LinkOptimizer

[ValterManetta]

Quote:

Originariamente inviato da ciccioweb

Ma quando esce un TOOL di rimozione automatica...???

------------------------------------------
X il mio problema, avevo letto tutto il 3D e non solo questo; x non formattare ero deciso a seguire le istruzioni dei primi post, (lunghissime e difficili ) poi lucas84 e bReAkDoWn mi hanno fatto scaricare una tools di Nod32, e con quella in poco tempo ho risolto, anche se avevo fatto delle modifiche di testa mia incasinando la situazione.
ora posto il mio log, il secondo di rootkit è sempre brevissimo!!!

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-24 15:54:33
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
EPSON_PM_RPCV2_01 /*EPSON V3 Service2(03)*/@ = C:\WINDOWS\system32\E_S00RP1.EXE
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
F-Prot Antivirus Update Monitor /*F-Prot Antivirus Update Monitor*/@ = "C:\Programmi\FSI\F-Prot\fpavupdm.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@FRISK FP-SchedulerC:\Programmi\FSI\F-Prot\F-Sched.exe STARTUP = C:\Programmi\FSI\F-Prot\F-Sched.exe STARTUP
@F-StopWC:\Programmi\FSI\F-Prot\F-StopW.EXE = C:\Programmi\FSI\F-Prot\F-StopW.EXE
@GSICONEXEGSICON.EXE = GSICON.EXE
@DSLAGENTEXEdslagent.exe USB = dslagent.exe USB
@EPSON Stylus Photo R220 SeriesC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220" = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@SpybotSD TeaTimer = C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@UPnPMonitor = C:\WINDOWS\system32\upnpui.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{1474F601-9B4B-4EB0-81FA-20F753C0E1A4} /*FRISK extension*/C:\Programmi\FSI\F-Prot\shexthk.dll = C:\Programmi\FSI\F-Prot\shexthk.dll
@{E443A8D5-D905-4401-8789-16AE23A8A96D} /*FRISK extension*/C:\Programmi\FSI\F-Prot\shexthk.dll = C:\Programmi\FSI\F-Prot\shexthk.dll
@{e57ce731-33e8-4c51-8354-bb4de9d215d1} /*Periferiche Plug and Play universali*/C:\WINDOWS\system32\upnpui.dll = C:\WINDOWS\system32\upnpui.dll
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/(null) =

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
FRISK@{1474F601-9B4B-4EB0-81FA-20F753C0E1A4} = C:\Programmi\FSI\F-Prot\shexthk.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{53707962-6F74-2D53-2644-206D7942484F}C:\PROGRA~1\SPYBOT~1\SDHelper.dll = C:\PROGRA~1\SPYBOT~1\SDHelper.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar1.dll__BHODemonDisabled /*file not found*/ = c:\programmi\google\googletoolbar1.dll__BHODemonDisabled /*file not found*/

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{5AF2526F-0418-42D5-ABEC-F61B2938F6D4} /*Connessione alla rete locale (LAN) 2*/ >>>
@IPAddress192.168.0.1 = 192.168.0.1
@NameServer =
@DefaultGateway =
@Domain =

---- EOF - GMER 1.0.10 ----





GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-24 16:28:20
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE F47ADC8A

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----

[ztop]

Quote:

Originariamente inviato da ValterManetta

CAMPIONE DEL MONDOOOO!!!


Campione del mondo x lunghezza di post!!
Saranno all'incirca 600 voci!!! ci vorranno 10 giorni x analizzarlo!! X curiosità poi voglio provare postare il mio log di un server con due HD abbastanza pieni!!!
DOMANDA agli esperti: x GMER non c'è un'analizzatore come x HijackThis così uno può dare una controllatina preventiva???
grazie, bye

lo so è lungo ,non so cosa farci....io ho 2 partizioni... sara' per quello..
nessuno sa cosa devo fare ora?
ciao

[ValterManetta]

Quote:

Originariamente inviato da ztop

lo so è lungo ,non so cosa farci....io ho 2 partizioni... sara' per quello..
nessuno sa cosa devo fare ora?
ciao

-------------------------------------------------------------------
mi correggo: saranno circa 6/7000 voci, con questo non voglio polemizzare, ma avendo due HD con 5 partizioni x un tot. di circa 120 GB e notando la lunghezza del log ke ho appena postato, azzardavo esprimere il mio parere dicendo ke forse hai parecchia roba inutile da eliminare!!!
Ma non essendo esperto di questi software,(a malapena mi divincolo con HijackThis) non dico altro, xkè potrei aver detto una mostruosa cavolata!!
P.S aspetta un'attimo ke ti risponderanno gli esperti!!!

[bReAkDoWn]

@ ztop

Scarica il cleaner per agent di cui si parla nel thread ed elimina il seguente file: C:\Programmi\File comuni\System\rmmJtX.exe

Poi con the avenger seleziona input script manually, lente di ingrandimento e incolla il seguente script:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\anlft1.dll

Clicca done, poi sul semaforo verde e rispondi sempre sì..

Dopo il reboot, eventualmente, con hijackthis elimina la linea che si riferisce al file c:\windows\anlft1.dll

[ztop]

Quote:

Originariamente inviato da bReAkDoWn

@ ztop

Scarica il cleaner per agent di cui si parla nel thread ed elimina il seguente file: C:\Programmi\File comuni\System\rmmJtX.exe

Poi con the avenger seleziona input script manually, lente di ingrandimento e incolla il seguente script:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\anlft1.dll

Clicca done, poi sul semaforo verde e rispondi sempre sì..

Dopo il reboot, eventualmente, con hijackthis elimina la linea che si riferisce al file c:\windows\anlft1.dll

non mi è chiaro questo passaggio.. me lo puoi spiegare meglio??
ciao

Dopo il reboot, eventualmente, con hijackthis elimina la linea che si riferisce al file c:\windows\anlft1.dll

[ztop]

Logfile of HijackThis v1.99.1
Scan saved at 22.41.48, on 24/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\fabio\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {CAF9617B-FF76-FF91-0E04-AAF666F296EF} - C:\WINDOWS\anlft1.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44132273-9AD1-4CD5-B10B-95F62D808FDD}: NameServer = 85.37.17.44 85.38.28.90
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

questo è il log appena fatto con hijakthis....
cosa devo sistemare??
come vi sembra??

[ValterManetta]

ad occhio devi fixare lo 02 BHO file missing; poi hai provato a copiare tutta la pag. incollandola nell'analizzatore di log ke trovi nella prima pagina del 3D di HijachThis??? quando ti da il responso controlla se le voci sono accompagnate dal cerchio verde con spunta o se ci sono cerchi gialli "sospetto" o rossi "pericolosi".
però prima di cancellare quest'ultimi con tasto fix, magari controlla con google ke non siano voci necessarie. delle volte mi da sospetto F-PROT antivir, e sconosciuto il firewall di XP.
bye

[ztop]

ho fatto come hai detto
ecco il mio nuovo log

Logfile of HijackThis v1.99.1
Scan saved at 23.36.50, on 24/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\fabio\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44132273-9AD1-4CD5-B10B-95F62D808FDD}: NameServer = 85.37.17.44 85.38.28.90
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

cosa c'è ora di sospetto secondo voi??
altra cosa.. potreste darmi un link dove scaricare la patch microsoft x il linkoptimizer??
ciao e grazie 1000

[Joe Average]

Ciao,

grazie per l'aiuto nei giorni scorsi. Non ho più avuto tue info:
devo intendere che tutto si è risolto per il meglio?
La situazione non è cambiata dall'ultimo post.

Saluti

[bReAkDoWn]

Quote:

Originariamente inviato da ztop

ho fatto come hai detto
ecco il mio nuovo log


cosa c'è ora di sospetto secondo voi??
altra cosa.. potreste darmi un link dove scaricare la patch microsoft x il linkoptimizer??
ciao e grazie 1000

Il log adesso è pulito.. vedo che è scomparsa anche la voce O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE. .te la ha fatta togliere l'analizzatore di log automatico? Dovrebbe essere un file della Realtek (hai l'audio integrato della realtek?), ma qualcuno dice che cmq raccoglie dati statistici e li invia alla casa madre, quindi averlo tolto può anche essere positivo.
Per il resto tieni aggiornato il sistema con windows update, o con gli aggiornamenti automatici. Le vulnerabilità sfruttabili dai vari trojan sono sempre più di una, conviene stare aggiornati.

[bReAkDoWn]

Quote:

Originariamente inviato da Joe Average

Ciao,

grazie per l'aiuto nei giorni scorsi. Non ho più avuto tue info:
devo intendere che tutto si è risolto per il meglio?
La situazione non è cambiata dall'ultimo post.

Saluti

Sì esatto direi che il problema è risolto..
ciao!!

[ztop]

Quote:

Originariamente inviato da bReAkDoWn

Il log adesso è pulito.. vedo che è scomparsa anche la voce O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE. .te la ha fatta togliere l'analizzatore di log automatico? Dovrebbe essere un file della Realtek (hai l'audio integrato della realtek?), ma qualcuno dice che cmq raccoglie dati statistici e li invia alla casa madre, quindi averlo tolto può anche essere positivo.
Per il resto tieni aggiornato il sistema con windows update, o con gli aggiornamenti automatici. Le vulnerabilità sfruttabili dai vari trojan sono sempre più di una, conviene stare aggiornati.

l'analizzatore me lo dava in rosso il ALCMTR.EXE e l'ho tolto....e mi è andata bene...non ho avuto problemi con l'audio...
potreste dirmi x cortesia quale patch microsoft fa riferimento al link optimizer??
grazie 1000 a tutti d'avvero

[ValterManetta]

Quote:

Originariamente inviato da ztop

potreste dirmi x cortesia quale patch microsoft fa riferimento al link optimizer??
grazie 1000 a tutti d'avvero

--------------------------------------------------
l'ho cercato tutta stamane!!!!!!
ricordo di averlo letto da qlk parte, ma con tutta questa confusione ke mi ha fatto fare questo linkoptimizer non ricordo + bene quale post mi riconduceva a microsoft e leggere l'articolo, però se non sbaglio, se hai l'update automatico o solo il download e non l'insatallazione attivata, dovresti averlo scaricato in aprile-maggio.

[ValterManetta]

Vi metto al corrente di quanto mi è successo alle 14.30 circa, dopo aver navigato tutta stamane.
Ricerco con google il sito dell'ospedale civile della mia città xkè mi serve trovare il nome di un medico.
il sito ke si apre mi pare sia della regione veneto.
da premettere ke dopo tutto il caos successomi gli altri giorni ho attivato il TeaTimer di Spybot, anche se rallenta parecchio la navigazione.
ad un certo punto, appare la finestrella di teatimer ke mi avvisa di un BHO prima e un' ACTIVEX dopo, stanno modificandomi le chiavi di registro.
cliko su "NON consenti la modifica" pensando sia finita li.
in un'attimo mi ritrovo un nuovo account"reiMktirSZahrQR" lo cancello subito,
poi in C:\Windows|Temp. un'icona di file eseguibile"xwxe1.exe" -eliminato!!
nella cartella Documenti un'altro eseg. "9e13c2.EXE" -eliminato!!
in C:\DOC.and Setting\ServerAdministrator\Impos.Locali\Temp "009e29c8.bat MS.DOS" eliminato!!
inC:\Programmi\FileComuni\System e Microsoft Shared non mi sembra di vedere niente di particolare.
non ricordo di preciso cosa ho letto e non so dove in riguardo a --System Startup Global Entry--xkè ne son successe troppe!!!
Apro lo stesso il tool di Nod32 x un controllo e mi s'impianta il pc: schermata azzurra, errore WIN 32K.sys
riavvio il tutto e mi ritrovo l'account di prima, poi una nuova icona in file comuni>system "Wronkxi.exe"
Riapro il tool di NOD e vado subito cancellare quest'ultima voce, poi anche l'account.
mentre faccio ciò, si apre una finestrella di F-PROT ke m'avvisa di un tentativo d'intrusione(se ricordo bene) in C:\Windows\system32 --mi sembra ci fossero anche le seguenti lettere-- con.nzq infection W32/ RKDice.A

A questo punto non resta altro ke spararsi!!!
Chiedo ora: xkè non ho trovato il file Wronkxi.exe in verde quando ho aperto NOD32????? x fortuna ke mi ricordavo di non averlo visto prima.
con tutte quelle sottocartelle e centinaia di icone in \File Comuni\Microsoft Shared-- e-- System, se non me li segna in verde come faccio a scoprirli???
ho anche fatto una scansione con HijackThis ed ho eliminato un 02 BHO nofile
e 5 stringhe di 016 DPF Java- plug-in XKè le cartelle JAVA le avevo eliminate l'altro giorno!!!

[kmarraff]

Scusa se mi intrometto ma non sempre sono eseguibili cittografati in C:\Programmi\File comuni\System e C:\Programmi\File comuni\Microsoft Shared delle volte gli esegiubili sono trojan con nomi esclusivi tipo prn.exe, se hai degli aseguibili in queste due cartelle con nomi simili ti consiglio di eliminarli!

[ValterManetta]

Quote:

Originariamente inviato da kmarraff

Scusa se mi intrometto ma non sempre sono eseguibili cittografati in C:\Programmi\File comuni\System e C:\Programmi\File comuni\Microsoft Shared delle volte gli esegiubili sono trojan con nomi esclusivi tipo prn.exe, se hai degli aseguibili in queste due cartelle con nomi simili ti consiglio di eliminarli!

---------------------------------------------------------------
quindi mi stai dicendo ke qualsiasi icona.EXE devo eliminarla????
quando apro \File Comuni\System, trovo tre icone.dll e tre cartelle; allora qui sono apposto.
il problema sorge quando apro \File Comuni\Microsoft Shared, dentro trovo 18 cartelle e basta, ma se vado aprire la sottocartella ARTGALRY> insieme a vari file trovo ALTGARY.exe e CAG.EXE; in "MSInfo> trovo OFFPROV.EXE e msinfo32.exe; e così via.
Potrei dedurre ke si devono eliminare tutti i file eseguibili ke trovi subito dopo aver aperto la directory principale, e non quelli ke trovi nelle sottocartelle, xkè in caso contrario diventerebbe un labirinto destreggiarsi in centinaia di sottocartelle e file di ogni genere, poi il difficile è come distinguerli da quelli buoni.
Grazie x l'attenzione BYE

[kmarraff]

No assolutamente no solo in system e in shared e gli eseguibili devono avere nomi esclusivi di windows

[ValterManetta]

Quote:

Originariamente inviato da kmarraff

No assolutamente no solo in system e in shared e gli eseguibili devono avere nomi esclusivi di windows

------------------------------------------------
Scusa se insisto ma sono un po' duro e quando dici solo in system ed in shared vuol dire appena klikkato il " + ke diventa - " senza andare a spulciare nelle loro sottocartelle, e cosa significa avere nomi esclusivi di windows???

[bReAkDoWn]

Quote:

Originariamente inviato da ValterManetta

Vi metto al corrente di quanto mi è successo alle 14.30 circa, dopo aver navigato tutta stamane.

La prima cosa che mi chiederei è come fanno ad installarsi questi programmi.. Hai il pc aggiornato? Usi WindowsUpdate o Aggiornamenti automatici? Altrimenti, anche se a mano, va aggiornato.

In secondo luogo, per cancellare gli eseguibili dobbiamo procedere alla rovescia, cioè cercare quali di questi eseguibili vengono avviati dal malware, e cancellare quelli per primi.. per far questo esegui services.msc e vedi se ci sono servizi dal nome strano che nelle proprietà hanno un file nelle cartelle incriminate (file comuni ecc.).. E poi vai di nod32 su quello.. Poi bisogna vedere cos'altro è stato compromesso, e per quello servono i log di gmer e simili..

[ValterManetta]

Quote:

Originariamente inviato da bReAkDoWn

La prima cosa che mi chiederei è come fanno ad installarsi questi programmi.. Hai il pc aggiornato? Usi WindowsUpdate o Aggiornamenti automatici? Altrimenti, anche se a mano, va aggiornato.

In secondo luogo, per cancellare gli eseguibili dobbiamo procedere alla rovescia, cioè cercare quali di questi eseguibili vengono avviati dal malware, e cancellare quelli per primi.. per far questo esegui services.msc e vedi se ci sono servizi dal nome strano che nelle proprietà hanno un file nelle cartelle incriminate (file comuni ecc.).. E poi vai di nod32 su quello.. Poi bisogna vedere cos'altro è stato compromesso, e per quello servono i log di gmer e simili..

-------------------------------------------------------------
me lo sono chiesto anch'io!!!
In centro sicurezza ho tutto attivato: firewall di XP, aggiornamenti automatici microsoft, antivirus F-PROT (ogni 4 ore) poi:
Ewido e Spybot aggiornati a mano un paio di volte al giorno, anche se quest'ultimo non rilascia aggiornamenti da vari giorni.
quando chiudo il pc, cancello tutti i file di internet e tutti i cookie al di fuori di quelli dei due forum di cui sono utente, anche l'elenco dei dati recenti.
in outlook ho disattivato l'anteprima e klik blokko mittente a tutte le mail di spam.(avrò ormai un centinaio di mittenti blokkati, x Natale circa 100.000 )
Ho già guardato nei servizi, ma non ne ho trovato con nomi strani; Io x nomi strani intendo ke nella colonna "connessioni" invece di "servizio locale/servizio di rete" ci sia una sigla incomprensibile e klikando T. DX proprietà, non di può disattivare e nell'indirizzo c'è un nome ke riporta a file comuni.
Ciao e Grazie ancora