Pagina 1 di 3 1 2 3 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 30
  1. #1
    Utente di HTML.it
    Registrato dal
    Jul 2007
    Messaggi
    16

    aiuto per rimozione forzata virus o trojan

    Salve.
    E' da un po' di giorni che ho un virus (o un trojan, non so bene) che mi sta rompendo le scatole.
    Si tratta di un programma di nome "TR/Drop.Small.apk", che si trova all'interno di un file chiamato "pISneUILD.exe".
    La cosa strana di questo file è che all'inizio si chiamava in un altro modo! Ho provato a cancellarlo, ma l'accesso era negato quindi ho provato con vari programmi tipo Unlocker, DeleteDoctor, ma niente da fare...anzi, dopo aver usato DeleteDoctor, il file ha cambiato nome (e dimensione!) un paio di volte!!! Ora si è stabilizzato nella forma testè riportata.
    Ho provato a rimuoverlo anche da dos, ma essendo un file di sola lettura e nascosto, non viene nemmeno rilevato dal computer, quando sono in dos!!!
    Il PC mi sembra che funzioni normalmente, non noto rallentamenti o cose strane, però non riesco ad eliminare questo file indesiderato, perchè ha gli attributi di sola lettura e di file nascosto che non riesco a togliere.
    Finora avevo sempre usato AVG Free, ma se mi ha fatto passare 'sto virus non so quanto buono sia, per cui l'ho rimosso e ora sono passato ad Avira Antivir.
    Ho fatto un bello scan, e mi ha rilevato (ed eliminato) diversi virus che AVG non vedeva neanche. Diversi file invece li ha segnati col 'warning', non potendoli eliminare...
    Oltre a questo, ho fatto diversi altri scan (sia in modalità normale che provvisoria) con vari programmi anti-spyware come No-Adware, Spyware Doctor, Spybot Search&Destroy, Ewido eccetera eccetera...
    Ognuno trovava file che l'altro non trovava e li eliminava...ma il file in questione purtroppo è sempre lì, e non riesco ad eliminarlo in nessun modo!!! Antivir me lo rileva ad ogni avvio, ma non lo può cancellare perchè l'accesso è negato!
    Ora quindi spero che qualcuno in questo forum possa farmi una mano, perchè io non sono molto esperto di queste cose (eufemismo!), e non so più cosa fare!
    Ah, ho fatto un system scan con Hijack This, ecco ciò che mi dà:

    Logfile of HijackThis v1.99.0
    Scan saved at 15.36.11, on 15/07/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
    C:\WINDOWS\System32\DeltTray.exe
    C:\WINDOWS\System32\atiptaxx.exe
    C:\Programmi\File comuni\Real\Update_OB\realsched.exe
    C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    C:\windows\system32\svchost.exe
    C:\Programmi\File comuni\Real\Update_OB\realevent.exe
    C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Programmi\Nikon\NkView6\NkvMon.exe
    C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
    C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Programmi\Spyware Doctor\sdhelp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\wuauclt.exe
    D:\Documenti\DOWNLOADS\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: (no name) - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - (no file)
    O2 - BHO: (no name) - {81A99149-F047-4090-8AAD-D11FF4EFB734} - (no file)
    O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: (no name) - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - (no file)
    O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [lsaltcmi] "c:\windows\system32\lsaltcmi.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?d8e2c099fd834473958321ac696c6640
    O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?d8e2c099fd834473958321ac696c6640
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\TV\EXPLBAR.DLL
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
    O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/sh...20/mcgdmgr.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O23 - Service: AntiVir PersonalEdition Classic Scheduler - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: PC Tools Spyware Doctor - Unknown - C:\Programmi\Spyware Doctor\sdhelp.exe
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

  2. #2
    avvia hijackthis,spunta a sinistra su questa voce:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm


    e sotto su fix checked.


    dimmi il percorso del file infetto detto da te che non riuscivi ad eliminare(ad esempio C:/WINDOWS).

  3. #3
    eddai edo, tu sto log manco l'hai guardato!

    @ muuuuu

    Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)
    Begun the Clone War has

    Sì sì, mi hanno fatto redattore --- SuspectFile

  4. #4
    @billokenobi
    se non l'avevo guardato,coe gli dicevo le voci da fixare?

  5. #5
    ma quella voce è il minimo :rollo:

    ci sono di più importanti queste, che segnalano che su quel pc ci sono stati ben altri problemi

    per cominciare, O2 - BHO: (no name) - {81A99149-F047-4090-8AAD-D11FF4EFB734} - (no file)
    che può essere relativa all'adware DAE.A

    poi questa, O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
    che è relativa a una delle prime varianti del linkoptimizer

    questa O3 - Toolbar: (no name) - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - (no file)
    che può essere a seconda dei casi sospetta

    questa O4 - HKLM\..\Run: [lsaltcmi] "c:\windows\system32\lsaltcmi.exe"
    che può essere un trojan, credo su due piedi un dialer

    non puoi analizzare un log così superficialmente
    Begun the Clone War has

    Sì sì, mi hanno fatto redattore --- SuspectFile

  6. #6
    @billokenobi
    quelle voci che come tu dici non ho visto nel log,sono voci inutili,o meglio un bug di hijackthis,ma niente residui di malware.
    solo per questa--> O4 - HKLM\..\Run: [lsaltcmi] "c:\windows\system32\lsaltcmi.exe"
    ti potrei dare ragione,ma e sempre da vedere.percio' non criticare ad altri e non fare il presuntuoso mettendo "per cominciare".come io rispetto te,tu rispetta me.a volte puo capitare anche qualche errore,percio evita polemiche.

  7. #7
    Utente di HTML.it
    Registrato dal
    Jul 2007
    Messaggi
    16
    Signori, per carità non vi azzuffate! ;-)

    Allora...ho eliminato con Hijack il file che mi diceva Tecnico24.
    Il percorso del file sospetto è il seguente:
    C:\Programmi\pISneUILD.exe

    Circa invece il Systemscan che mi suggerisce Billokenobi, c'è una complicazione. L'ho scaricato e fatto andare, ma purtroppo non riesce ad avviarsi perchè appare un messaggio di Windows che mi dice che non ho i privilegi di debug...
    C'aggia fa?

  8. #8
    @ muuuuu

    per ovviare, prima scarica ed esegui questo tool, poi riprova

    http://download.bleepingcomputer.com...ug-Restore.exe

    Originariamente inviato da tecnico24
    @billokenobiquelle voci che come tu dici non ho visto nel log,sono voci inutili,o meglio un bug di hijackthis
    ma quale bug... che siano probabilmente (e non con certezza) inattive è vero, ma che fai, le lasci lì? inoltre, se sono lì, significa che il virus è passato, e può aver lasciato altri residui che hijackthis non rileva... hai idea di quanti file e chiavi le più recenti varianti del linkoptimizer lascino, oltre alle poche che hijackthis trova?

    Originariamente inviato da tecnico24
    percio' non criticare ad altri e non fare il presuntuoso mettendo "per cominciare".come io rispetto te,tu rispetta me.a volte puo capitare anche qualche errore,percio evita polemiche.
    vedi, io potrei anche non aver avuto per te il massimo rispetto... il fatto è che tu dopo numerosi incoraggiamenti miei e non a controllare con certezza quello scrivi (in questo e altri forum) ti ostini ad affrontare questi argomenti con una leggerezza che non mi pare adeguata, oltre al fatto che se si prova a correggerti storci il naso e tendi a rispondere assai poco educatamente... le polemiche le inizi tu
    Begun the Clone War has

    Sì sì, mi hanno fatto redattore --- SuspectFile

  9. #9
    Utente di HTML.it
    Registrato dal
    Jul 2007
    Messaggi
    16
    Grazie mille per il programmino pro-sedebug, Billokenobi! ^_^
    OK, fatto lo scan, ecco il link per leggere il report:

    http://w13.easy-share.com/1911721.html

  10. #10
    @billokenobi
    vabbe'dai, chiudiamola qui,mica mi faccio criticare da uno che vuole per forza litigare con qualcuno.........e poi non e vero che dico le cose tanto per dire,perche io di problemi ne ho risolti tanti in questo forum..fatti una bella ricerca sul forum che ti fara bene....cmq chiudo qui,io sto da una parte e tu da un altra.poi tre cose:
    1)correggere e una cosa
    2)facendo il presunstuoso e rispondendo non educato ne' un altra..
    3)lui ti ha chiesto i file infetti(il virus)non le voci inutili...

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.