ciao a tutti, mi aggiungo alla coda di gente che ha questo problema, ne avg anti-spywere ne avg free edition riescono ad eliminarlo, qualsiasi azione scelga mi dice che l'azione richiesta non è fattibile...
ho letto il topic toppato e ho provato a scaricare prevx che da quanto ho capito è gratuito, ma non mi va il sito
che faccio?
ah, sono imbranata in queste cose
grazie
EDIT: il file infetto è: c:\windows\enhlu1.dll
che problemi da questo trojan?
prova da quà http://www.mytempdir.com/1010789 é un file zip
scaricato, cosa ci devo fare? preciso che non ho prevx ehOriginariamente inviato da aris73
prova da quà http://www.mytempdir.com/1010789 é un file zip
grazie mille
ho letto un po' gli altri topic, e ho scaricato hijack this, posto qua il log:
serve altro? :master:Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\RunDLL32.exe
D:\Doreen\PROGRA~1\AVGFRE~1\avgamsvr.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\TEMP\vjwu1.exe
D:\Doreen\Programmi\Daemon Tool\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Doreen\PROGRA~1\AVGFRE~1\avgupsvc.exe
D:\Doreen\PROGRA~1\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Doreen\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {8CC095E0-76AF-5BB4-71C2-C0ACBCB20C5D} - C:\WINDOWS\enhlu1.dll (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [vjwu1.exe] C:\WINDOWS\TEMP\vjwu1.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Doreen\Programmi\Daemon Tool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] D:\Doreen\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B08B1AAD-83AF-4530-9F7E-A900BD4F666D}: NameServer = 85.37.17.7 85.38.28.95
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Doreen\Programmi\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\Doreen\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\Doreen\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\Doreen\PROGRA~1\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
l'ho avviato in modalità provvisoria ma non cambia nullaOriginariamente inviato da aris73
prova da quà http://www.mytempdir.com/1010789 é un file zip
per avviarlo da provvisoria devi estrarlo e metterlo sul desk, però questo ti rimuove solo il link optimizer, ma tu hai anche altro...se il primo problema l'hai risolto andiamo a rimuovere l'altro.
allora, dovrei aver risolto, lo scrivo per chi ha lo stesso problema:
i toolfix non mi andavano perchè 'sto trojan è stato studiato ben bene, prima di tutto premetto che mi bloccava i maggiori siti relativi a sicurezza come quello della symantec e di prevx, quindi come prima cosa vi consiglio di mettere dei link alternativi nel topic toppato d'aiuto. per il fix di prevx un link accessibile ai colpiti è questo:
http://www.kuma215.it/FixGrom.exe
seconda cosa mi impediva di lanciare sia il fix della symantec che questo di prevx, quindi per aggirare questo ostacolo ho dovuto rinominare i file (in particolare mi riferisco a fixgrom.exe) quindi fatelo anche voi che avete il mio stesso problema, rinominatelo in qualchecosa.exe e poi lanciatelo.. dovrebbe apparire una finestra tipo questa:
avviate la scansione, e dovrebbe rimuovervi il trojan..
fatto questo dovrebbero tornare accessibili i siti della symantec e di prevx, quindi scaricatevi prevx se non l'avete e fate una bella scansione..
Un ultima cosa:
con hijackthis dovrete fare un po' di pulizia nel registro, io avevo un paio di schifezze, e dopo che ho fixato le voci giuste (quelle relative al file incriminato) internet è tornato veloce..
io ho prima fixato le voci e poi ho avviato il file fixgrom.exe, non so qual'è la procedura più corretta, fatto sta che ho risolto
a questo punto scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
Files to delete:
C:\WINDOWS\service32.exe
C:\WINDOWS\SYSHOST.DLL
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
dopodiché scarica Ccleaner http://www.majorgeeks.com/download4191.html lo installi e lo apri, vai su Opzioni -> avanzate, e togli la spunta a "Cancella files in windows temp solo se più vecchi di 48 ore", pulisci sia i file temporanei che le chiavi di registro.
come mai devo cancellare questi due file?Originariamente inviato da aris73
a questo punto scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
Files to delete:
C:\WINDOWS\service32.exe
C:\WINDOWS\SYSHOST.DLL
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
dopodiché scarica Ccleaner http://www.majorgeeks.com/download4191.html lo installi e lo apri, vai su Opzioni -> avanzate, e togli la spunta a "Cancella files in windows temp solo se più vecchi di 48 ore", pulisci sia i file temporanei che le chiavi di registro.
C:\WINDOWS\service32.exe
C:\WINDOWS\SYSHOST.DLL
perché sono infetti...e sono quelli che ti creano problemi
Permessi di invio
Rispondi quotando