo

#19 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 11 dicembre 2006 - 03:12

Ciao dalla guida
http://www.p2pforum....ad.php?t=115737



1-Andate su Start--digitate services.msc--invio, tasto dx sul Servizio associato all'utente dal nome strano--proprietà--annotate il percorso del file eseguibile, il nome del servizio e dell'utente associato (tio "NetGdR", il percorso dell'eseguibile
C.\programmi\File comuni\system\GRJ.exe e RofJQQ l'utente)

2-Avviate Pserv, individuate il servizio, ed eliminatelo con il tasto dx, opzione Delete.

Pserv - http://p-nand-q.com/e/pserv.html

3-Avviate AgVPFix e indicategli come percorso quello dell’eseguibile del servizio
disabilitato; lì troverete più files di colore verde: sono l'eseguibile del servizio e i file di scorta se questo viene in qualche modo corrotto, quindi, uno ad uno eliminateli tutti. Con questa operazione dovrebbe essere automaticamente eliminata anche la cartella dell'utente nascosto, ma per sicurezza controllate in Document and Setting, ed eventualmente cancellatela

AgVPFix - http://www.nod32.it/...l?tool=Agent.VP


4-Lanciate Gmer, cliccate sulla casella Rootkit e lanciate lo scan: il file nascosto del
Rootkit, se ancora presente, sarà segnalato in rosso con la scritta --->ROOTKIT, oppure apparirà nelle ultime righe tra due di questi delimitatori: ---- EOF - GMER 1.0.10 ---- 7- (Questo passaggio potrebbe probabilmente essere saltato: ma a me sapere di avere avanzi di schifezze in giro dà fastidio: in fondo bastano 5 minuti). Avviate RegSeeker ed utilizzando la funzione cerca files inutili, e selezionando tutte le HK inserite nella stringa di ricerca, (uno per volta), il nome utente, il nome del servizio, e quello dei file fixati con HJT, selezionando e cancellando quanto trovate (attenzione che se i nomi che cercate sono molto corti potreste trovare voci che li contengono ma con i quali non hanno niente a che fare: se si cerca l'utente Epo non si deve cancellare "Reposity", ma solo quanto
troviamo come epo, inteso come parola a sè)

Gmer - http://www.gmer.net/index.php

Regseeker - http://www.hoverdesk...n/RegSeeker.zip


5-Cercate anche in C:\Programmi o C:\Program Files se c'è la cartella del LinkOptimizer e cancellatela: non cercate mai di disinstallare il malware da Installazione Applicazioni: se lo trovate lì (ma potrebbe utilizzare altri nomi: vedere lista a fondo guida), usate MyUninstaller per rimuoverlo, utilizzando la funzione Delete Entry, e successivamente eliminate la cartella se esistente

Myunistaller - http://www.nirsoft.n...nst_italian.zip

6-Adesso dobbiamo cercare il file invisibile: aprite Gmer e lanciate lo scan dal Tab
Rootkit, e fate un copia/incolla nel Blocco Note dei percorsi dei files che trova nascosti (tipo C:\Windows\beedg1.dll e C:\Windows\System32\com7.yyt)

7-Aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di
ingrandimento: nella finestra di input fate un copia/incolla di queste righe:

Registry values to replace whit dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\windows\beedg1.exe
C:\Windows\System32\com7.yyt

sostituendo i percorsi con quelli che avete annotato prima dalla scansione con
Gmer. Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Controllate dal log che appare al riavvio che tutto lo script sia andato a buon fine, riaprite AgVPFix e cancellate i files all’interno della cartella C:\Avenger, che sono i backup dei files invisibili.

Avenger - http://swandog46.gee...com/avenger.zip

8-Andate su Start--Esegui--digitate control userpasswords2-OK e dalla lista verificate che non sia più presente l'utente random: se c'è, naturalmente, eliminatelo

9-Infine riavviate HijackThis, perchè è possibile che il/i files invisibili compaiano adesso alla voce O20 del log: fixateli normalmente e riavviate, perchè di fatto Gmer e RootkitReleaver non li troveranno più

#20 wellwork

wellwork

    Newbie

  • Members
  • Stelletta
  • 4 messaggi

Inviato 12 novembre 2008 - 06:29

Ciao!
Quale programma Clone Remover mi aiuterа eliminare di file duplicati?
Approccio sarа clone remover? :rolleyes:

#21 wellwork

wellwork

    Newbie

  • Members
  • Stelletta
  • 4 messaggi

Inviato 23 novembre 2008 - 12:39

!!!!!!!!!!!!!!!!!!!!!!!!

#22 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 30 novembre 2008 - 03:06

Ciao non abbiamo capito la tua domanda

#23 wellwork

wellwork

    Newbie

  • Members
  • Stelletta
  • 4 messaggi

Inviato 22 dicembre 2008 - 06:27

Ciao!
Posso dirvi circa programma Clone Remover per eliminare di file duplicati. <_<
I suggeriamo di utilizzare questo.




1 utente(i) stanno leggendo questa discussione

0 utenti, 1 ospiti, 0 utenti anonimi