TROJAN CHE NON SI RIMUOVE

[AMBSI]

SALVE RAGAZZI SONO NUOVO E SOPRATTUTTO MOLTO POCO ESPERTO DI VIRUS E QUANT ALTRO SULLA SICUREZZA...INFATTI HO DA POCO DOVUTO FAR FORMATTARE IL PC CHE ERA DEVASTATO.
ALLA MIA PRIMA CONNESSIONE SUL SITO udite udite DELLA MICROSFT MENTRE SCARICAVO microsoft antispyware IL NORTON HA RILEVATO UN TROYAN CHE RICONDUCEVA AL FILE system32\rdriv.sys.
PER NORTON NON ERA POSSIBILE NE METTERLO IN QUARANTENA NE TANTOMENO ELIMINARLO.
L'HO CERCATO TRA I SISTEM32 MA OVVIO NON C'ERA.....L'HO TROVATO SU trova file e cartelle MA NON ME LA FA ELIMINARE MANUALMENTE......CHE DEVO DA FA'???
IL SISTEMA OP. E' WINDOWS 2000 NT SERVICE PACK 4.....AVREI ALTRE DOMANDE MA LE RISERVO PER DOPO.......GRAZIE A TUTTI

[andorra24]

Ciao, fai una scansione con ewido:http://download.ewido.net/ewido-setup.exe

[andorra24]

Dopo aver fatto la scansione con ewido posta un log di hijackthis nell'apposito thread in rilievo.

[BravoGT83]

1. Caps lock ON = Urlare


cmq prova a fare tutto in modalità provvisoria

[AMBSI]

Quote:

Originariamente inviato da andorra24

Dopo aver fatto la scansione con ewido posta un log di hijackthis nell'apposito thread in rilievo.

HO EFFETTUATO SIA LO SCAN CON EWIDO CHE CON HIJACKTHIS, IL FILE IN QUESTIONE (rdriv.sys) NON SI TROVA PIU' NEANCHE CON trova file o cartelle...
EWIDO HA TROVATO ALTRE COSE CHE HA ELIMINATO....TI MANDO IL LOGFILE DI HIJACKTHIS E MI DICI SE CI SONO COSE ANOMALE.....GRAZIE INFINITE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\SymTray.exe SetReg
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programmi\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1129593105993
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Windows Updates - Unknown owner - C:\WINNT\windowsupdates.exe (file missing)

[andorra24]

Fixa questa:
O23 - Service: Windows Updates - Unknown owner - C:\WINNT\windowsupdates.exe (file missing)

e se non usi proxy fixa anche questa:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

[AMBSI]

SCUSA L'IGNORANZA MA UN PROXY NON SO COSA SIA....MAGARI CE L'HO MA IL NOME TECNICO NON MI DICE NULLA.......che vergogna.......

[andorra24]

Fai tranquillamente il fix delle 2 voci che ti ho indicato.

[AMBSI]

giusto...... è inutile spiegarmi cos'è un proxy.......ok allora eseguo senza problemi....???
UNA COSA VOLEVO ANCORA CHIEDERTI....HO NORTON 2005 SYSTEMWORKS PENSO CON IL FIREWALL ATTIVO...visto che ogni tanto mi avverte che qualche worm tenta di collegarsi al mio pc e mi chiede se acconsento o meno......OGGI HO PROVATO HA SCARICARE E ATTIVARE UN SECONDO FIREWALL UNA VOLTA OUTPOST...E KERIO....MA SIA L'UNO CHE L'ALTRO MI DAVANO NOIE PER LA CONNESSIONE ADSL.....
IL PRIMO MI FACEVA CONNETTERE MA NON SI APRIVANO LE PAGINE WEB
IL SECONDO NON MI FACEVA PROPRIO CONNETTERE IL MODEM.
PROBLEMI DI SETTAGGIO CHE NON SO FARE O CONFLITTI CON NORTON?

[andorra24]

Quote:

Originariamente inviato da AMBSI

UNA COSA VOLEVO ANCORA CHIEDERTI....HO NORTON 2005 SYSTEMWORKS PENSO CON IL FIREWALL ATTIVO...visto che ogni tanto mi avverte che qualche worm tenta di collegarsi al mio pc e mi chiede se acconsento o meno......OGGI HO PROVATO HA SCARICARE E ATTIVARE UN SECONDO FIREWALL UNA VOLTA OUTPOST...E KERIO....MA SIA L'UNO CHE L'ALTRO MI DAVANO NOIE PER LA CONNESSIONE ADSL.....
IL PRIMO MI FACEVA CONNETTERE MA NON SI APRIVANO LE PAGINE WEB
IL SECONDO NON MI FACEVA PROPRIO CONNETTERE IL MODEM.
PROBLEMI DI SETTAGGIO CHE NON SO FARE O CONFLITTI CON NORTON?

Norton Systemworks non ha nessun firewall ma solo antivirus+ utilities varie. Quindi ti consiglio al piu' presto di metterti un firewall. Il messaggio sui worms che ogni tanto visualizzi probabilmente te lo manda l'antivirus che ha integrata la protezione dai worms. Per quanto riguarda i tuoi problemi con kerio e outpost penso che siano dovuti a qualche settaggio che devi aggiustare e configurare meglio. Io uso il sygate e non sono molto pratica di kerio e outpost.

[AMBSI]

MITICA ......CI SEI DOMANI O MAGARI QUESTA SERA CHE ORA NON POSSO CONTINUARE(ho gli allenamenti scusa) ?COSI METTO SYGATE E MI SPIEGHI QUALCHE COSA.....SU COME SETTARLO CHE IO SONO UN VERO PROFANO.COME TI CI TROVI?
MIA MAIL....ambsi@tiscali.it



GRAZIE DI TUTTO ANDORRA24

[andorra24]

Quote:

Originariamente inviato da AMBSI

MITICA ......CI SEI DOMANI O MAGARI QUESTA SERA CHE ORA NON POSSO CONTINUARE(ho gli allenamenti scusa) ?COSI METTO SYGATE E MI SPIEGHI QUALCHE COSA.....SU COME SETTARLO CHE IO SONO UN VERO PROFANO.COME TI CI TROVI?
MIA MAIL....ambsi@tiscali.it



GRAZIE DI TUTTO ANDORRA24

Mi trovi facilmente qui sul forum e puoi contattarmi in mp se vuoi chiedermi qualcosa.

[andorra24]

Se vuoi mettere il sygate ti linko alcune cose utili. Innanzitutto ti consiglio di scaricarlo da qui: http://tucows.efes.net.tr/preview/213160.html
Poi leggiti queste ottime guide su come usarlo e configurarlo:
http://www.megalab.it/articoli.php?id=591
http://www.sicurezzainrete.com/Sygate_5.5_1.htm