Saluti,

tempo fa avevo preso uno spyware, dopo averlo eliminato mi rimane un file che non riesco a togliere uin newssun modo, nemmeno in modalita' provvisoria; mi dice che e' sempre in uso.
io volevo avviare il pc in Dos e toglierlo da li' ma ho al partizione NTFS e naturalmente il dischetto di boot, non mi vede l'HDD.

come faccio a cancellare sto dannato file?


grazie :)

Di che file si tratta? Hai provato a rimuoverlo con hijackthis?

Di che file si tratta? Hai provato a rimuoverlo con hijackthis?


certo che ho provato. ma mi dice: Hijackthis is about to remove a BHO.. e bla bla bla...

e quindi non me lo rimuove.


cmq il file si chiama: comxml.dll


Ps. proprio stamattina un mio collega ha un problema identico, solo che il suo file si chiama LogDoc.dll

Prova col programma killbox che trovi qui:
http://www.bleepingcomputer.com/files/killbox.php
con l'opzione:"Delete on reboot"

ok, provo adesso ;)

Prova col programma killbox che trovi qui:
http://www.bleepingcomputer.com/files/killbox.php
con l'opzione:"Delete on reboot"


nulla.. non li cancella...

Prova ad usare ewido security suite: http://www.softpedia.com/get/Antivirus/Ewido-Security-Suite.shtml

proviamo...

Prova ad usare ewido security suite: http://www.softpedia.com/get/Antivirus/Ewido-Security-Suite.shtml


no me lo fa scaricare...

se riesci e se puoi mandamelo in mail a: eros.marchetti (at) gmail.com

no me lo fa scaricare...

se riesci e se puoi mandamelo in mail a: eros.marchetti (at) gmail.com
Te l'ho mandato

THANKS, ORA PROVO ;)

non mi e' arrivato...

prova a: marchettieros (at) libero.it

non mi e' arrivato...

prova a: marchettieros (at) libero.it
Controlla

Ricevuto! :)

adesso provo a vedere se me lo toglie...



graziew ;)

Ok, prima aggiornalo mi raccomando.

nulla..

il file viene rilevato come Trojan H. da questo programma, lo elimina o almeno dice che lo elimina ma alla fine il file sta sempre li...

E' qualcosa che te lo ricrea al boot o quando si accorge che è stato rimosso.
E' necessario avere il log di hijackthis per trovare l'altro malware.

Hai un firewall attivo vero?

no! nessun firewall attivo... purtroppo... questa macchina non e' la mia...

ecco il loog di Hijackthis.


Logfile of HijackThis v1.99.1
Scan saved at 11.21.56, on 14/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Treksmon.Exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Documents and Settings\Eros Marchetti\Desktop\Gatekeeper.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.9:3128;http=192.168.0.9:3128;https=192.168.0.9:3228
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Web\comxml.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Treksmon] Treksmon.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0000706D-0000-0010-8000-00AA00389B71} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {30355844-0000-0010-8000-00AA00389B71} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {33515653-0000-0010-8000-00AA00389B71} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {44495658-0000-0010-8000-00AA00389B71} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {4453D895-F2A1-4A38-A285-1EF9BD3F6D5D} (Microsoft Office Control) - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094213858953
O16 - DPF: {CDABD4C5-6E6D-11D7-BE0F-0010B5B46BF7} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {FDC7A535-4070-4B92-A0EA-D9994BCC0DC5} - http://activex.microsoft.com/objects/ocget.dll
O20 - Winlogon Notify: comxml - C:\WINDOWS\Web\comxml.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

Cmq il Malware e' uno ed e' il Comx...dll

Ho gia' provato a vedere con Hijackthis, e' una delle prime cose che ho fatto...

Hai disabilitato il ripristino di sistema?
Fai una scansione antivirus online: http://www.bitdefender.com/scan8/ie.html
Se vuoi puoi anche provare questi 2 programmi: il primo e' un antitrojan ( http://www.moosoft.com/products/cleaner/download/ )
il secondo un antispyware: http://www.trendmicro.com/download/trial/trial-as.asp

Oltre alla voce: O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Web\comxml.dll mi insospettiscono queste 2 voci:
C:\WINDOWS\Treksmon.Exe
O4 - HKLM\..\Run: [Treksmon] Treksmon.Exe

Altra domanda: stai usando proxy? Se non usi proxy allora devi rimuovere questa: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.9:3128;http=192.168.0.9:3128;https=192.168.0.9:3228

La prima e' il driver di una Pendrive (Treksmon)

e l'altro e' un proxy.

Ripristino configurazione di sistema e' disattivato.

Quindi rimangono le 2 voci:
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Web\comxml.dll
O20 - Winlogon Notify: comxml - C:\WINDOWS\Web\comxml.dll

Prova ad usare i programmini che ti ho indicato sopra.

ok provo.

nel pome ti faccio sapere...


megli ose li eseguo in modalita' provvisoria quei 2 software?

Non e' strettamente necessario ma e' preferibile usarli in safe mode.

dal SID sono risalito al malware.
Si tratta del Troj/Agent-DJ.
Come rimuoverlo leggi queste pagine
http://www.sophos.co.uk/virusinfo/analyses/trojagentdj.html

IMHO per cancellare la malefica "C:\WINDOWS\Web\comxml.dll " è necessario togliergli la registrazione con il programma che trovi qui:
http://www.free-codecs.com/download/DllRegSvr.htm

ciao

nulla... risolto niente....

Proviamo con il consiglio di Bluepix..

per l'altro file sull'altro PC che si chiama LogDoc.dll ti dice nulla?

nulla, nemmeno deregistrando la Dll.

Fai una scansione online con il kaspersky: http://www.kaspersky.com/beta?product=161744315

Prova anche quest'altro valido anti trojan: http://tds.diamondcs.com.au/index.php?page=home

Ma non c'e' un modo per entrare nel HDD senza caricare WInXp?

chesso' un dischetto di boot che veda il disco partizionato NTFS con tutto quello che c'e' dentro... cosi' lo elimino da Dos sto cazzo di file...

Prova a togliere la entry dal registro:

start-regedit

Trova la chiave AppInit_DLLs
in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

posizionati sulla chiave-tasto destro-modifica
togli il parametro comxml.dll in "dati valore" (di solito questa chiave è sempre vuota e quindi potresti togliere tutto quello che c'è?)
e poi ok

fai un reboot della macchina.

A questo punto dovrebbe essere possibile cancellare la dll.

Per stare tranquillo fai un salvataggio della chiave prima della modifica.

ciaoo

Prova a togliere la entry dal registro:

start-regedit

Trova la chiave AppInit_DLLs
in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

posizionati sulla chiave-tasto destro-modifica
togli il parametro comxml.dll in "dati valore" (di solito questa chiave è sempre vuota e quindi potresti togliere tutto quello che c'è?)
e poi ok

fai un reboot della macchina.

A questo punto dovrebbe essere possibile cancellare la dll.

Per stare tranquillo fai un salvataggio della chiave prima della modifica.

ciaoo


nulla... :(

:( E vaiiiiii.......

Prova a dare un'occhiata a questa pagina:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=AgentCS

controlla se hai le chiavi elencate nel registro di sistema.

Se si, in fondo alla pagina, c'è l'indirizzo per scaricare il tool di rimozione...se no... si continua.

proviamo...

:( E vaiiiiii.......

Prova a dare un'occhiata a questa pagina:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=AgentCS

controlla se hai le chiavi elencate nel registro di sistema.

Se si, in fondo alla pagina, c'è l'indirizzo per scaricare il tool di rimozione...se no... si continua.


SEI UN MITO!!!

TOLTO!!!!

con il tool di rimozione...


SEI UN FENOMENO!!!

poi provero' a farlo sull'altro PC, quello che ha il file che non si toglie che si chiama LogDoc.dll


MITO!

GRANDE!

Risolto anche sull'altro PC... era lo stesso Trojan.

quell'utility e' fantastica ;)


razie ancora a tutti ;)