scusate qualcuno sa cosè e come si toglie.grazie
scusate qualcuno sa cosè e come si toglie.grazie
http://securityresponse.symantec.com...ot.f.worm.html
aggiorna l'antivirus, se hai Windows NT/XP/2000 termina il processo xms32.exe (o comunque entra in modalità provvisoria digitando f8 all'ok del BIOS e prima dell'apparire del logo di Windows) e quindi con una scansione cancella i file trovati infettati dal worm, elimina i valori aggiunti nel registro come da punto .4, se non sei sicuro di entrare nel registro, usa l'utilità HijackThis 1.97.7 che ritrovi nei links utili in cima al forum, fai una scansione e spunta gli stessi valori che ritrovi nel punto 4 della pagina Symantec per rimuoverli definitivamente ("fix")
scusa ma sono un pivello in queste cose.non ho capitop niente di quello che devo fare.scusa
non preoccuparti, se riesco a capirci io qualcosa...
hai un antivirus vero?
devi fare in modo che sia aggiornato, eventualmente se hai il Norton fallo manualmente cliccando su 'liveupdate' in alto a sinistra, aggiorna le definizioni...
poi scarica il programma HjiackThis, vedi i "links utili per la sicurezza informatica" in cima al forum? clicca sopra e cerca il riferimento a questo programma...
entra quindi in modalità provvisoria, appena avviato il PC con le scritte del BIOS su schermo nero "prima" che appaia l'immagine di Windows premi il tasto F8, entra dunque in modalità provvisoria e fai una scansione con l'antivirus...
importante: fai una scansione con hijackThis, posta il 'log', il risultato, poi ti verrà detto cosa spuntare ed eliminare
adesso ho scaricato il programma e ho fatto la scansione:
Logfile of HijackThis v1.97.7
Scan saved at 22.16.11, on 13/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\system32\crypserv.exe
D:\Programmi\navapsvc.exe
C:\WINDOWS\System32\ELAN.exe
C:\Programmi\Winamp3\winampa.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\QuickTime\qttask.exe
D:\Programmi\NISUM.EXE
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
D:\Programmi\IAMAPP.EXE
D:\Programmi\NISSERV.EXE
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Programmi\WinZip\WZQKPICK.EXE
D:\Programmi\SymProxySvc.exe
D:\Programmi\ATRACK.EXE
D:\PROGRA~1\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Symantec Shared\NMAIN.EXE
D:\Programmi\QConsole.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\mauro\Impostazioni locali\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.virgilio.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.master-search.com/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.master-search.com/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.master-search.com/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programmi\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programmi\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmi\NavShExt.dll
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\System32\MSZTCE.EXE
O4 - HKLM\..\Run: [RCServer] "C:\Programmi\Remote Control\RCServer.exe" -servicehelper
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [zSPGuard] d:\programmi\spguard\spguard.exe /s /r
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [iamapp] D:\Programmi\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\navapw32.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [delmsbb] C:\WINDOWS\delmsbb.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\PROGRA~1\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: SIGuardian.lnk = D:\Programmi\SIGuardian.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...v4/ext360.html
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A597AE31-AC31-4702-BEFC-BEA2B436513C}: NameServer = 195.130.224.18 195.130.225.129
adesso che faccio entro in modalità provvisoria?
non sapevo fosse così difficile leggere 'sti log!
ascolta, nell'attesa che qualcuno ti sappia aiutare meglio, per ora:
disabilita il ripristino configurazione sistema (Pannello Controllo/Sistema/Disattiva ripristino configurazione/Spunta la casella, applica, ok), avvia in modalità provvisoria e fai una scansione con l'antivirus, elimina tutti i file che trova infettati...
usa inoltre il tool di rimozione che è riportato nella pagina Symantec per l'altro virus per cui hai postato...
"sysupd.exe" è un ad-ware da eliminare...
anche "alchem.exe" è un ad-ware...
scaricati anche "Ad-aware" dai link utili dove hai trovato HijackThis, fai una scansione, elimina pure quello che ti segnala (eventualmente hai sempre la copia di back-up), poi fai una nuova scansione con HijackThis e posta di nuovo il "log"...
ok ti ringrazio tanto
e di cosa? occorrerebbe più che altro qualcuno che sapesse leggere il tuo 'log'...
Questo valore
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
è la causa di bug Internet Explorer
http://www.securityfocus.com/bid/9658/exploit
qui altre informazioni
http://netsecurity.about.com/cs/gene...a/aa021504.htm
quindi come prima cosa devi aggiornare il sistema con WindowsUpdate.
Una volta patchato il sistema fai girare Adware e SpyBot (è stata rilascita da due gg la nuova versione finale la 1.3), aggiorna le loro definizioni. Finite le scansioni riavvia e posta un nuovo Log di HijackThis, questa volta con TUTTE le altre applicazioni chiuse (!)
Permessi di invio
Rispondi quotando