Hjiackthis si chiude da solo!

[HellsAngel]

Ciao a tutti, ho un problema con il mio pc, tutto è iniziato quando ho notato che cercando di accedere ad alcuni siti internet si chiudeva sistematicamente tutto il browser (es. p2p forum, o semplicemente cercando hjiackthis su google).

A questo punto ho iniziato a fare delle scansioni in modalità provvisoria con vari programmi; più precisamente con: AVG anti-spyware, Ad-aware 2007, Spybot - Search & Destroy ed AVG Free.

ogni programma ha trovato ed eliminato un po di cose, ma Ad-aware e Sbybot hanno trovato 2 problemi (non so se siano la stessa cosa) che non sono riusciti a risolvere.

Ad-aware ha trovato: Adaware.LinkOptimizer

Spybot ha trovato: PremiumSearch che risultava in uso e quindi consigliava di provare l'eliminazione dopo il riavvio ma anche in questo caso non è riuscito a correggere il problema.

A questo punto avrei voluto postare un log di hjiackthis ma questo mi risulta impossibile perchè ogni volta che provo ad aprire il programma questo viene chiuso in automatico immediatamente. (stessa sorte tocca ad IE o FF se provo anche solo a cercare la parola "hjiackthis" su google).

Qualcuno può darmi una mano a risolvere la situazione?

[Topdrake]

fai una scansione con questi due tool:

Prevx Gromozon Rootkit Removal Tool
http://info.prevx.com/gromozon.asp

Trojan Linkoptimizer Removal Tool
http://www.symantec.com/business/sec...092316-4153-99

[HellsAngel]

Fatto... ma purtroppo non è cambiato nulla!

[amvinfe]

Scarica
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile un file con estensione .zip (data+ora+.zip)
Vai su www.sendmefile.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

NB
durante la scansione non devi essere connesso, disattiva l'antivirus (ricordati poi di riattivarlo)

NB2
se hai problemi con il SeDebug, scarica http://download.bleepingcomputer.com...ug-Restore.exe
esegui l'applicazione. Riavvia e riprova con SystemScan

[HellsAngel]

Niente da fare... non mi fa scaricare quel programma, appena clicco sul link si chiude il browser

[Habanero]

prova a scaricarlo da qui:
http://www.sendmefile.com/00591120

[Topdrake]

richiama il TaskManager (ctrl + alt + canc), termina explorer.exe e ctfmon.exe, senza chiudere il task esegui regedit.exe (menu file /Nuova Operazione/ Esegui),
aiutandoti con il segno + fai questo percorso

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\
se trovi la cartella explorer : prendi nota del contenuto ed eliminala

dopo aver ripristinato il full control ad Everyone nelle autorizzazioni di accesso alla chiave, selezionando Autorizzazioni dal menu contestuale aperto con click dx del mouse e puntatore sul nome della chiave) dal task esegui nuovamente explorer.exe.
posta il contenuto della chiave che hai eliminato.
se tutto è ok dovresti poter usale sia HJT che systemscan.

[HellsAngel]

Sono riuscito a fare la scansione con systemscan, ecco il risultato:

http://www.sendmefile.com/00591295

[amvinfe]

pazienta ancora 10 minuti, ti sto preparando la procedura

[amvinfe]

scarica http://swandog46.geekstogo.com/avenger.zip


Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to move:
C:\Program Files\ASUS\Probe\bak\AsusProb.exe|C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe|C:\Programmi \Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe|C:\Programmi\Ado be\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe|C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe|C :\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe|C:\Programmi\Fi le comuni\Ahead\Lib\NeroCheck.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe|C:\Programmi\ File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\PCSuite\DataLayer\bak\DataLayer.exe|C:\Prog rammi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe|C:\Programmi\Grisoft\AVG Free\avgcc.exe
C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe| C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\MessengerPlus! 3\bak\MsgPlus.exe|C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe|C:\Programmi\Nokia\Nok ia PC Suite 6\LaunchApplication.exe
C:\Programmi\Prevx1\bak\PXConsole.exe|C:\Programmi \Prevx1\PXConsole.exe
C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi \QuickTime\qttask.exe
C:\Programmi\SPAMfighter\bak\SFAgent.exe|C:\Progra mmi\SPAMfighter\bak\SFAgent.exe
C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\syst em32\ctfmon.exe
C:\WINDOWS\system32\bak\PSDrvCheck.exe|C:\WINDOWS\ system32\PSDrvCheck.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_F ATI9XE.EXE|C:\WINDOWS\system32\spool\drivers\w32x8 6\3\E_FATI9XE.EXE

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\system\controlset002\services\S rvNlh
HKEY_LOCAL_MACHINE\system\controlset002\services\S ysJle

registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t|jdhyC
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t|XZRZXC
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \mqqv2.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Remote Control ServerHKLM\Software\Microsoft\Windows\CurrentVersi on\Run\srvyeuqp

Files to delete:
C:\DOCUME~1\AMD64\IMPOST~1\Temp\g5wpe5ru.exe
C:\DOCUME~1\AMD64\IMPOST~1\Temp\xarolt0f.exe
C:\WINDOWS\Temp\mqqv2.exe
c:\windows\system32\srvyeuqp.exe
c:\windows\system32\eesvdadw.ver
C:\Programmi\FyQHaZpS.exe
C:\Programmi\zM.exe
C:\Programmi\File comuni\System\Esm.exe
C:\Programmi\Windows NT\fBJxuw.exe
C:\Programmi\Windows NT\jYvA.exe
C:\Programmi\Windows NT\keQyt.exe
C:\Programmi\Windows NT\kprmpL.exe
C:\Programmi\Windows NT\NtW.exe
C:\Programmi\Windows NT\RPB.exe
C:\Programmi\Windows NT\RPK.exe
C:\Programmi\Windows NT\wLO.exe
C:\Programmi\Windows NT\xHO.exe
C:\Programmi\Windows NT\yWfzlA.exe

Folders to delete:
C:\Documents and Settings\jdhyC

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Dopo il riavvio sempre non connesso portati in:
C:\WINDOWS\Tasks apri la cartella Tasks ed elimina tutti i file .job gli unici che devono rimanere sono
desktop.ini
FOLDER.TSX
SA.DAT


Ora sempre con The Avenger e con lo stesso metodo inserisci questo script e procedi come hai fatto prima

Folders to delete:
C:\Program Files\ASUS\Probe\bak
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak
C:\Programmi\ATI Technologies\ATI Control Panel\bak
C:\Programmi\CyberLink\PowerDVD\bak
C:\Programmi\File comuni\Ahead\Lib\bak
C:\Programmi\File comuni\PCSuite\DataLayer\bak
C:\Programmi\Grisoft\AVG Free\bak
C:\Programmi\Java\jre1.5.0_10\bin\bak
C:\Programmi\MessengerPlus! 3\bak
C:\Programmi\Nokia\Nokia PC Suite 6\bak
C:\Programmi\Prevx1\bak
C:\Programmi\QuickTime\bak
C:\Programmi\SPAMfighter
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak

Files to delete:
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR1.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR10.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR11.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR12.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR13.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR14.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR15.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR16.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR17.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR18.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR19.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR1A.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR1B.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR1C.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR1D.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR1E.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR1F.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR2.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR20.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR21.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR22.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR23.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR24.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR25.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR26.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR27.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR28.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR29.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR2A.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR2B.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR2C.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR2D.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR2E.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR2F.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR3.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR30.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR31.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR32.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR33.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR34.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR35.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR36.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR37.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR38.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR39.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR3A.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR3B.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR4.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR5.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR6.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR7.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR8.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR9.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXRA.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXRB.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXRC.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXRD.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXRE.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXRF.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR3D.tmp
C:\Documents and Settings\AMD64\Impostazioni locali\Temp\PXR3E.tmp

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \SPAMfighter Agent

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\S PAMfighter

Postami il contenuto dei file avenger.txt che troverai in C:\
NB: nel caso stampati le istruzioni