Questa sera ho installato Nod 32 e debbo dire che a primo impatto rispetto a Norton è tutta un'altra cosa,speriamo sia efficace.

Volevo chiarimenti in merito quando faccio la scansione riguardo al report che mi da.
Mi da molti file non possono essere aperti ed alla fine mi dice che sono in uso dal sistema operativo o da un'altra applicazione.

E'giusto sia così??

Quello in rosso è un file infettato o un virus che posso eliminare?


http://img216.imageshack.us/my.php?image=clipboard01ds3.jpg

fai la scansione dalla modalità provvisoria, dovresti risolvere...
ovviamente ritengo sia un caso isolato...

Scansione antivirus in modalità provvisoria?

Com'è che si faceva ad andare in modalità provvisoria in XP,non me lo ricordo!! :doh:

Questa sera ho installato Nod 32 e debbo dire che a primo impatto rispetto a Norton è tutta un'altra cosa,speriamo sia efficace.

Volevo chiarimenti in merito quando faccio la scansione riguardo al report che mi da.
Mi da molti file non possono essere aperti ed alla fine mi dice che sono in uso dal sistema operativo o da un'altra applicazione.

E'giusto sia così??

Quello in rosso è un file infettato o un virus che posso eliminare?


http://img216.imageshack.us/my.php?image=clipboard01ds3.jpg
Ascolta non ti voglio spaventare ma tutti quei file nella cartella system controlla se sono cittografati mi sa che hai LinkOptimizer, è normale che alcuni file siano bloccati e inacessibili a nod32 ma quelli puzzano per caso ti trovi un nuovo Account? :rolleyes:

fai la scansione dalla modalità provvisoria, dovresti risolvere...
ovviamente ritengo sia un caso isolato...
I file cittografati sono inacessibili anche dalla modalità provvisoria!
Controlla quello che ti ho detto per favore!

Non ho nessun programma di crittografia,cosa intendi per nuovo account?

:confused:

Utilizzo connessione Adsl,se può essere utile.

I file cittografati sono inacessibili anche dalla modalità provvisoria!
Controlla quello che ti ho detto per favore!

ma il log non parla di crittografati dice che non può perchè sono in uso ergo scan in mod provvisoria...

avvii il pc e premi F8 finchè non appare il menù in cui scegliere la modalità d'avvio...

Dopodichè quei file dovrebbero scomparire?

Controlla in C:\Documents and Settings\ se c'è una cartella con nome random esempio jsdiYkflj solitamente la cartella è nascosta, poi prova andare in C:\Programmi\File comuni\System\ controlla se gli eseguibili che ci sono sono cittografati per vederlo cliccaci con il pulsante destro del mause proprietà avanzate e vedi se sulla casella cittografa... è messa la spunta. :rolleyes:

Scusate l'ignoranza in materia,ma sono più improntato su hardware,poi usando Norton si "diventa ignoranti" ;)

ma il log non parla di crittografati dice che non può perchè sono in uso ergo scan in mod provvisoria...

avvii il pc e premi F8 finchè non appare il menù in cui scegliere la modalità d'avvio...
Il log di nod32 non ti dirà mai se i file sono cittografati ti dice accesso negato perchè sono cittografati da un account fittizio

Controlla in C:\Documents and Settings\ se c'è una cartella con nome random esempio jsdiYkflj solitamente la cartella è nascosta, poi prova andare in C:\Programmi\File comuni\System\ controlla se gli eseguibili che ci sono sono cittografati per vederlo cliccaci con il pulsante destro del mause proprietà avanzate e vedi se sulla casella cittografa... è messa la spunta. :rolleyes:

La prima cartella non ce l'ho.

Riguardo la seconda invece,si c'è ed i file sono scritti in verde e se vado in
Proprietà>avanzate
mi da la casella di spunta su crittografate.

E'ok?

Scusate l'ignoranza in materia,ma sono più improntato su hardware,poi usando Norton si "diventa ignoranti" ;)
Basta che controlli se in C:\Documents and Settings\ hai o non hai una cartella nascosta con nome strano tipo jkflfjrurmg ti sto chiedendo una cosa semplice e che ci leva molti dubbi :mc:

La prima cartella non ce l'ho.

Riguardo la seconda invece,si c'è ed i file sono scritti in verde e se vado in
Proprietà>avanzate
mi da la casella di spunta su crittografate.

E'ok?
Il nome della cartella era inventato perchè il nome non è mai uguale ma puo essere simile la cartella è nascosta, comunque i file cittografati non sono accessibili in lettura nemmeno in modalità provvisoria

Il nome della cartella era inventato perchè il nome non è mai uguale ma puo essere simile la cartella è nascosta, comunque i file cittografati non sono accessibili in lettura nemmeno in modalità provvisoria

ok ma non faceva prima a fare la scansione direttamente in mod provvisoria e vedere poi il report?

se erano solo in uso li ha scannati sennò ci si pensa...
mi sembrava più semplice :rolleyes:

ok ma non faceva prima a fare la scansione direttamente in mod provvisoria e vedere poi il report?

se erano solo in uso li ha scannati sennò ci si pensa...
mi sembrava più semplice :rolleyes:
Per te è più semplice fare una scansione facendo la procedura di andare in modalità provvisoria ed eseguire la scansione che cliccare sopra un file e vedere se cittografato?

Basta che controlli se in C:\Documents and Settings\ hai o non hai una cartella nascosta con nome strano tipo jkflfjrurmg ti sto chiedendo una cosa semplice e che ci leva molti dubbi :mc:

Nella cartella Documents and Settings ho :

Administrator

All Users

Default Users


Non ho niente altro.

Ci siamo come impostazioni,o qualcosa non quadra? :confused:

Poi il log gli dirà la stassa cosa perchè il certificato della cittografia è in possesso dell'account fittizio

Poi il log gli dirà la stassa cosa perchè il certificato della cittografia è in possesso dell'account fittizio

SE sono crittografate...
e cmq nel caso ha fatto una scansione; male non fa...

Nella cartella Documents and Settings ho :

Administrator

All Users

Default Users


Non ho niente altro.

Ci siamo come impostazioni,o qualcosa non quadra? :confused:
Non quadra perchè hai dei file cittografati e non si trova l'account fittizio :mc:

Sono a posto secondo voi?

SE sono crittografate...
e cmq nel caso ha fatto una scansione; male non fa...
Lui dice che c'è la spunta su cittografati

Fai una cosa scaricati questo tools
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP e prova ad eliminare i file che si trovano in C:\Programmi\File comuni\System

Si si,c'è!

Ho fatto il percorso che mi hai detto!

Lui dice che c'è la spunta su cittografati

ok allora dico se lui è admin, li decritta togliendo la spunta e li scanna...
se non riesce fa questo lavoro dalla mod provv perchè con tutta probabilità lì non c'è l'intervento del componente nocivo...

Ma non succede nulla se faccio quello che mi hai detto?

Non è che si inchioda tutto?

La tools,si applica automaticamente a Nod 32?

Per cancellarli,come devo fare,dal report?

hai risolto?

ok allora dico se lui è admin, li decritta togliendo la spunta e li scanna...
se non riesce fa questo lavoro dalla mod provv perchè con tutta probabilità lì non c'è l'intervento del componente nocivo...
Sarebbe facile ma non è così io mi sono fatto infettare apposta da questo mostro e ho cercato di fregarlo in tutti i modi cambiando i privileggi provando a copiarlo tramite linux ma i file cittografati non sono leggibili se non si possiede il certificato si possono solo eliminare se si sbloccano o rinominare!

Sarebbe facile ma non è così io mi sono fatto infettare apposta da questo mostro e ho cercato di fregarlo in tutti i modi cambiando i privileggi provando a copiarlo tramite linux ma i file cittografati non sono leggibili se non si possiede il certificato si possono solo eliminare se si sbloccano o rinominare!

azzz :doh:
pensavo che da admin si potesse risolvere riprendendone possesso...

Ma non succede nulla se faccio quello che mi hai detto?

Non è che si inchioda tutto?

La tools,si applica automaticamente a Nod 32?

Per cancellarli,come devo fare,dal report?
Ascolta devi aprirla clicchi su start e poi vai sulla cartella file comuni\system\ e seleziona uno di quei file cittografati e clicchi su ok
edit...
ripeti l'azione per tutti i file cittografati dovrebbe eliminare ad albero le ramificazioni dell'infezione compreso l'account fittizio :sperem:

Decomprimo la cartella zip scaricata? Se si dove?

Oppure eseguo l'unico file exe?

Quindi è un virus?

Decomprimo la cartella zip scaricata? Se si dove?

Oppure eseguo l'unico file exe?

decomprimi lo zip dove vuoi e poi lanci l'exe...

Un'altra cosa quando fai questa operazione disconnettiti

decomprimi lo zip dove vuoi e poi lanci l'exe...
Dove vuoi l'importante che dopo clicchi su start e tramite la tools selezioni un file alla volta

Mi ha aperto una finestra rossa,come faccio a mettere i file da analizzare li dentro?

Scusate,però Nod mi è completamente nuovo :(

Mi ha aperto una finestra rossa,come faccio a mettere i file da analizzare li dentro?

Scusate,però Nod mi è completamente nuovo :(
Clicca su start ti si apre una finestra clicca sul hd poi programmi poi file comuni poi system e li selezioni un file e clicchi su ok

Mi ha aperto una finestra rossa,come faccio a mettere i file da analizzare li dentro?

Scusate,però Nod mi è completamente nuovo :(

selezioni start e poi, dalla finestra che esce, il file che devi eliminare

EDIT: sono arrivato tardi :asd:

Ma se li elimino non succede nulla o ci devono essere?

Non ho ancora capito se sono crittografati non è o si un virus?

Ma se li elimino non succede nulla o ci devono essere?

Non ho ancora capito se sono crittografati non è o si un virus?
LinkOptimizer è un rootkit sono diversi malware insieme sono tosti da uccidere magari fosse un semplice virus certo che li devi eliminare :mc: :muro:

Scusa fammi capire,ma quello che ho io crittografato si chiama linkoptimizer?

Ma devo eliminare tutta la cartella system o solo i file eseguibili?

Scusa fammi capire,ma quello che ho io crittografato si chiama linkoptimizer?

Ma devo eliminare tutta la cartella system o solo i file eseguibili?
Tramite il tools scaricato devi selezionare un file alla vota come ti ho spiegato prima e cliccare su ok :muro:
la cartella e le dll assolutamente non le toccare!

Fai anche un'altra cosa, apri il tools e seleziona il file portatore dell'infezione che si trova in c:\windows\system32\ e ha come nome aux.snt :rolleyes: :mc:

Quelli eliminati tutti,ora faccio quello

Si quel bastardo e quello che non riesci a deframmantare ed è legato a tutta quella cac*a che hai tolto prima vedi devrebbe essere ancora li cerca bene!

Non riesco a trovarlo,non c'è :cry:

Anche con cerca,non me lo trova :mad:

Sarà sparito da solo?????

Ci credi???? Io poco,boh!

Grazie per la pazienza intanto.

Ma tutto questo è colpa di Norton?

cerca bene cerca con cerca tutti i file e cartelle vai ad altre opsioni metti la spunta su cerca nei file e nelle cartelle nascoste e trova questi tre nomi così come te li scrivo io prn.*, aux.*, e "lpt*.*" . :sperem:

No non è colpa di norton la maggior parte delle volte è colpa nostra! :cry:

cerca bene cerca con cerca tutti i file e cartelle vai ad altre opsioni metti la spunta su cerca nei file e nelle cartelle nascoste e trova questi tre nomi così come te li scrivo io prn.* aux.* e lpt1.* :sperem:

Ci possono essere tutti,oppure solo uno o due,li cerco sempre in quella cartella e li elimino?

Sono in verde anche loro?

Ci possono essere tutti,oppure solo uno o due,li cerco sempre in quella cartella e li elimino?

Sono in verde anche loro?
Quelli con nome esclusivi dovrebbero essere il trojan ho modificato l'ultimo per una ricerca più affidabile cerca tutti e tre forse trovi uno o tutti e tre o nessuno non sono cittografati, fammi sapere

Selezionato l'intera cartella di windows,con opzione file nascosti e di sistema,ma non ha trovato nulla :(

nella ricerca dell'ultimo non mettere le virgolette!

cercali in tutto l'hd se non trovi nulla controlla se trovi ancora la cartella in C:\Documents and Settings quella con nome strano che mi avevi detto prima di aver trovato

ad esempio metto ipt*.* ?

Non ha trovato nulla.

ad esempio metto ipt*.* ?

Non ha trovato nulla.
Se non ti trova nulla meglio forse il tools ha fatto bene il suo lavoro vedi se c'è ancora la cartella con nome strano controlla bene!

Mi ha trovato diversi aux.snt in Temporary Internet Files

Li cancello direttamente dalla ricerca?

Se non ti trova nulla meglio forse il tools ha fatto bene il suo lavoro vedi se c'è ancora la cartella con nome strano controlla bene!


Che nome aveva :doh:

Mi ha trovato diversi aux.snt in Temporary Internet Files

Li cancello direttamente dalla ricerca?
No con il tools tramite cerca vedi bene il percorso e seguilo per poi usare il tools

Che nome aveva :doh:
Il nome non è importante devi andare e vedere ti rendi conto perchè il nome è strano e un nome random "a casaccio"

Ma non mi ricordo in quale cartella devo andare a vedere??

Però non mi pare che all'inizio avevo cartelle strane,a parte quelle crittografate che mi hai fatto cancellare :confused:

Ma non mi ricordo in quale cartella devo andare a vedere??

Però non mi pare che all'inizio avevo cartelle strane,a parte quelle crittografate che mi hai fatto cancellare :confused:
Per ora elimina quei file aux.* che hai nei temporanei di internet!

Vastese :D solved here? :)

Vastese :D solved here? :)
Ancora contro il kav tu pescarese :Prrr: :ciapet:

Non c'è più nulla pare :confused:

Provo a riavviare?

Non c'è più nulla pare :confused:
Mi avevi detto che nei file temporanei di ie c'erano diversi aux.*

@lucas
Puoi darci una mano magari finiamo prima!

Li ho cancellati,però facendo scandisk mi da ancora quel file aux.snt in Windows System e si ferma Defrag :mad:

Poi faremo conoscenza bene :) ti voglio ringraziare veramente!!! :mano:

Si,ma ricapitolate che mi bruciano gli occhi :)

Grazie

Li ho cancellati,però facendo scandisk mi da ancora quel file aux.snt in Windows System e si ferma Defrag :mad:
Fai fouri quel bastardo ca**o

Dunaque rifaccio Defrag almeno mi da il percorso

Si,ma ricapitolate che mi bruciano gli occhi :)

Grazie
Mi sono perso...
...è infetto da linkoptimizer e per ora ha eliminato i file cittografati tramite il tools di paolo monti ma il trojan con nome esclusivo si nasconde e non riesce ad eliminarlo

scarica sul desktop GMER http://www.gmer.net/gmer110.zip
scompatta, sempre sul desktop il file gmer.zip.
Esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)

Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)

Ciao

Mi dice Windows system32 aux.snt,però sia cercarlo io uno per uno,che con Cerca,non lo trova :cry:

Credo che se gli si fa usare gmer sia un po difficile non è molto esperto

scarica sul desktop GMER http://www.gmer.net/gmer110.zip
scompatta, sempre sul desktop il file gmer.zip.
Esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)

Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)

Ciao
Fai quello che ti ha detto lucas84 se trovi difficoltà ti aiutiamo noi

scaricato
ora faccio

:mbe: :mbe: deve premere solo i pulsanti,poi i logs generati li vedo io :)

mi sono stancato... un ultimo sforzo io mi sono infetto due volte di proposito con il mio computer cavia ma sembra che questo bastardo si sia evoluto molto a distanza di poco tempo

Io ne avrò rimosso senza esagerazione + di 120 nei vari forums :D

stai avanti :sofico: :Prrr:

Allora posto i risultati?

Su Autostart non mi da nulla però,foglio bianco :confused:

Normale che solo quel programma sia lentissimo?

Sembra bloccato :confused:

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-26 03:00:33
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \??\C:\Programmi\ewido anti-malware\guard.sys ZwOpenProcess
SSDT \??\C:\Programmi\ewido anti-malware\guard.sys ZwTerminateProcess

---- EOF - GMER 1.0.10 ----

Io è il primo al di fuori del mio computer cavia e non ancora ci riesco figurati :mc:

mi sono stancato... un ultimo sforzo io mi sono infetto due volte di proposito con il mio computer cavia ma sembra che questo bastardo si sia evoluto molto a distanza di poco tempo


Non abbandonatemi proprio adesso!! :cry:

No,no ci mette tempo non è bloccato :)

Non abbandonatemi proprio adesso!! :cry:
C'è lucas sicuramente ed è più esperto di me comunque non ti abbandoniamo e ti aiutiamo

Autostart me lo da bianco appunto.

lucas ma lo scan non deve farlo disconnesso e con tutte le applicazioni chiuse?

Fallo come meglio credi non ha importanza :)

Il report di Autostart è bianco,non mi da nulla,è giusto?

Mentre l'altro te l'ho postato.

Che si fa?

Autostart me lo da bianco appunto.
Hai cliccato su scan

Si si,rimane la clesssidra fissa per un pò e appare stop sul pulsante al posto di scan,dopo si ferma ed è tutto bianco.

metti la spunta su show all e clicca su scan

è impossibile che lo dia bianco,chiudilo e riaprilo,adesso torno devo riavviare il pc,ciao

Ho spuntato dove mi hai detto,ma nulla,uguale a prima :(

Hai provato come ti ha detto lucas a chiudere e riaprire gmer?

Si però è uguale :(

Non capisco come mai è lentissimo,aprirsi ecc..,ma è proprio il programma così?

Tutto il resto va che è una scheggia :confused:

Prova a riavviare il computer e dopo l'individuazione del hardware da parte del bios premi F8 scegli modalità provvisoria e prova da li ad eseguire gmer

Ragazzi,domani voi ci siete?
Io adesso ho un sonno...anche se mi piacerebbe risolvere,non dormo neppure tranquillo :cry:

Comunque se potete non abbandonarmi... io ho contatto Messenger,oppure in privato.

Come si potrà trovare sto file :confused:

Ci vediamo (scriviamo) domani?

Ci vediamo domani...
...ma era il forum che aveve dei problemi o era il mio computer che non riusciva più ad entrarci?

Scusa pensavo già di avere fatto il maleducato,ma neppure io riuscivo più a entrare ieri sera :mad:

Ci sentiamo oggi!

Un info ho notato che prima mi usciva la connessione da pc a router e dopo da router ad adsl,praticamente accanto all'orologio comparivano due serie di monitor che lamoegiavano,magari non c'entra nulla,però prima vedevo la velocità di connessione ad esempio 100Mbs per la Lan e 2.4 per Adsl.

Grazie ancora per tutto intanto,poi vediamo di risolvere (ce la faremo?)

Buona giornata! :)

Scusa pensavo già di avere fatto il maleducato,ma neppure io riuscivo più a entrare ieri sera :mad:

Ci sentiamo oggi!

Un info ho notato che prima mi usciva la connessione da pc a router e dopo da router ad adsl,praticamente accanto all'orologio comparivano due serie di monitor che lamoegiavano,magari non c'entra nulla,però prima vedevo la velocità di connessione ad esempio 100Mbs per la Lan e 2.4 per Adsl.

Grazie ancora per tutto intanto,poi vediamo di risolvere (ce la faremo?)

Buona giornata! :)
Speriamo :sperem:

visto che non trovi il file prova a fare così:

1) vai nelle opzioni della cartella (strumenti -> opzioni cartella)
2) poi vai nella scheda "visualizzazione"
3) li selezioni "visualizza cartelle e file nascosti" e togli la spunta da "nascondi file protetti e di sistema"

ora prova a vedere se trovi il file che cercavi prima; se c'è non puoi non vederlo...

Ho fatto anche quello,ma non si trova,eppure c'è :confused: :rolleyes:

Prova ad eseguire gmer e controlla bene se sulla linguetta services nel controllo etichetta con nome file name si trova il file aux.* :mc:

Adesso Gmer funziona e posto quello che ieri sera non mi dava :

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-26 20:12:28
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = \\?\C:\WINDOWS\system32\aux.snt

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\system32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
ewido security suite control /*ewido security suite control*/@ = C:\Programmi\ewido anti-malware\ewidoctrl.exe
Fax /*Fax*/@ = %systemroot%\system32\fxssvc.exe
NOD32krn /*NOD32 Kernel Service*/@ = "C:\Programmi\Eset\nod32krn.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
UPS /*Gruppo di continuità*/@ = %SystemRoot%\System32\ups.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@EPSON Stylus Photo R320 SeriesC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE /P30 "EPSON Stylus Photo R320 Series" /O6 "USB002" /M "Stylus Photo R320" = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE /P30 "EPSON Stylus Photo R320 Series" /O6 "USB002" /M "Stylus Photo R320"
@RTHDCPLRTHDCPL.EXE = RTHDCPL.EXE
@RemoteControl"C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" = "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@EPSON Stylus Photo R1800C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE /P24 "EPSON Stylus Photo R1800" /O6 "USB001" /M "Stylus Photo R1800" = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE /P24 "EPSON Stylus Photo R1800" /O6 "USB001" /M "Stylus Photo R1800"
@EEventManagerC:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe = C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
@ATIPTAC:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe = C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
@ATICCC"C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime = "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
@AlcmtrALCMTR.EXE = ALCMTR.EXE
@nod32kui"C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE = "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@PowerBar ??? l?@ ??? D?? ???w ? ? ???wl?@ l?@ ?? ??? ???w???w???????w?m?wx?? ??? ?m?w ??? ??? ???|x?? 0 ? ? ?m???m?w ? H?6?p? ?? ? l?@ l?@ ??? ???w? t?@ l?@ 8?@ l?@ 3??s ? 8?@ _??s8?@ 8?@ /*file not found*/ = ??? l?@ ??? D?? ???w ? ? ???wl?@ l?@ ?? ??? ???w???w???????w?m?wx?? ??? ?m?w ??? ??? ???|x?? 0 ? ? ?m???m?w ? H?6?p? ?? ? l?@ l?@ ??? ???w? t?@ l?@ 8?@ l?@ 3??s ? 8?@ _??s8?@ 8?@ /*file not found*/
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{54D9498B-CF93-414F-8984-8CE7FDE0D391} = C:\Programmi\ewido anti-malware\shellhook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{5E2121EE-0300-11D4-8D3B-444553540000} /*Catalyst Context Menu extension*/C:\Programmi\ATI Technologies\ATI.ACE\atiacmxx.dll = C:\Programmi\ATI Technologies\ATI.ACE\atiacmxx.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{B089FE88-FB52-11D3-BDF1-0050DA34150D} /*NOD32 Context Menu Shell Extension*/C:\Programmi\Eset\nodshex.dll = C:\Programmi\Eset\nodshex.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\NOD32 Context Menu Shell Extension@{B089FE88-FB52-11D3-BDF1-0050DA34150D} = C:\Programmi\Eset\nodshex.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\NOD32 Context Menu Shell Extension@{B089FE88-FB52-11D3-BDF1-0050DA34150D} = C:\Programmi\Eset\nodshex.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

HKCU\Control Panel\[email protected] = C:\WINDOWS\System32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.lycos.it/ = http://www.lycos.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\WINDOWS\system32\imon.dll
000000000002@PackedCatalogItem = C:\WINDOWS\system32\imon.dll
000000000003@PackedCatalogItem = C:\WINDOWS\system32\imon.dll
000000000004@PackedCatalogItem = C:\WINDOWS\system32\imon.dll
000000000005@PackedCatalogItem = C:\WINDOWS\system32\imon.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000025@PackedCatalogItem = C:\WINDOWS\system32\imon.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
ATI CATALYST System Tray.lnk = ATI CATALYST System Tray.lnk
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
Logitech SetPoint.lnk = Logitech SetPoint.lnk

---- EOF - GMER 1.0.10 ----

Prova ad eseguire gmer e controlla bene se sulla linguetta services nel controllo etichetta con nome file name si trova il file aux.* :mc:

Non mi da nulla come file aux. :mad:

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:
C:\WINDOWS\system32\aux.snt
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

postami il contenuto del file
C:\Avenger.txt

credo che si sia disconnesso mi dispiace non ho visto subito il suo messaggio e quando l'ho visto ti ho chiamato :boh: spero che si faccia risentire fra poco

Posso dire che anche io ho Nod32 da parecchi mesi, e non ho mai capito perchè durante la scansione ompaiono molti percorsi di colore blu, come nella foto del I post...bah....cmq Nod va che è na bomba...Byez

Dopo questa procedura dovrebbe avere rimosso il tutto?

Per capire un pò cosa sto facendo ;)

Ecco quello che mi è uscito facendo quello che mi hai detto :


[img=http://img92.imageshack.us/img92/3127/report1rj5.th.jpg] (http://img92.imageshack.us/my.php?image=report1rj5.jpg)

Ho provato a fare defrag e non mi compare più il messaggio,a quanto pare (sembra) sparito. :confused:

Provo a riavviare,vediamo!

Il report cosa dice?

Io non sono affatto pratico :(

Grazie,intanto....

Una cosa però tutte le volte che riavvio mi compare il messaggio che ti ho postato C:\Windows\Sistem32

E' un errore,oppure è normale?

Come faccio a toglierlo? :help:

Una cosa però tutte le volte che riavvio mi compare il messaggio che ti ho postato C:\Windows\Sistem32

E' un errore,oppure è normale?

Come faccio a toglierlo? :help:

Non è che si è cancellato qualcosa?

Quello di Avenger in blocco note è questo :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oxxdpthf

*******************

Script file located at: \??\C:\pqsjaidv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\aux.snt deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.


Quello che ho postato prima è quello che mi appare a ogni avvio di Windows.

E'normale o c'è qualche casino?

Scusate l'apprensione :blah:

Mi compare sempre la finestra che ho postato all'avvio.
Come faccio a eliminare il programma?

All'avvio del pc mi compare la shell di Dos con :

C:\avenger\backup.reg


1 file copiati.
Impossibile cambiare l'attributo - C:\avenger\aux.snt
zip warning: C:/backup.zip not found or empty
adding: avenger/aux.snt (140 bytes security)

Come faccio a toglierlo?????? :confused:

E' strano fammi rivedere il tutto

Cosa vuoi rivedere?

Adesso quel messaggio non me lo da più.

C'era qui un amico e abbiamo provato a cercare quel messaggio nella chiave di registro.

Adesso ho provato ariavviare e non me lo da più! :confused:

Non ci capisco più nulla :confused:

Il defrag adesso me lo fa completo e non mi da più errori.

Ma praticamente l'ultimo programma di cui mi era stata data la stringa da inserire era per togliere il file?

La procedura per eliminare la cartella di Avenger abbiamo quasi finito

Prova ad eliminare la cartella di Avenger che si trova in C:\Avenger
Eliminala non metterla nel cestino vediamo se si è disabilitato il trojan

Per eliminarla senza metterla nel cestino???

Scusa ma sono in palla :mc:

Se non riesci fai così apri il prompt dei comandi ed esegui questa sintassi
del \\.\c:\avenger\aux.snt
:sperem:

Tengo premuto Maiusc e trascino direttamente nel cestino??

Usa la sintassi che ti ho scritto sopra non cancellare la cartella

Mi dice impossibile trovare il file :(

:help:

Prova a vedere se il file si trova dentro la cartella possibile che è stato già rimosso :confused:

Ho solo due file dentro la cartella Avenger uno in blocco note e uno col simbolo del registro di sistema (cubo a pezzetti azzurro).

E'stato rimosso allora?

Non mi da più anche qual propt all'avvio :confused:

Poi ovviamente ho il programma ma in un'altra cartella,dove l'ho scaricato,il .exe .

Fai così seleziona la cartella e tenendo premuto maiuscola clicca su canc poi clicca su ok

Fatto!

Adesso?

Scaricati questo script http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip scompattalo e avvialo nel controllo text scrivici aux.snt attendi fino all´apertura di una finestra di wordpad che riporta le chiavi da cui era richiamato il file :sperem:

Mi da questo :


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "aux.snt" 28/08/2006 17.45.56

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-329068152-884357618-725345543-500\Software\Microsoft\Search Assistant\ACMru\5603]
"001"="aux.snt"

C'è ancora ?

Cosa devo fare?

Clicca su start esegui scrivi regedit ti si apre il registo di sistema nel menu modifica clicca su trova metti la spunta su stringa intera copiaci la chiave che hai scritto sopra e clicca su trova successivo

Una volta trovata,la cancello?

si!

Non me lo trova mi dice ricerca completata ma non trova nulla,forse perchè ho notato che non mi copia l'ultima parte

"001"="aux.snt"

Fai così apri il registro clicca sul + prima della cartella HKEY_USERS
poi sul +prima della cartella S-1-5-21-329068152-884357618-725345543-500
e così via fino ad arrivare al valore "001"="aux.snt"
prova :sperem:

Non lo trovo :cry: c'è una marea di roba

Fino a quale sotto chiave trovi?
Ti consiglio di copiarti la chiave in un file di testo e tenerlo aperto, man mano che vai avanti cancella sul file di testo il nome che hai superato, prova in questo modo ci vuole calma stai tranquillo :lamer:

Ok ho seguito il percosrso e mi da leggi il link

cancello solo aux.snt e avenger ?

http://img183.imageshack.us/img183/1659/report3ee7.th.jpg (http://img183.imageshack.us/my.php?image=report3ee7.jpg)

Ho seguito il percorso passo passo,iniziato da Microsoft fino ad arrivare a 5603 credo che sia giusto anche perchè non dovrebbe esserci altro uguale no?

Eliminato questo dovrei essere a posto?

Sicuri che non succede nulla??? :lamer:

Elimina la chiave è stata creata dal malware dovrebbe essere ok :sperem:

Anche quella di Avenger?

ascolta ma la foto che hai postato corrisponde al percorso intero non mi sembra :mbe:

arrivato a 5603 che valore ti da? :confused:

L'ho dovuta tagliare un pò,ma il percorso è giusto,perchè?

Valore 001

tu devi eliminare la chiave 5603 e se ci clicchi sopra come valore ti dovrebbe dare "001"="aux.snt", questa è la chiave da eliminare dopo facciamo una pulizia del registro co appositi programmi ma ora interessa questa :stordita:

va bene ok

Ho provato a rifare l'operazione con l'ultimo programmino e mi dice "Istance not found" quindi è giusto!?!?

C'è altro da fare?

http://img244.imageshack.us/img244/1953/report1hx6.th.jpg (http://img244.imageshack.us/my.php?image=report1hx6.jpg)

Prima e dopo la deframmentazione disco mi da come ti ho postato.

E'giusto che ci siano degli spazi bianchi (disponibili) insieme a quelli blu e viceversa??

Elimina RegSrch ed edvenger
scaricati Ccleaner da qui http://www.filehippo.com/download_ccleaner/ clicca su Download
Latest Version
poi scaricati RegSeeker da qui http://www.hoverdesk.net/dl/en/RegSeeker.zip

Installa Ccleaner e avvialo clicca su analizza e poi avvia cleaner
Dopo clicca sul pulsante problemi ->trova problemi quando finisce la scansione clicca su ripara selezionati, ripeti l'operazione fino a che non trova nessun problema :rolleyes:

Mi da la voce "Ripara Selezionati" faccio ok?

Si, ti chiede se vuoi fare il backup delle modifiche del registro puoi anche non farlo ccleaner è sicuro non mi ha mai creato problemi sulle chiavi che modifica :)

Si infatti questo è da un pò che ce l'ho e va bene! :D

Ok ora mi da nessun problema rilevato :mano:

ripeti questa operazione fino a quando non trova nessun altro problema

Fatto 5/6 volte e non mi trova più problemi! :D :)

Ora decomprimi RegSeeker.zip e metti in una cartella non si deve installare come programma, eseguilo e su languages... seleziona italian clicca su pulizia del registro e poi su ok! alla fine della scansione clicca sulla scritta seleziona tutto menu a tendina seleziona tutto con il tasto destro del mause clicchi su un valore menu a tendina Elimina i valori selezionati
Ripeti l'operazione fino a che non trova altre voci
Fine

Anche questo è sicuro no?

C'è la casella di spunta in "copia delle voci rimosse",la lascio?

E' sicuro lascia la spunta e fai la pulizia

Fatto una volta ok.

Ora ho avviato la seconda e me ne trova ancora è normale?

Pulisci vai :D

Ok pulito tutto,provato 4 volte ed è ok! :D

Riavvia se il computer funonzia abbiamo finito altrimenti... :D :D :Prrr:

Il computer fila liscio come un olio :D

Tutto ok,adesso terrò presente di fare una pulizia ogni tanto anche con l'altro programma di pulitura registro,oltre che con CCleaner.

Riguardo alla schermata Defrag è giusto che tra gli spazi blu,ci siano dei bianchi?
File contigui e spazio dispoinibile??

Non ti so rispondere con certezza :boh: credo di si, non so :confused: :stordita: :fagiano:

Ringrazio tantissimo te e Lucas,che mi avete aiutato con pazienza in maniera esagerata :mano:

Lo dico veramente!
Mi piacerebbe rimanere in contatto (si spera non per risolvere problemi che ha fatto Norton in parte).

Davvero,scrivimi in pvt e ci scambiamo le mail se ti va,comunque io qui bazzico sempre!

Grazie tantissimo ancora!

Buon appetito se vai a mangiare! ;)

Io devo ringraziare a te che ti ho usato come cavia. :Prrr: :Prrr:
Io mi ero infettato due volte per vedere i comportamenti del virus ma una cosa è risolvere i problemi nella propria macchina e un'altra risolverli tramite forum.
Mi piacerebbe anche a me rimanere in contatto con te sei simpatico, buona cena anche a te! :mano:

Grazie mille!

Cerco di esserlo e mi piaciono molto gli amici e la compagnia e ti garantisco che non è facile trovare persone come te che si prestano ad aiutare.

A me piace farlo a distanza,però come ripeto più a livello hardware,se c'è qualche casino...anche di cellulari me ne intendo.

A livello software ho delle "carenze",ma piano piano....

Allora ci teniamo in contatto eh?!

Ti ho scritto in pvt per conoscerci meglio,grazie di nuovo e appena siamo connessi ci si trova eh,io ti cerco! ;)

Ciao!

Il pc fila liscio,solamente ieri sera prima di spegnere mi sono accorto che c'era un file di quelli Dialer,perchè nonostante connesso all'ADSL mi dava non in linea e mi appariva la connessione che ho analogica con libero,comunque pulito tutto ed ora ok.

Mi sembra proprio che il pc vada meglio sai :D

Ci è voluto un pò di tempo ma alla fine.... :ubriachi:

Ascolta cosa ne pensi di questa scansione con Nod 32?
Mi pare che di file in Programmi>File comuni che molti davano fastidio non c'è più traccia.

[img=http://img237.imageshack.us/img237/3752/report4ol5.th.jpg] (http://img237.imageshack.us/my.php?image=report4ol5.jpg)

Grazie e buona giornata!

Marco postami il nuovo log qui, in pvt ci vuole una vita prima che mi arrivi :D

Un piccolo problema mi fa disconnettere, ma ci sentiamo dalle 17:00 in poi, sempre se ci sei più tardi! :)
A dopo... ;)

Hai visto il post di Nod32 fatto avendo tolto il ripristino configurazione?

Credo di no!

Questo è l'ultimo report fatto con il ripristino configurazione disattivato,con la modalità provvisoria l'antivirus non va.

http://img183.imageshack.us/img183/5914/report5oh7.th.jpg (http://img183.imageshack.us/my.php?image=report5oh7.jpg)

Ottimo Marco, l'ultimo messaggio che mi avevi mandato allora era un log uguale a quello che mi aveva allarmato, ora si può... :cincin: :ubriachi:
Volendo puoi riattivare il ripristino, anche se io non lo consiglio proprio per evitare questi inconvenienti ;)
Grande, ci risentiamo :p

Per essere scrupolosi ti posto anche i report fatti in modalità provvisoria :

http://img179.imageshack.us/img179/3943/reportprovv1qp0.th.jpg (http://img179.imageshack.us/my.php?image=reportprovv1qp0.jpg)

http://img301.imageshack.us/img301/98/reportprovv2en2.th.jpg (http://img301.imageshack.us/my.php?image=reportprovv2en2.jpg)

http://img245.imageshack.us/img245/5346/reportprovv3tp5.th.jpg (http://img245.imageshack.us/my.php?image=reportprovv3tp5.jpg)

Grassie ancora!

Ciao,
vorrei un consiglio, io installato sia Kapersky che Nod32 secondo voi potrebbero crearsi dei problemi??

Ciao,
vorrei un consiglio, io installato sia Kapersky che Nod32 secondo voi potrebbero crearsi dei problemi??
seOndo te? :rolleyes:

tiu is megl che uan?

baaa... :rolleyes:






PS: e io che pensavo che questo thread parlasse di Nod32.... :doh: in realtà è una guida "personalizzata" alla rimozione di LinkOptimizer....
Complimenti a Kmarraff per la pazienza/sforzo profuso... :eek:

:ops2: :asd: :asd: :asd: :asd:

Vorrei passare alla versione completa di Nod 32,nel pannello del programma c'è il tasto Acquista Versione Completa.

Volevo sapere come è la modalità,ovvero si aggiorna automaticamente lui alla versione completa?
Bisogna disinstallare la prova (non penso però)??
Arriva qualcosa per fare il download?

Inoltre volevo sapere se il sito è "sicuro" per effettuare pagamento con Carta Poste Pay.

Grazie dell'aiuto!

Se clicco su aggiorna a versione completa,mi chiede nome utente e password,ma bisogna registrarsi?

Nessuno che ha questo antivirus che mi può dare una dritta??? :confused:

Ho fatto la scansione con Nod 32,alcuni file sono bloccati,ma è normale?

Tempo fa avevo link optimizer ma poi Kmarraff mi ha aiutato a togliere un bel po di spazzatura. ;)

Ora come vi sembra?

Grazie dei consigli

http://img162.imageshack.us/my.php?image=report6wi4.jpg