Problemino con rimozione file (spyware)

[el_marchet]

Saluti,

tempo fa avevo preso uno spyware, dopo averlo eliminato mi rimane un file che non riesco a togliere uin newssun modo, nemmeno in modalita' provvisoria; mi dice che e' sempre in uso.
io volevo avviare il pc in Dos e toglierlo da li' ma ho al partizione NTFS e naturalmente il dischetto di boot, non mi vede l'HDD.

come faccio a cancellare sto dannato file?


grazie

[andorra24]

Di che file si tratta? Hai provato a rimuoverlo con hijackthis?

[el_marchet]

Quote:

Originariamente inviato da andorra24

Di che file si tratta? Hai provato a rimuoverlo con hijackthis?

certo che ho provato. ma mi dice: Hijackthis is about to remove a BHO.. e bla bla bla...

e quindi non me lo rimuove.


cmq il file si chiama: comxml.dll


Ps. proprio stamattina un mio collega ha un problema identico, solo che il suo file si chiama LogDoc.dll

[bluepix]

Prova col programma killbox che trovi qui:
http://www.bleepingcomputer.com/files/killbox.php
con l'opzione:"Delete on reboot"

[el_marchet]

ok, provo adesso

[el_marchet]

Quote:

Originariamente inviato da bluepix

Prova col programma killbox che trovi qui:
http://www.bleepingcomputer.com/files/killbox.php
con l'opzione:"Delete on reboot"

nulla.. non li cancella...

[andorra24]

Prova ad usare ewido security suite: http://www.softpedia.com/get/Antivir...ty-Suite.shtml

[el_marchet]

proviamo...

[el_marchet]

Quote:

Originariamente inviato da andorra24

Prova ad usare ewido security suite: http://www.softpedia.com/get/Antivir...ty-Suite.shtml

no me lo fa scaricare...

se riesci e se puoi mandamelo in mail a: eros.marchetti (at) gmail.com

[andorra24]

Quote:

Originariamente inviato da el_marchet

no me lo fa scaricare...

se riesci e se puoi mandamelo in mail a: eros.marchetti (at) gmail.com

Te l'ho mandato

[el_marchet]

THANKS, ORA PROVO

[el_marchet]

non mi e' arrivato...

prova a: marchettieros (at) libero.it

[andorra24]

Quote:

Originariamente inviato da el_marchet

non mi e' arrivato...

prova a: marchettieros (at) libero.it

Controlla

[el_marchet]

Ricevuto!

adesso provo a vedere se me lo toglie...



graziew

[andorra24]

Ok, prima aggiornalo mi raccomando.

[el_marchet]

nulla..

il file viene rilevato come Trojan H. da questo programma, lo elimina o almeno dice che lo elimina ma alla fine il file sta sempre li...

[bluepix]

E' qualcosa che te lo ricrea al boot o quando si accorge che è stato rimosso.
E' necessario avere il log di hijackthis per trovare l'altro malware.

Hai un firewall attivo vero?

[el_marchet]

no! nessun firewall attivo... purtroppo... questa macchina non e' la mia...

ecco il loog di Hijackthis.


Logfile of HijackThis v1.99.1
Scan saved at 11.21.56, on 14/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Treksmon.Exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Documents and Settings\Eros Marchetti\Desktop\Gatekeeper.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.9:3128;http=192.168.0.9:3128;https=192.168.0.9:3228
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Web\comxml.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Treksmon] Treksmon.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0000706D-0000-0010-8000-00AA00389B71} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {30355844-0000-0010-8000-00AA00389B71} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {33515653-0000-0010-8000-00AA00389B71} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {44495658-0000-0010-8000-00AA00389B71} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {4453D895-F2A1-4A38-A285-1EF9BD3F6D5D} (Microsoft Office Control) - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094213858953
O16 - DPF: {CDABD4C5-6E6D-11D7-BE0F-0010B5B46BF7} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {FDC7A535-4070-4B92-A0EA-D9994BCC0DC5} - http://activex.microsoft.com/objects/ocget.dll
O20 - Winlogon Notify: comxml - C:\WINDOWS\Web\comxml.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

[el_marchet]

Cmq il Malware e' uno ed e' il Comx...dll

Ho gia' provato a vedere con Hijackthis, e' una delle prime cose che ho fatto...

[andorra24]

Hai disabilitato il ripristino di sistema?
Fai una scansione antivirus online: http://www.bitdefender.com/scan8/ie.html
Se vuoi puoi anche provare questi 2 programmi: il primo e' un antitrojan ( http://www.moosoft.com/products/cleaner/download/ )
il secondo un antispyware: http://www.trendmicro.com/download/trial/trial-as.asp