Virus Su Sysmon.exe

[Cri63]

Premetto che il mio (vecchio) PC ha S.O. Win 98 SE.

Facendo la scansione con Norton Antivirus 2004, è stata rilevata una "minaccia" così descritta nel rapporto:

Origine: C:\WINDOWS\SYSTEM\sysmon.exe

Descrizione: Il file C:\WINDOWS\SYSTEM\sysmon.exe è una minaccia Connessione telefonica.

Per ulteriori informazioni su questa minaccia, fare clic: Dialer.Sfonditalia

Come azione intrapresa, viene segnalato: ELIMINAZIONE NON RIUSCITA.

Ho cercato di eliminare il file SISMON.EXE manualmente, ma dice che non è possibile perchè è un file attualmente usato da Windows.

Come posso eliminare la minaccia?

Grazie Cristina

[Francydl]

Ciao,

sysmon.exe è un file infetto legato al malware sgrunt/master69 che Norton Antivirus riconosce come Sfonditalia.

Non riesci ad eliminarlo perchè è attivo, dovresti farlo in modalità provvisoria.

Molto probabilmente ci saranno ancora delle tracce di malware sul tuo PC, per cui ti suggerisco di seguire questi suggerimenti:

Scarica e fai una scansione con i seguenti programmi. (Aggiorna quelli che lo richiedono)

Spybot 1.4 (Antispy)

Ad_Aware (Antispy)

SpyWare Blaster (Protezioni)

CwShredder (Protezioni)

RegSeeker (Pulizia registro)

Ccleaner (pulizia disco)

KillSgrunt

Subito dopo, posta il LOG di Hijackthis - DOWNLOAD

- Doppio click sulla cartella compressa scaricata

- Copiate il file presente all'interno della cartella compressa

- Create una cartella normale all'interno del computer (che non sia sul Desktop)

- Incollate il file all'interno della nuova cartella creata

- Avviate il file incollato

- Cliccate su DO A SYSTEM SCAN AND SAVE LOGFILE

- Attendete che finisca la scansione e che si apra in automatico un foglio di blocco note scritto

- Copiate TUTTO il contenuto all'interno del foglio appena apparso

- Incollate il contenuto nel vostro messaggio e inviatelo nel forum

A presto

Francesco

[Cri63]

Grazie Francy

Ti posto subito il log di Hijackthis.

hijackthis.log

[Francydl]

Scarica anche lo Script per riparare la trusted zone

In questa pagina di Kuma puoi leggere una breve guida su Hijack

Esegui queste operazioni >>> (Stampa la pagina)

Controlla che l'opzione "Visualizza cartelle e file nascosti" sia attiva:

Pannello di controllo > Opzioni Cartella > Visualizzazione

Avvia KillSgrunt

Avvia lo Script per riparare la trusted zone

(Clic con il tasto destro sul file > Installa)

Avvia il sistema in modalità provvisoria

Riavvia il PC e subito dopo la comparsa della schermata di test RAM, premi ripetutamente il tasto F8: apparirà una schermata dallo sfondo nero con delle opzioni. Scegli "Modalità provvisoria"

Avvia HijackThis (che dovrebbe essere salvato in una cartella apposita) e clicca su "do a system scan only"

Metti una spunta sulle seguenti voci e clicca su "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer,Default_Search_URL = h ttp://www.searchnow.ws/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 69.61.38.52

R3 - URLSearchHook: (no name) - {276B9D2D-6E39-7ED3-50A3-06BAEECFC3E1} - C:\WINDOWS\Oxsnjxyl.dll (file missing)

O1 - Hosts: 69.61.38.52 ie.search.msn.com

O1 - Hosts: 69.50.136.245 www.al4a.com al4a.com www.elephantlist.com elephantlist.com www.video-post.com video-post.com

O1 - Hosts: 69.50.136.245 www.el-ladies.com el-ladies.com www.madthumbs.com madthumbs.com tgp.89.com 89.com www.89.com www.ampland.com ampland.com

O2 - BHO: (no name) - {DA241CB0-5E06-7087-E04A-E37E3F7DE6B4} - C:\WINDOWS\Oxsnjxyl.dll (file missing)

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\PROGRAMMI\NEED2FIND\BAR\1.BIN\ND2FNBAR.DLL (file missing)

O4 - HKLM\..\Run: [systems] C:\WINDOWS\SYSTEM\sysmon.exe

Cerca ed elimina i seguenti file:

C:\WINDOWS\DOWNLOADED PROGRAM FILES\4CDXU1V\FD6QAIS2.EXE

C:\WINDOWS\SYSTEM\sysmon.exe

Da modalità provvisoria, ripeti le scansioni di sicurezza con SpyBot, Ad-Aware ed il tuo antivirus AGGIORNATI.

Applica inoltre le protezioni di CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

e rimuovi le tracce di navigazione ed utilizzo del PC con con:

Ccleaner(non modificare le opzioni)

Riavvia il computer in modalità normale,

Portati in : C:\WINDOWS\

con il blocco note apri il file HOSTS (senza estensione)

ed in fondo aggiungi:

127.0.0.1 69.61.38.52 ie.search.msn.com

127.0.0.1 www.al4a.com

127.0.0.1 www.elephantlist.com

127.0.0.1 www.video-post.com

127.0.0.1 www.el-ladies.com

127.0.0.1 www.madthumbs.com

127.0.0.1 www.89.com

127.0.0.1 www.ampland

Salva il file ed impostalo "A sola Lettura"

__________________________________

fai una scansione con Kaspersky

ed inviaci nuovamente il LOG di HiJackThis per un ultimo controllo