Ciao Deifobe
Gia' una volta mi hai aiutato a togliere dal mio PC un virus veramente cattivo, Ti chiedo
nuovamente aiuto per togliere un TROJAN che ha infettato il mio PC che tengo nella casa
di campagna e che ha W2K come sistema operativo.
P.S. Nella casa di campagna non ho una connessione veloce
Grazie in anticipo
ciao
allora speriamo che questo sia piu' buono.....
scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus
carica il rapporto che trovi sul desktop su megaupload e posta il link ottenuto.
nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ciao Dei
Veramente felice di risentirti,sono sicuro che faremo un eccellente lavoro.
questo e' il link http://www.megaupload.com/?d=2NUGPMQV
Grazie
Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
O4 - HKLM\..\Run: [Sts] iwnujdss2.exe
O4 - HKUS\.DEFAULT\..\Run: [Sts] iwnujdss2.exe (User 'Default user')
O2 - BHO: CPub Object - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINNT\system32\bmbho.dll
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O23 - Service: COM+ Window Host (COMWinHst) - Unknown owner - c:\RECYCLER\winrao.exe (file missing)
O23 - Service: Diagnostic Center Host (WdiCenterHost) - Unknown owner - c:\RECYCLER\teskmgr.exe
Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:
Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.files to delete:
C:\WINNT\system32\bmbho.dll
C:\WINNT\system32\devcheck.exe
C:\DOCUME~1\user\IMPOST~1\Temp\keygen.exe
c:\RECYCLER\teskmgr.exe
C:\WINNT\system32\scardsvr32.exe
c:\RECYCLER\winrao.exe
C:\WINNT\System32\Mofei.cfg
C:\WINNT\System32\MoFei.ver
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Sts
registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\W diCenterHost
HKEY_LOCAL_MACHINE\system\controlset003\services\W diCenterHost
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\WdiCenterHost
HKEY_LOCAL_MACHINE\system\controlset002\services\W diCenterHost
HKEY_LOCAL_MACHINE\system\controlset001\services\C OMWinHst
HKEY_LOCAL_MACHINE\system\controlset003\services\C OMWinHst
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\COMWinHst
HKEY_LOCAL_MACHINE\system\controlset002\services\C OMWinHst
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.
posta un nuovo systemscan
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ciao Dei
Ho eseguito con successo tutte le operazioni che mi hai suggerito.
Questo e' il nuovo report:
http://www.megaupload.com/?d=N5X5UY2U
P.S. Lavori anche di sabato? non mi aspettavo un e-mail prima di lunedi !!
occhio che potrei prenderti sul serio e rimandare la risposta a lunedi'
allora.. ora dobbiamo aggiustare una cosa....
O23 - Service: Helper smart card (SCardDrv) - Unknown owner - C:\WINNT\system32\scardsvr32.exe (file missing)
il trojan pare riscriva il nome del file nel servizio..
quindi.. apri il registro (start - esegui - digita regedit e dai l'ok)
portati nella chiave
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\SCardDrv
sostituisci C:\WINNT\system32\scardsvr32.exe con scardsvr.exe
premi f5 chiudi - riavvia il pc - esegui di systemscan solo la scansione Services and drivers e inviami il rapporto.
Ricontrolla di non avere il file
C:\WINNT\system32\scardsvr32.exe
eiminalo se lo trovi
Dimmi anche se viene ancora rilevato...
ciao
Dei
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ciao Dei
Ho modificato il file di registro come mi hai consigliato.
originale "ImagePath %SystemRoot%\system32\scardsvr32.exe -v"
modificato "ImagePath %SystemRoot%\system32\scardsvr.exe -v"
Ho trovato piu' di una definizione:
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\SCardDrv
HKEY_LOCAL_MACHINE\system\controlset002\services\S CardDrv
HKEY_LOCAL_MACHINE\system\controlset003\services\S CardDrv
Le ho modificate tutte
Non ho invece trovato il file scardsvr32.exe in tutto il computer.
Lo scan dell'antivirus non rileva nessuna infezione.
Il find su tutto il computer del file scardsvr32.exe da' esito negativo
Il find di regedit su tutto il registro di scardsvr32.exe da' esito negativo
Il report di SystemScan e': http://www.megaupload.com/?d=K1HR2MG3
Grazie infinite
P.S. Cosa significa :
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
esiste un vocabolario per la traduzione? scusa ma sono un po' matusa
[OT]è un portafortuna...[/OT]
ottimo sia per le modifiche che per il file assente
050) "SCardDrv" - Helper smart card
---> STAT = (NOT RUNNING) Started automatically
---> FILE = C:\WINNT\system32\scardsvr.exe -v
---> TYPE = OWN_SERVICE
Ti devo trattenere solo per un'altra eliminazione..
esegui nuovamente sustemscan:
esegui le due scansioni recent files e services and drivers? grazie..registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\windowneters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\w indowneters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w indowneters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\w indowneters
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ciao Dei
Ho eseguito la cancellazione che mi hai indicato,
SystemScan ha eseguito correttamente la cancellazione.
Il report di Systemscan "recent files , services and drivers" e' :
http://www.megaupload.com/?d=DPJSUGWV
saluti e grazie
tutto okkkk
dovessi notare anomalie, stiamo qui...
dei
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Permessi di invio
Rispondi quotando