[risolto][win XP] exgmrgml.exe

[camus11]

Ciao.
E' da 2 giorni ke il mio firewall (COMODO) mi avvisa ke ci sono dei file che rikiedono di "passare".
Questi file si trovano nella cartella C:/documents&settings/"user"/impostazioni locali/temp e hanno nome exgmrgml.exe preceduto da 2 numeri, e exhmrgas2.exe anke questo con numeri davanti.
Questi file hanno una icona con 3 cubi con lettere M F C e "si moltiplicano" col passare del tempo.
Aiutatemiiii!!!!


per il riassunto della procedura che ha portato alla disinfezione:
http://www.hwupgrade.it/forum/showpo...8&postcount=43

[deneb87]

dai una passata con ccleaner settato come illustrato nelle regole di sezione.

quindi segui la guida alla disinfezione sempre in rilievo

potrei preannunciarti che possa trattarsi del trojan obfuscated, posta i log delle scansioni e vediam di che si tratta

[lancetta]

fai una passata in provvisoria (F8 al boot) con CCleaner( QUI) (evita di installare la toolbar di yahoo) disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore"
vediamose è solo un problema di temporanei in caso contrario passiamo alla guida

[lancetta]

Quote:

Originariamente inviato da deneb87

dai una passata con ccleaner settato come illustrato nelle regole di sezione.

quindi segui la guida alla disinfezione sempre in rilievo

potrei preannunciarti che possa trattarsi del trojan obfuscated......

Scusa mi spieghi su quali basi affermi ciò????

[camus11]

Grazie per le risposte,proverò con ccleaner stanotte.
Cmq ho il problema ke premendo F8 all'avvio mi esce la skermata di selezione dell'unità di boot e non quella x entrare in modalità provvisoria....ke fò?

intanto posto il log di hijackthis

-----------------
Modificato per allegare il log

[murack83pa]

gentilmente modifica il post: i log nn vanno incollati

grazie

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

[camus11]

Quote:

Originariamente inviato da murack83pa

gentilmente modifica il post: i log nn vanno incollati

grazie

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

Si hai ragione scusa,errore dettato da fretta e disperazione

[lancetta]

hai tracce del registrar o trojan todo....

per la mod provvisoria start-> esegui digita msconfig si apre Utilità configurazione di sistema metti il pallino a SAFEBOOT clic su OK poi ai clic su Riavvia
per ritornare alla mod normale rifai i passaggi, deselezioni SAFEBOOT e riavvii...
allega i log nel modo giusto....

[lancetta]

bene....fixa questa voce:

Quote:

O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w

Scarica Avenger da qua http://swandog46.geekstogo.com/avenger.zip
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Quote:

Files to delete:
C:\WINDOWS\system\smvss.exe /w
C:\WINDOWS\system\smvss.exe

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui.

[camus11]

Quote:

Originariamente inviato da lancetta

bene....fixa questa voce:


Scarica Avenger da qua http://swandog46.geekstogo.com/avenger.zip
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui.

Ecco qua,ho seguito solo qst procedura,non quella di ccleaner....speriamo bene

[Riverside]

Oltre alla voce indicata da Lancetta, fixa anche queste:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" –atboottime

Disinstalla la toolbar di Google e, se non ne fai uso, Real Player e QuickTime.

Inoltre:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

pulisci, prima di tutto, gli eventuali ADS, quindi:
● rilancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

scarica ed installa SUPER ANTISPYWARE: clicca qui per il download
Compatibilita: Windows XP e Windows Vista

Una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazioni cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

scarica ed installa KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

Al termine riavvia ed allega, oltre ai log già richiesti, anche un nuovo log di Hthis.



Off topic: un saluto al mio socio Lancetta, visto che è connesso

[lancetta]

Quote:

Originariamente inviato da camus11

Ecco qua,ho seguito solo qst procedura,non quella di ccleaner....speriamo bene

a cancellare l'abbiamo cancellata...ma comunque i temp devono essere puliti
prova da normale (però da provvisoria è meglio) ed allega un nuovo log di hijackthis

[camus11]

riavviato in modalità provvisoria come mi ha detto LANCETTA, usato CCLEANER con "cancella solo file più vecchi di 48 ore" disattivato.

Allego un doc con i file della cartella impostazioni locali/temp che ha cancellato e log di hijackthis.

Ora procedo con le direttive di RIVERSIDE.

[lancetta]

Quote:

Originariamente inviato da camus11

riavviato in modalità provvisoria come mi ha detto LANCETTA, usato CCLEANER con "cancella solo file più vecchi di 48 ore" disattivato.

Allego un doc con i file della cartella impostazioni locali/temp che ha cancellato e log di hijackthis.

Ora procedo con le direttive di RIVERSIDE.

Azz!!! eri pieno...eran tutte lì
il log di hijack è pulito svuota anche la cache di java (anzi dovresti aggiornarla c'è la versione 04)

comodo dà ancora avvisi?
completa il tutto con la procedura di Riverside..così sei a posto.....

[camus11]

Quote:

Originariamente inviato da lancetta

Azz!!! eri pieno...eran tutte lì
il log di hijack è pulito svuota anche la cache di java (anzi dovresti aggiornarla c'è la versione 04)

comodo dà ancora avvisi?
completa il tutto con la procedura di Riverside..così sei a posto.....

Sto facendo lo scan con SAS, per ora COMODO non ha più dato avvisi.
Al termine allego tutti i log ke mancano.

Sapete dirmi come mi sono preso sti cosi?
Una regola di COMODO x evitare in futuro?

[lancetta]

Quote:

Originariamente inviato da camus11

Sto facendo lo scan con SAS, per ora COMODO non ha più dato avvisi.
Al termine allego tutti i log ke mancano.

Sapete dirmi come mi sono preso sti cosi?
Una regola di COMODO x evitare in futuro?

navigando e non svuotando i temporanei, cache browser e java..anche se erano richiamati da quella voce riconducibile ad un trojan...anche banner infetti oppure qualcosa scaricato dal p2p...S.O non perfettamente aggiornato...cliccato dove non dovevi....le cause possono essere molteplici...scansiona con l'antispyware e l'antivirus ogni tanto e sopratutto pulita temp e cache cosa che può fare ccleaner una volta a settimana....
comodo in questo caso è stata la spia d'allarme....

[camus11]

Quote:

Originariamente inviato da lancetta

navigando e non svuotando i temporanei, cache browser e java..anche se erano richiamati da quella voce riconducibile ad un trojan...anche banner infetti oppure qualcosa scaricato dal p2p...S.O non perfettamente aggiornato...cliccato dove non dovevi....le cause possono essere molteplici...scansiona con l'antispyware e l'antivirus ogni tanto e sopratutto pulita temp e cache cosa che può fare ccleaner una volta a settimana....
comodo in questo caso è stata la spia d'allarme....

Io CCLEANER lo uso una o due volte a settimana , antivirus ho NOD32 e non ha rilevato nulla .

Allego ora il log di HIJACKTHIS fatto seguendo qui

Quote:

Originariamente inviato da Riverside

pulisci, prima di tutto, gli eventuali ADS, quindi:
● rilancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

e il log di SAS.

Ho fixato le altre 3 voci ke mi ha detto Riverside e disinstallato Google Toolbar.

Ora sto facendo lo scan con K, ma ci mette un bel pò xkè ho selezionato anke la partizione del sistema operativo, quindi il log domani mattina .

Inizio a ringraziarvi LANCETTA e RIVERSIDE,siete stati molto gentili ed efficienti,azz rispondete subito

[Riverside]

Come ti è già stato suggerito dal mio socio Lancetta:

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

e, vediamo il log di Kaspersky

Poi, per sicurezza fai girare questi:

TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
salva ed allega il log che verrà rilasciato

DUSTBUSTER: clicca qui per il download
● esegui il download da uno dei mirror disponibili sul sito
● una volta installato, lancialo
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

Al termine riavvia ed allega un nuovo log di Hthis.

[camus11]

Ecco qui i file cancellati da K e il successivo log di hijackthis al riavvio.

Ora uso gli ultimi 2 tool ke mi avete detto

[camus11]

Finito
Dovrei aver rimosso tutto,mi manca solo la formattazione altrimenti

Grazie ancora,spero ke i log siano puliti.