Pokapoka61

[mickele]

ciao a tutti,

mi sono appena iscritto a questo forum fiducioso in una risoluzione del mio problema.

Uso wxp con sp2 aggiornato costantemente, come antivirus uso avast e come firewall uso quello di xp.

Come x incanto mi si è aperto avast segnalandomi la presenza di questo trojan che ho provveduto, tramite lo stesso programma, ad eliminarlo. La cosa no è servita a niente, perchè puntualmente ad ogni riavvio del pc lo zoticone di trojan mi si ripresenta pur cancellandolo ogni volta con avast e rimuovendo manualmente la cartella in cui si annida.

Grazie in anticipo a chi mi vuole dare una mano.

p.s. sto impazzendo da circa un ora ma non riesco ad allegare il log di hijack, mi dice sempre che il documento non contiene dati. forse dovete aiutarmi prima a risolvere questo problema.

[mickele]

Eccolo, finalmente sono riuscito ad allegare il log di hijack.

ah manca la voce cmd in quanto l'ho disattivato perke mi prendeva il 100% della cpu

hijackthis.txt

[mickele]

Grazie ad un'altro post trovato su questo forum, ho provato ETRREMOVER e sembra che tutto funzioni regolarmente, non ho neanke piu' cmd che si frega tutta la cpu, cmq datemi un'okkiatina al log che allego x verificare se le cose sono realmente a posto o se c'è altro che non va.

Grazie di cuore a tutti

hijackthis.txt

[Diablo]

[ben]mickele[/ben]

[Kuma]

Ciao Mickele ben arrivato anche da parte mia

Sei ancora infetto da un paio di VIRUS...

Esegui queste operazioni ------ > (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked

O4 - HKLM\..\Run: [Windows Spooler] E:\WINDOWS\system32\spoolsv32.exe

O4 - HKLM\..\Run: [Windows DLL Host] E:\WINDOWS\system32\dllhost32.exe

Trova e se ci sono elimina questi files

spoolsv32.exe (in E:\WINDOWS\system32)

dllhost32.exe (in E:\WINDOWS\system32)

Userinit32.exe (in E:\WINDOWS\system32)

Da START\ESEGUI digita > regedit

portati a questa chiave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

ed elimina tutti i riferimenti ai files citati sopra

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner

(non modificare le opzioni)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione

Collegati per una scansione On-line a:

Kaspersky

rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Ricordati di creare un nuovo punto di RIPRISTINO al termine di questa procedura

_____________________________________________

Installa un firewall migliore di quello di Xp ---> Sygate Personal Fw

[mickele]

Ragazzi siete grandi in questo forum, neanke il tempo di postare il problema che ti arriva la risposta

Ora cerchero' di seguire alla lettera cio' che mi è stato detto ( ci mettero' un po di tempo, sono un po duro a comprendere :sonno: )

A dopo ciao

[mickele]

Rieccomi dopo un intensa giornata di lavoro al pc nel tentativo di risolvere qualcosa.

Oggi, direi che non è stata una gran giornata considerando che ho trovato molti intoppi ( o forse dipende da me? e ki puo dirlo?) nell'eseguire cio' che mi era stato suggerito.

O.k. bando alle chiacchiere posso dire di aver fatto tutto e di aver riscontrato le seguenti difficolta e/o problemi:

1)il file USERINIT32.exe non l'ho trovato

2)nel registro non ho trovato nessuna voce con riferimento ai file suggeriti

3)il controllo con ad-aware non sono riuscito a farlo cke è gia da diverso tempo (circa un anno)che ad un certo punto si blocca e non va piu' avanti; ho usato in alternativa A-squared

4)Avast mi trova i seguenti virus: MediaAccC.dll, MediaAccess.exe e MediaAcck.exe che lui definisce win32:adware-gen(adw) , ma sembrerebbe che non riesca a eliminarli in quanto anche questo programma oggi ha cominciato a fare i capricci bloccandosi.

5)la scansione online ho preferito farla con con panda anzichè con kaspersky ( per facilità in quanto il primo è in italiano), ma questa volta anche questo ha fatto i capricci; stranamente a differenza delle altre volte non mi ha permesso ne di vedere di cosa si tratta e ne di eliminare i 2 spy e 1 virus che dice di aver trovato.

Ora alla soglia delle 22, completamente stremato, non mi resta che inviare il nuovo log di aijack con la speranza che qualcosina sia migliorato.

In attesa di buone notizie da parte vostra vado a ricaricarmi con un bel sonnellino.

Buona notte a tutti.

hijackthis.txt

[Kuma]

Il log risulta pulito, probabilmente le varie scansioni ti hanno eliminato i files che non riesci a trovare...

Ci sono solo queste due voci che mi sembrano strane:

Solo una dovrebbe essere legittima....

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B3E9AEF-EB4F-47B6-9D5B-B7A582DDA477}: NameServer = 194.20.8.1,213.145.3.1

(questa si riferisce a urano.inet.it)

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC6A144E-9635-4935-BAF7-FEC038AD9542}: NameServer = 85.37.17.15 151.99.125.1

(???????)

Controlla qual'è il tuo IP (DNS alto e basso)

poi per ultimo ti avevo detto di fare una scansione con Kaspersky, perchè è più potente di Panda

Comunque... se preferisci, scaricati QUESTO

Aggiornalo come da istruzioni e prova a fare la scansione... che vediamo se trova qualcosa d'altro...

in ultimo devi installare un FIREWALL..

Se ne vuoi uno in italiano, scaricati la versione FREE di Zone Alarm

[mickele]

Ariciao a tutti ed in particolare a Kuma :omaggi: che mi sta seguendi in questo passo passo

1)Mi fa molto piacere che il log risulta pulito

2)per quanto riguarda le 2 voci dubbie, a scanso di equivoci le ho fatte fuori entrambe

3)controlla qual'è il tuo IP (si puo fare) ;DNS alto e basso ( non capisco di cos'è) e una volta controllato come mi puo essere d'aiuto?

4)Ho fatto la scansione con MWA come mi avevi consigliato e mi dice di aver trovato 9 virus di cui 2 eliminati e 6 rinominati piu' una serie di circa 15 errori (mi spieghi come cercarli nel log? se per caso c'è una parola chiave x trovarli considerando che il log è lunghissimo e che cmq ti invio un allegato del solo risultato finale)

5)ti invio il nuovo log di hijack, sperando che sia candido e ti allego 3 righe di dubbi che mi sono sorti: c'è qualcosa che mi riporta, forse, a qualcosa della symantec, ma io prog. di questa casa non li uso piu da oltre 2 anni e se mi puoi spiegare cosa sono quelle sorti di collegamenti a siti con dei nomi stranissimi.

grazie della tua infinita pazienza.

hijackthis.txt

mwa.txt

dubbi.txt

[Kuma]

Andiamo con ordine... e la prossima volta non eliminare le voci senza sapere quello che stai facendo

Per quello che riguarda i DNS dovresti guardare il contratto che hai con il tuo provider, visto che è lui che li fornisce...

Comunque ora nel log appare solo una voce (come dovrebbe essere) e quindi presumo che sia quella legittima.

Fissa anche le tre voci dei tuoi dubbi:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht tp://www.pqrichjrpqkoleesruc.net/cS_krBK3XXMiDTSxbPegj99ZTjA1lLMdO3iIbNKLb7GxI scD/rRm_tFWpkiKArME.cgi

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h ttp://www.jyajyzzkqjvhqwayhvwjfydt.net/cS_krBK3XXMiDTSxbPegj99ZTjA1lLMdO3iIbNKL b7GrG7nxvcji7tFWpkiKArME.html

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

(i prodotti Symantec si aggrappano al Pc come una piovra :andy: )

Fatto questo dovresti essere a posto

Per quello che riguarda il log MWAV:

Gli errori riguardano alcuni file a cui non ha potuto accedere (per esempio il system restore... non è così importante) ... ha trovato 9 virus, ne ha eliminati 2 e rinominati 6... <_< ne manca uno all'appello ... mi serve il log completo, mettimelo su questo server: http://www.mytempdir.com/ e poi incolla qui il link per poterlo scaricare.

Non risulta ancora un firewall degno di questo nome...

Il Poka Poka mi sembra risolto.... confermi ???

[mickele]

Ciao Kuma sei il superman dei forum: non si riesci a postare che hai subito una risposta

Cmq x il pokapoka ho risolto e ringrazio questo forum da dove ho trovato la tool di rimozione o qualcosa del generE.

Le ulteriori voci dubbie le ho fissate.

Per quanto riguarda l'invio del log dell'antivirus mi hai messo in difficolta' ( a causa della mia scarsa (ancora di piu') conoscenza della lingua inglese. Non sono certo di essere riuscito a inviartelo cmq mi sono preoccupato personalmente di leggere il log e credo di aver individuato le 9 voci che ti allego e se è come ho capito la voce persa non dovrebbe essere un problema perkè è di firefox.........Se ho indovinato voglio un bel voto

hijackthis.log

mwav.txt

[Kuma]

Per quello che riguarda il file:

E:\programmi\Mozilla Firefox\plugins\npzango.dll

Voto 7

Non risulta essere pericoloso...

Ma a scanso di equivoci, o eliminerei la DLL, al massimo avrai un'estensione di Firefox che non funzionerà...

Oltre a quello, controlla di NON avere i seguenti files:

MediaAccess.exe

MediaAcck.exe

MediaAccC.dll

AdTool.exe

AdToolsComm.dll

AdToolsKeep.exe

Detto questo credo che tu sia a posto

[mickele]

Fattoooooooooooooooooo

Ho provveduto ad eliminare il dll

Per quanto riguarda i fai che mi hai consigliato di verificare, ora non ne ho cmq i primi 3 in una scansione precedente li avevo e avast aveva provveduto ad eliminarli

Ho già scaricato zone e al piu presto lo installo ( spero che non sia difficile settarlo

Kuma ti ringrazio di cuore, grazie a te ho un pc lucido come uno spekkio

Non abbandonerò piu' questo forum di persone preparate e gentilissime

p.s. sto gia provvedendo ad un po di pulizie generali al portatile, appenna pronto lucideremo a spekkio anche quello :emot66:

[Kuma]

Kuma ti ringrazio di cuore....

Figurati, per così poco... è stato un piacere aiutarti

Ho già scaricato zone e al piu presto lo installo ( spero che non sia difficile settarlo

No è facilissimo... metti la "sicurezza della zona Intrnet" su alto

e quella del "controllo programmi" su medio

e quindi per i primi periodi controlla i programmi che vogliono accedere ad internet prima di concedere un permesso definitivo...

p.s. sto gia provvedendo ad un po di pulizie generali al portatile, appenna pronto lucideremo a spekkio anche quello

Quando vuoi io sono a disposizione

[mickele]

Ciao Kuma

Considerando che il problema relativo al pokapoka l'ho risolto, non so se continuare qui' ad assillarti con le mie richieste o necessita chiudere questo topic x aprirne uno nuovo ( attendo tue notizie)

cmq ho installato ZoneAlarm e devo dire che è stato semplicissimo

Ora pero' mi sorgono dei dubbi:

1) nel monitoraggio antivirus mi segnala che sul computer non sono in esecuzione antivirus che possono essere rilevati da zone alarm ( Avast è uno di quelli che non riconosce o è stato in qualke modo disattivato?)

2) Pronti via mi è stata richiesta autorizzazione da parte dei seguenti prg

ALG.EXE VMIPRVSE.EXE E SVCHOST.EXE ( cosa sono? bisogna autorizzarli xke in qualke modo sembrano far parte di windows? per il primo prg mi sembra di aver capito che con il fw di windows disattivato non dovrebbe partire piu' e se cio accade è xke il pc è infetto da un trojan è vero cio?

[Kuma]

Ciao Mickele...

Anche se ZA non riconosce AVAST, basta che l'antivirus sia in esecuzione..

Per accertartene scarica il file che ti allego

rinominalo in AV_test.com solo facendo così l'antivirus dovrebbe riconoscerlo (è solo un test... tranquillo )

Se non dovesse riconoscerlo cliccaci sopra...

se anche così non ricevi avvisi l'antivirus è disabilitato.

Per quello che riguarda i files ALG.EXE SVCHOST.EXE e VMIPRVSE.EXE

sono files legittimi di Windows... puoi accordare un permesso definitivo...

se hai bisogno d'altro chiedi pure

[mickele]

Fatto Kuma

non c'è stato neanche bisogno di rinominarlo in quanto avast me lo ha segnalato appena ho iniziato a scaricarlo.