prova a rinominare l'eseguibile di hijackthis e anche la cartella in cui l'ha messo con un nome di fantasia
prova a rinominare l'eseguibile di hijackthis e anche la cartella in cui l'ha messo con un nome di fantasia
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
dalle informazioni lette credo si tratti di una variante del trojan Small.
Il trojan inibisce la visualizzazione (almeno questa variante) di siti che trattano la sicurezza informatica così come i tools comunemente usati.
Anche rinominandoli purtroppo verrebbero terminati.
La carattteristica di questo trojan\downloader è quella di collocare nella %WinDir% un file dove il nome dello stesso è composto da due stringhe, la prima solitamente ha come nome un prodotto conosciuto tipo Norton, McAfee, Corel, Siemens.... la seconda parte del nome che compone il file può essere uno simile a sensor, speed, tool... e la modifica della chiave HKLM\..\Winlogon\Userinit
Il file è solitamente visibile dalla Task (CTRL+ALT+CANC) fra i processi.
Ora il problema è individuare che nome il trojan ha dato all'eseguibile.
Per farlo basta, da Start>Esegui> scrivere regedit e dare l'OK
portarsi, aiutandosi con i +, in
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
aprire la cartellina gialla Winlogon e dal pannello di dx vedere quale valore è presente al fianco del dato Userinit.
Il valore corretto è
C:\%WinDir%\system32\userinit.exe,
Nota
%WinDir% e la directory di sistema a seconda del proprio sistema operativo:
se usate XP sarà Windows
se usate Win2000 sarà WINNT
Nota 2
C:\%WinDir%\system32\userinit.exe, in questo valore dev'essere presente la , (virgola)
In conclusione se avete, sotto la colonna Dati ed in Userinit, un valore simile a questo
C:\%WinDir%\system32\userinit.exe, C:\%WinDir%\fujitsuhelper.exe,
allora dovrete procedere come segue:
1. aprite la Task e terminate il processo collegato al trojan
2. andate nel registro di sistema e modificate il valore presente in Userinit fino ad ottenere questa stringa
C:\%WinDir%\system32\userinit.exe,
(ricordo ancora che al posto di %WinDir% dovrete mettere la corretta directory a seconda del vostro sistema operativo)
3. usate The Avenger per eliminare il file
http://swandog46.geekstogo.com/avenger.zip
seguendo questa procedura
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento
Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice
Clicca sul pulsante DoneFiles to delete:
C:\%WinDir%\nome dell'eseguibile da eliminare compreso d'estensione
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
ora potrete usare sia HijackThis che altri tool, che collegarvi ai siti che prima vi venivano chiusi.
grazie per la dettagliata guida! Il file in questione è norton-pad.exe..adesso provo a fare come dici...
Allora ho modificato la stringa userinit eliminando il file norton-pad.exe. Adesso che apro avanger e gli scrivo il file giustamente non me lo trova dato che l'ho sia chiuso dal task e sia dal regedit. Però in compenso adesso riesco ad aprire tutto! Sto scansionando con gmer anche se a dire la verità non lo sò usare bene....intanto vi posto il log di hijack!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\sicurezza\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\sicurezza\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\H3dTweaker.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I09 1.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\SICURE~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\sicurezza\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\sicurezza\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\D3D3DTwkAnim.exe
C:\Programmi\USBToolbox\Res.EXE
C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\E-Color\Common\IconMgr.exe
C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\sicurezza\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\eXtreme Movie Manager\eXtreme Movie Manager.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\mrblonde\IMPOST~1\Temp\Rar$EX01.391\av enger.exe
C:\Documents and Settings\mrblonde\Desktop\ANTIVIRUS\hijackthis_199 \HijackThis.exe
C:\Documents and Settings\mrblonde\Desktop\ANTIVIRUS\gmer\gmer.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] C:\Programmi\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\H3dTweaker.exe -hide
O4 - HKLM\..\Run: [EPSON Stylus C48 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I09 1.EXE /P23 "EPSON Stylus C48 Series" /O6 "USB001" /M "Stylus C48"
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\SICURE~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programmi\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\sicurezza\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\sicurezza\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\sicurezza\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\sicurezza\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\sicurezza\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
che dite????
Permessi di invio
Rispondi quotando