|
|||||||
|
|
|
 |
|
|
Strumenti |
02-08-2006, 13:35
|
#1 |
|
Senior Member
Iscritto dal: Oct 2005
Messaggi: 311
|
Trojan Win32/Agent.VP
Salve a tutti, vi chiedo gentilmente aiuto per risolvere definitivamente il seguente problema(spero), intanto la mia configurazione di sistema è:
Win2000Pro + Service Pack4 Internet Explorer 6 Serice Pack1 + Cumulative Security Update Service Pack1(KB832894). Utilizzavo regolarmente come antivirus McAfee e BitDefender online, e come antispyware Ewido, Spybot, Ad-Aware. Qualche giorno fà il SO mi ha iniziato a dare molti problemi oltre a presentarsi molto rallentato, alcuni programmi(come Process Explorer) erano bloccati, McAfee e gli altre scanner..... non mi rilevano niente, allora: 1) apro il Task Manager e noto un utilizzo esagerato di CPU da parte del sistema e di memoria da parte di alcuni processi come explorer.exe, svchost.exe, SERVICES.exe.... 2) controllo l'esecuzione automatica e noto i seguenti processi, alcuni mi sembrano sospetti(mai visti) gli disabilito e la situazione non cambia: Located: HK_LM:Run, NeroFilterCheck command: C:\WINNT\system32\NeroCheck.exe file: C:\WINNT\system32\NeroCheck.exe size: 155648 MD5: 3e4c03cefad8de135263236b61a49c90 Located: HK_LM:Run, nod32kui command: "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE file: C:\Program Files\Eset\nod32kui.exe size: 921600 MD5: 98703b4019feb4e1ac2708f0613cfdf4 Located: HK_LM:Run, NvCplDaemon command: RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup file: C:\WINNT\system32\RUNDLL32.EXE size: 10000 MD5: 1ed5274825cd1eebbe102b9ff7c9ec31 Located: HK_LM:Run, NvMediaCenter command: RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit file: C:\WINNT\system32\RUNDLL32.EXE size: 10000 MD5: 1ed5274825cd1eebbe102b9ff7c9ec31 Located: HK_LM:Run, nwiz command: nwiz.exe /install file: C:\WINNT\system32\nwiz.exe size: 843776 MD5: e56f22ff356570413a81be1e01c46419 Located: HK_LM:Run, QuickTime Task command: "C:\Program Files\QuickTime\qttask.exe" -atboottime file: C:\Program Files\QuickTime\qttask.exe size: 77824 MD5: fc9f5c5d87d0a6d1e10773d20cb3c3ef Located: HK_LM:Run, SoundMan command: SOUNDMAN.EXE file: C:\WINNT\SOUNDMAN.EXE size: 57344 MD5: 18af798f49a1084b0ed8c47d3ceca6b2 Located: HK_LM:Run, Synchronization Manager command: mobsync.exe /logon file: C:\WINNT\system32\mobsync.exe size: 111376 MD5: 9b2f5b9e745deaaa57fb78329ed03061 Located: HK_LM:Run, NWEReboot (DISABLED) command: file: Located: HK_LM:Run, REGSHAVE (DISABLED) command: C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN file: Located: HK_LM:RunOnceEx, (DISABLED) command: file: Located: HK_CU:Run, internat.exe command: internat.exe file: C:\WINNT\system32\internat.exe size: 20752 MD5: f4206fca3b1d2feab50738ec2485d5f3 Located: Esecuzione automatica (comune), Kodak EasyShare software.lnk command: C:\Program Files\Kodak EasyShare software\bin\EasyShare.exe file: C:\Program Files\Kodak EasyShare software\bin\EasyShare.exe size: 757760 MD5: b4e941354d7f934bb0c2d16a3ceb80ec Located: Esecuzione automatica (comune), Kodak software updater.lnk command: C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe file: C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe size: 16423 MD5: db9012564169875f5b2aa7f5fc4905e4 Located: WinLogon, crypt32chain (DISABLED) command: crypt32.dll file: crypt32.dll Located: WinLogon, cryptnet (DISABLED) command: cryptnet.dll file: cryptnet.dll Located: WinLogon, cscdll (DISABLED) command: cscdll.dll file: cscdll.dll Located: WinLogon, sclgntfy (DISABLED) command: sclgntfy.dll file: sclgntfy.dll Located: WinLogon, SensLogn (DISABLED) command: WlNotify.dll file: WlNotify.dll Located: WinLogon, wzcnotif (DISABLED) command: wzcdlg.dll file: wzcdlg.dll 3) installo Nod32 lo lancio e sorpresa.... mi trova il PC infestato dal trojan Win32/agent.VP ne cancella ben 28 quali: C:\Program Files\Common Files\System\BnG.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\Djp.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\dqy.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\eXO.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\GHu.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\GKw.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\hRD.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\iKq.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\iRk.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\jdmI.exe - errore durante l'apertura del file (accesso negato) [4] C:\Program Files\Common Files\System\kGl.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\KhF.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\LRS.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\MIkbg.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\ogQ.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\peH.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\pGz.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\pJP.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\rVOaOy.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\Tiz.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\uZX.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\VDl.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\wSpNj.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\Xbw.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\xLU.exe - Win32/Agent.VP cavallo di troia C:\Program Files\Common Files\System\yanyU.exe - Win32/Agent.VP cavallo di troia - cancellato C:\Program Files\Common Files\System\yrR.exe - Win32/Agent.VP cavallo di troia - cancellato C:\WINNT\system32:ttaa.dll - Win32/TrojanDownloader.Small.AZK cavallo di troia - cancellato 4) inoltre il Nod32 mi rivela che alcuni file sono bloccati e altri protetti da password: Settore di boot del disco A: - errore nella lettura del settore Il percorso A:\ non è valido. C:\pagefile.sys - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT - errore durante l'apertura del file (accesso negato) [4] C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AlexaRelated.zip »ZIP »RELATED.HTM - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AlexaRelated.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AlexaRelated1.zip »ZIP »RELATED.HTM - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AlexaRelated1.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CallingHomebiz.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DoubleClick.zip »ZIP »vittorio@doubleclick[1].txt - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DoubleClick.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit2.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit2.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit3.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit3.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit4.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit4.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit5.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit5.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCA.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCA.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCAInternetOptimizer.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCAInternetOptimizer.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCAInternetOptimizer1.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCAInternetOptimizer1.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\FastClick.zip »ZIP »vittorio@fastclick[1].txt - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\FastClick.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechPowerScan.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechPowerScan.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\PowerScan.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\PowerScan.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WindowsMediaPlayer.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WindowsMediaPlayer.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WindowsMediaPlayer1.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WindowsMediaPlayer1.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WindowsMediaPlayer2.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WindowsMediaPlayer2.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WindowsMediaPlayer3.zip »ZIP »sbRecovery.reg - errore - il file è protetto da password C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WindowsMediaPlayer3.zip »ZIP »sbRecovery.ini - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »CmnIds.vbs - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/arrow_right.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/btn_signup_52x20.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/more_info.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/sidetable_bottom.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/sidetable_bottom_red.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/sidetable_top.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/sidetable_top_red.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/transpix.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/watermark_mys_150x130.gif - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »oemcfg.vbs - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »OEMIds.vbs - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »valert.htm - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »valert_old.htm - errore - il file è protetto da password C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »hs~valert.htm - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »CmnIds.vbs - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/arrow_right.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/btn_signup_52x20.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/more_info.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/sidetable_bottom.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/sidetable_bottom_red.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/sidetable_top.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/sidetable_top_red.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/transpix.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »images/watermark_mys_150x130.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »oemcfg.vbs - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »OEMIds.vbs - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »valert.htm - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »valert_old.htm - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\80YKGG60\valert[1].ui »ZIP »hs~valert.htm - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »CmnIds.vbs - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/arrow_right.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/btn_signup_52x20.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/more_info.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/sidetable_bottom.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/sidetable_bottom_red.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/sidetable_top.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/sidetable_top_red.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/transpix.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »images/watermark_mys_150x130.gif - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »oemcfg.vbs - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »OEMIds.vbs - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »valert.htm - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »valert_old.htm - errore - il file è protetto da password C:\Documents and Settings\dQEUPsQVt\Local Settings\Temporary Internet Files\Content.IE5\O5IR8X67\valert[1].ui »ZIP »hs~valert.htm - errore - il file è protetto da password C:\Documents and Settings\Vittorio\NTUSER.DAT - errore durante l'apertura del file (il file è bloccato) [4] C:\Documents and Settings\Vittorio\ntuser.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4] C:\Documents and Settings\Vittorio\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - errore durante l'apertura del file (il file è bloccato) [4] C:\Documents and Settings\Vittorio\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4] C:\Program Files\Common Files\System\jdmI.exe - errore durante l'apertura del file (accesso negato) [4] C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »Ad-Aware SE Default.skn - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »arrow1.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »arrow2.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bck1.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt11.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt12.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt13.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt21.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt22.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt23.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt31.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt32.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt33.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt41.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt42.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt43.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt51.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt52.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt53.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt61.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »bt62.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »checkbox1.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »checkbox2.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »checkbox3.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »checkbox4.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »defbtn1.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »defbtn2.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »defbtn3.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »glyph1.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »glyph2.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »glyph3.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »glyph4.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »glyph5.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »glyph6.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »glyph7.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »main.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »preview.bmp - errore - il file è protetto da password C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask »ZIP »sprite1.bmp - errore - il file è protetto da password C:\WINNT\SoftwareDistribution\EventCache\{7762B4BA-A0FE-4999-B901-7542FFA5D44A}.bin - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\default - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\default.LOG - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\SAM - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\SAM.LOG - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\SECURITY - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\SECURITY.LOG - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\software - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\software.LOG - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\system - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\system32\config\SYSTEM.ALT - errore durante l'apertura del file (il file è bloccato) [4] C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »countries.js - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »default.htm - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »header.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »HtmlUtil.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »images/bg_left_1x314.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »images/icon_info_16x16.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »images/icon_mcafee_61x61.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »images/icon_progress_checked_13x13.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »images/icon_progress_hot_13x13.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »images/icon_progress_unchecked_13x13.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »install.htm - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »instwiz.css - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »instxp.css - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »lang_countries.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »lang_vso.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »mcccom.lpk - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »pbar.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »setcss.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »VsoConst.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »vsoins.ini - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.cab »CAB »vsoins.ui »ZIP »VSOPropConst.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »countries.js - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »default.htm - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »header.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »HtmlUtil.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »images/bg_left_1x314.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »images/icon_info_16x16.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »images/icon_mcafee_61x61.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »images/icon_progress_checked_13x13.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »images/icon_progress_hot_13x13.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »images/icon_progress_unchecked_13x13.gif - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »install.htm - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »instwiz.css - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »instxp.css - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »lang_countries.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »lang_vso.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »mcccom.lpk - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »pbar.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »setcss.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »VsoConst.vbs - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »vsoins.ini - errore - il file è protetto da password C:\WINNT\Temp\mcuB.tmp\vsoins.ui »ZIP »VSOPropConst.vbs - errore - il file è protetto da password Vi chiedo se secondo voi il problema è risolto, cosa mi consigliate di fare? Riguardo ai processi in esecuzione automatica in particolare cryptnet, crypt32, NWEReboot, RunOnceEx, REGSHAVE..... ne sapete qualcosa, cosa mi consigliate? Grazie. |
|
|
05-08-2006, 23:25
|
#2 |
|
Senior Member
Iscritto dal: May 2000
Messaggi: 840
|
Non oso pensare se qualcuno dovesse quotarti..........
 Prova a scansionare il pc mandandolo in modalità provvisoria, prima di fare questa operazione, dalle proprietà di Risorse del computer>Ripristino Configurazioni di Sistema, devi mettera la spunta su Disattiva ripristino configurazioni di sistema. Poi al termine della scansione di Nod32, lancia un anti malaware es. ewido e facci sapere com'è andata, bye..... |
|
|
|
05-08-2006, 23:48
|
#3 |
|
Senior Member
Iscritto dal: Jun 2005
Città: in lombardia
Messaggi: 8414
|
disattiva ripristino configurazione di sistema :
http://service1.symantec.com/SUPPORT...20823151930924 usa questo per ripulirti dai file temporanei http://www.filehippo.com/download_ccleaner/ fai scansione con questi: http://info.prevx.com/downloadremove...etermination=G ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
__________________
Asrock z170m, i7 6700k, 8GB Kingston ddr4 2666, sandisk ssd120GB, Segate 4TB, XFX Radeon RX 480 RS 8GB |
|
|
|
06-08-2006, 12:51
|
#4 |
|
Senior Member
Iscritto dal: Oct 2005
Messaggi: 311
|
ciao e molte grazie dell'interessamento, premetto che avevo già effettuato scansioni in modalità provvisoria e mostrando i file di sistema nascosti, ma niente. Ora provo con i software consigliati da matteo1 ma intanto.....
Il mio problema persiste e con qualche novità che ora vi illustro: 1) il file nascosto C:\Program Files\Common Files\System\jdmI.exe viene rilevato come trojan ma non si cancella ho provato manualmente poi con il Tritatutto di SpyBot ma si è rinominato in C:\Program Files\Common Files\System\qxnfdqno.oyt il Nod32 lo rileva e tenta di cancellarlo a ogni riavvio del PC ma niente. Cosa posso fare? 2) Bitdefender(utilizzo la scansione online) è bloccato e non mi si aggiorna più, inoltre ho letto in rete che questo virus può utilizzare proprio un file di bitdefender. Come faccio a disinstallarlo? non trovo l'unistaller. Cancello manualmente le cartelle avxoscan, BDOSCAN8 ? 3) se utilizzo eDonkey mi appare una finestra che mi avvisa che la connessione non è sicura con questa versione di Explorer. Non sò se dipende dal virus comunque prima non mi era mai successo. 4) notato queta applicazione sospetta BHO {26C4ED2E-0A6C-B319-694E-F9A3E25CC5D3} di cui non sò niente. ?????? 5) Windows update non mi funziona più. 6)il Nod mi avverte continuamente che i file setup.exe potrebbero essere infettati da un nuovo virus e di inviarli Eset per essere analizzati. Non noto niente di strano nei file setup.exe ne ho due Nvidia, due del Nod32, uno in system32 di Windows NT e uno Adobe Reader. Cosa faccio? 7) ho fatto una scansione con hijackthis e il risultato è il seguente: Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\WINNT\system32\drivers\KodakCCS.exe C:\Program Files\Eset\nod32krn.exe C:\WINNT\system32\nvsvc32.exe C:\Program Files\Kodak EasyShare software\bin\ptssvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Program Files\QuickTime\qttask.exe C:\Program Files\Eset\nod32kui.exe C:\WINNT\system32\internat.exe C:\Program Files\Kodak EasyShare software\bin\EasyShare.exe C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\Documents and Settings\Vittorio\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\WINNT\SERVICES.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {26C4ED2E-0A6C-B319-694E-F9A3E25CC5D3} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{175E744A-C76C-4388-A42F-3ECBFD25837D}: NameServer = 212.216.112.112,212.216.172.62 O17 - HKLM\System\CS1\Services\Tcpip\..\{175E744A-C76C-4388-A42F-3ECBFD25837D}: NameServer = 212.216.112.112,212.216.172.62 O17 - HKLM\System\CS2\Services\Tcpip\..\{175E744A-C76C-4388-A42F-3ECBFD25837D}: NameServer = 212.216.112.112,212.216.172.62 O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: ptssvc - KODAK - C:\Program Files\Kodak EasyShare software\bin\ptssvc.exe Noto alcune cose che non vanno o sospette e chiedo il vostro aiuto cosa devo fixare? 8) in ultimo questo caz.... di REGSHAVE.EXE cosa è??? Riguardo ai processi in avvio automatico sopra elencati che ho disabilitato cosa faccio??? da dove sbucano???? cancello le chiavi e gli eseguibilida ??? Grazie. |
|
|
|
06-08-2006, 12:59
|
#5 |
|
Senior Member
Iscritto dal: Jun 2005
Città: in lombardia
Messaggi: 8414
|
disinstalla bitdefender
riavvia il pc scaricati l'update totale di bitdefender da qui: http://www.majorgeeks.com/Bitdefende...ons_d4583.html per i file che non si cancellano usa questo: http://ccollomb.free.fr/unlocker/ scarica,aggiorna e usa questo: http://www.ewido.net/en/download/ usa anche questo: http://www.iobit.com/download/AWCv2Beta1Setup.exe aggiorna windows con questo: http://www.eng2ita.net/forum/index.php?topic=151.0 il log di hijackthis devi postarlo nella apposita sezione,ma puoi fare da solo qui: http://hijackthis.de/
__________________
Asrock z170m, i7 6700k, 8GB Kingston ddr4 2666, sandisk ssd120GB, Segate 4TB, XFX Radeon RX 480 RS 8GB |
|
|
|
07-08-2006, 13:05
|
#6 |
|
Member
Iscritto dal: Dec 2004
Città: Napoli
Messaggi: 117
|
Io ho una situazione simile che non riesco a debellare..ho isolato questo fantomatico oaqy.exe ma non riesco a rimuoverlo manualmente nemmeno in modalità provvisoria.
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni 07/08/2006 11.53.17 AMON file C:\Programmi\File comuni\System\oaqY.exe Win32/Agent.VP cavallo di troia NT AUTHORITY\SYSTEM Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\system32\services.exe. |
|
|
|
07-08-2006, 13:23
|
#7 |
|
Senior Member
Iscritto dal: Jun 2005
Città: in lombardia
Messaggi: 8414
|
prova unlocker o questo:
http://news.swzone.it/swznews-2931.php
__________________
Asrock z170m, i7 6700k, 8GB Kingston ddr4 2666, sandisk ssd120GB, Segate 4TB, XFX Radeon RX 480 RS 8GB |
|
|
|
07-08-2006, 13:28
|
#8 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
Quel trojan utlimamente è droppato da LinkOptimizer, variante con rootkit.
Prova a dare un occhio a questa guida http://www.suspectfile.com/forum/viewtopic.php?t=156 Potrebbe toglierti dei dubbi sulla possibile presenza di questa infezione.
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
07-08-2006, 13:29
|
#9 | |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
Quote:
Incredibile come si copino l'un l'altro, semplicemente utilizzando un API di Windows (MoveFileEx) per fare ciò
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
07-08-2006, 13:31
|
#10 | |
|
Senior Member
Iscritto dal: Jun 2005
Città: in lombardia
Messaggi: 8414
|
Quote:
__________________
Asrock z170m, i7 6700k, 8GB Kingston ddr4 2666, sandisk ssd120GB, Segate 4TB, XFX Radeon RX 480 RS 8GB |
|
|
|
|
07-08-2006, 14:08
|
#11 |
|
Senior Member
Iscritto dal: Oct 2005
Messaggi: 311
|
Cercando in rete non ho ancora trovato una chiara e definitiva soluzione, la guida della suspectfile la trovo troppo complessa e laboriosa per le mie capacità, non vorrei fare ulteriori danni .
Ho visto che il mio problema riguarda diversi utenti quindi ho deciso di procedere con molta cautela guardando come si evolve la situazione per evitare tentativi inutili e di incasinare ulteriormente il SO. Comunque stò iniziando a farmi un idea..... Aggiungo oltre ai sintomi già descritti che ho notato nel menù di disinstallazione del pannello di controllo la voce LinkOptimizer. Grazie a tutti e fatemi sapere. |
|
|
|
07-08-2006, 15:49
|
#12 | |
|
Member
Iscritto dal: Dec 2004
Città: Napoli
Messaggi: 117
|
Quote:
questo non lo sfiora proprio, ho disabilitato il ripristino e provato a rimuoverlo con questo prog ma niente da fare, inoltre sottolineo che a me il problema non è cosi complesso coem gli altri, ho solo questo file che mi viene rilevato dal NOD32 senza nessun altro prog che appare in installazione applicazioni ecc.. |
|
|
|
|
28-09-2006, 18:25
|
#13 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Padova
Messaggi: 349
|
Rootkit... hmmm......
Anche io ho questo problema del processo explorer.exe che aumenta sempre più in utilizzo di memoria e non si svuota mai... Penso di aver raggiunto il record avendo visto gli screenshot precedenti (qui )... sono arrivato a 1.027.456... 1GB!!! Ho potuto constatare che il processo aumenta di memoria a ogni operazione di shell che si effettui nel sistema (click su un file e conseguente visualizzazione delle informazioni del file nella barra di stato, click destro su un file e apertura del menu contestuale...).
Credo proprio che si tratti di un rootkit...  Una cosa che vi può essere utile per rimuoverli, non proprio definitivamente, ma buona parte del lavoro, è il removal tool dell'Agent.VP che trovate sul sito della NOD32 www.nod32.it nell'area supporto. Questo tool è molto utile in quanto non fa una scansione del sistema, ma vi chiede di specificare manualmente il file da eliminare. In base al file da voi scelto, l'utility rimuoverà l'utente rogue (ovvero l'utente di sistema creato dal rootkit a cui dare esclusivi diritti di accesso al file e alle chiavi di registro coinvolte), le chiavi di registro coinvolte, il servizio creato per eseguire il rootkit e il file in questione. Ora, perchè dico "non proprio definitivamente"? Perchè ogni rootkit ha soltanto la funzione di nascondere e proteggere un certo programma... questo programma può essere qualsiasi cosa, può essere uno spyware-adware alla meglio, ma può anche essere un virus. Ora, molti di questi spyware-adware scaricano a loro volta altri spyware-adware... che li chiamerò in generale malware, mettendoli sempre sotto l'ala protettiva del loro rootkit di fiducia. Capite bene che se questo riesce a capitare, dopo la rimozione del rootkit con il primo malware, rimane sul sistema quello che era stato aggiunto alla compagnia delle indie  Ma noi convinti del fatto di aver rimosso tutto e di essere puliti, non ne andiamo ulteriormente in cerca... ERRORE!!!  Questo secondo malware ci metterà molto poco a scaricarsi a vostra insaputa un secondo roootkit di fiducia per pararsi le spalle e ricostruire una nuova compagnia delle indie Sembra quasi fantascienza... ma siamo arrivati a questi livelli... questi malware + rootkit sono fatti sempre meglio... sempre più "intelligenti"... e toglierseli di torno diventa sempre più difficile... A me personalmente sono successi degli episodi con questi rootkit che mi hanno fatto sorridere davanti al monitor per quanto assurda mi sembrasse la loro intelligenza: oltre a vedersi chiudere processi chiave per la loro identificazione e rimozione (es. taskmgr.exe, explorer.exe, etc... addirittura alcuni processi di antivirus o antimalware), arrivare ad aprire la cartella che conteneva il file e vedersi il sistema in freeze!!! Cioè, questo vede che l'ho scoperto, e mi blocca la macchina per potersi soltanto far riavviare??? Così al riavvio lui si copia da un'altra parte... Pazzesco! E allo stesso tempo dici "azz... ben fatta sta roba!"Però ti girano! Che dire... per non ricorrere al fatidicoo formattone... bisogna sbattersi un po' di più e cercare e ripulire con ogni mezzo tutti i posti dove si possano "nascondere"... bella rogna! Ultima modifica di HaLeXz : 28-09-2006 alle 18:28. |
|
|
|
28-09-2006, 18:41
|
#14 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
l'argomento qui è esaurito
Chiudo il thread, in caso si voglia continuare c'è il thread ufficiale sul gromozon/linkoptimizer
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 22:27.
