Eliminare Ospite indesiderato

[Dracula Rosso]

Chiedo un aiuto.

Ho Win2000 aggiornato.
Ho fatto uno scanner con Spybot e mi ha trovato varie schifezze, tra cui un ospite che non riesce a cancellarmi; msg d'errore:

"...alcuni pbl non possono essere corretti, il motivo potrebbe essere per alcuni file ancora caricati in memoria; ciò potrebbe essere corretto con un riavvio."

Beh, dopo il riavvio e l'immediato scanner di Spybot non ha risolto nulla.

Il pbl è in questa chiave di registro:


HKEY_USERS\.DEFAULT\RemoteAccess\Profile\DIDI

All'interno di DIDI ho 6 file di tipo: 5 REG_DWORD E 1 REG_SZ

Posso cancellare manualmente tutta la cartella DIDI per risolvere il pbl?

Nei processi di task manager continuo a trovare ad ogni riavvio waol.exe che mi occupa 90 di cpu, lo chiudo e il pc non è più lento e va tutto bene.
In aggiunta nei preferiti mi trovo sempre 4/5 indirizzi non voluti.

Qualche buon samaritano?

[makuro]

Hai provato a riavviare in modalità provvisoria? Rifai i passaggi in questo stato

[Dracula Rosso]

Originariamente inviato da makuro
Hai provato a riavviare in modalità provvisoria? Rifai i passaggi in questo stato

Nada, ho provato ma il risultato non cambia Altri suggerimenti?

Specifico che DIDI era un accesso remoto che mi si era creato, successivamente l'ho eliminato ma è appunto rimasto nel registro.

Uso Zone Alarm e continuo ad avere richieste di entrare in rete da dxb.exe e spoolsv.exe (Spooler Sub System App.), sono 2 richieste lecita che devo consentire?

Entrambi sono nei processi del task manager.
Nei processi waol continua a rompere e rallentare tutto.

[amvinfe]

dxb.exe è collegato a WORM_RBOT.CO nel registro controlla se hai almeno questa chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Window5 Update = "dxb.exe"
spoolsv.exe è invece legittimo come processo.
Fai una scansione online

http://support.f-secure.com/enu/home/ols.shtml

riavvia e posta un log di HijackThis, lo trovi in Rilievo -links utili-

[Dracula Rosso]

Originariamente inviato da amvinfe
dxb.exe è collegato a WORM_RBOT.CO nel registro controlla se hai almeno questa chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Window5 Update = "dxb.exe"
spoolsv.exe è invece legittimo come processo.
Fai una scansione online

http://support.f-secure.com/enu/home/ols.shtml

riavvia e posta un log di HijackThis, lo trovi in Rilievo -links utili-

Grazie mille,
questo è quello che mi ha trovato la scansione on line:

C:\Documents and Settings\Administrator\Impostazioni locali\Temp\Temporary Internet Files\Content.IE5\XS89ABXA\index5[1].htm TrojanClicker.JS.Pretty

C:\Documents and Settings\Administrator\Impostazioni locali\Temp\Temporary Internet Files\Content.IE5\XS89ABXA\index5[2].htm TrojanClicker.JS.Pretty

C:\Documents and Settings\Manuel\Impostazioni locali\Temp\xwxload.exe TrojanDownloader.Win32.Small.eh

C:\ht.hta TrojanClicker.JS.Gen

C:\WINNT\70000041.exe TrojanDropper.Win32.Drodos

C:\WINNT\system32\dxb.exe Backdoor.Rbot.gen

C:\WINNT\system32\dxb.exe Backdoor.Rbot.gen

C:\WINNT\system32\dxb.exe Backdoor.Rbot.gen

C:\WINNT\system32\weautga.exe Backdoor.Spyboter.by

C:\WINNT\system32\weautga.exe Backdoor.Spyboter.by

C:\WINNT\system32\winamxe.exe Backdoor.Spyboter.by

C:\WINNT\system32\winamxe.exe Backdoor.Spyboter.by

C:\WINNT\waol.exe Trojan.Win32.StartPage.eb

C:\WINNT\winrar.exe TrojanSpy.Win32.Conspy.e

Per quanto riguarda la chiave da te indicatomi ti confermo che è presente...quindi?

Adesso riavvio e vado con HijackThis (spero sia facile, mai usato)

A dopo

[amvinfe]

nel post in rilievo -links utili- c'è un tutorial, ma vedrai che l'utilizzo è assai semplice

[Dracula Rosso]

Ecco il log file:


Logfile of HijackThis v1.97.7
Scan saved at 11.22.10, on 21/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\waol.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\waol.exe
C:\WINNT\editpad.exe
C:\WINNT\system32\dxb.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\unzipped\hjt[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.search/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.search/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\Programmi\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [AVG_EMC] C:\PROGRA~1\Grisoft\AVG6\avgemc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Window5 Update] dxb.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [6vrikkhlze] C:\WINNT\waol.exe
O4 - HKLM\..\RunServices: [Window5 Update] dxb.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [quicken] C:\WINNT\waol.exe
O4 - HKCU\..\Run: [editpad] C:\WINNT\editpad.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Window5 Update] dxb.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {72E0F892-B9F1-451D-95A3-2E6C1F45C0DD} (Redirect Control) - http://www.lacasadialice.it/video/cab/Redirect.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8082.722025463
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/co...20/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Sempre grazie

[amvinfe]

Il pc è ancora infetto da Adware.Conspy
Allora procedi così:
In rilievo nel 3d -links utili- c'è la nuova versione di HijackThis, la 1.98, scaricala crea una nuova cartella e chiamala, ad esempio, HJT mettici dentro HijackThis. Scaricati anche CWShredder. Poi verifica che AdAware sia settato come viene spiegato sempre nel 3d -links utili-

Riavvia in modalità provvisoria, apri HJT lancia lo scan e metti la spunta al fianco di questi valori, assicurati che l'unica applicazione aperta sia HijackThis e clicca su Fix checked.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.search/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.search/hp.php
O4 - HKLM\..\Run: [Window5 Update] dxb.exe
O4 - HKLM\..\Run: [6vrikkhlze] C:\WINNT\waol.exe
O4 - HKLM\..\RunServices: [Window5 Update] dxb.exe
O4 - HKCU\..\Run: [quicken] C:\WINNT\waol.exe
O4 - HKCU\..\Run: [editpad] C:\WINNT\editpad.exe
O4 - HKCU\..\Run: [Window5 Update] dxb.exe

sempre dalla provvisoria cerca ed elimina se ancora presenti questi files:
C:\WINNT\system32\dxb.exe <===il file
C:\WINNT\waol.exe <===il file
C:\WINNT\editpad.exe <===il file

Sempre dalla provvisoria apri AdAware (che avrai precedentemente aggiornato alle ultime definizioni!)
e, dopo aver controllato che i settaggi siano quelli riportati nel 3d sopracitato, fai una scansione ed elimina tutto quello che trova.
Sempre dalla provvisoria lancia CWShredder, clicca su Fix.
Riavvia e posta un nuovo log, questa volta utilizzando la versione nuova di HJT

[Dracula Rosso]

Originariamente inviato da amvinfe
Il pc è ancora infetto da Adware.Conspy
Allora procedi così:......................

.
Ok, proverò...cmq per la frase inziale credo sia normale sia ancora infetto, lo scan on line mi avvertiva che i pbl venivano solo rilevati, non cancellati.

Mi rifaccio vivo....

[amvinfe]

ma perchè non era in grado di rimuoverli, o per qualche altro motivo? Hai dato indicazioni per la rimozione dei files?