Accedi per seguire   
Seguaci 0
robur73

Virus Linkoptimizer Irremovibile!

71 messaggi in questa discussione

Salve,

E' da circa una settimana che sto combattendo con un virus (credo un'ultima versione del Link Optimizer...)Sinceramente, dato che sono abbastanza ignorante in materia di compiuter, ho già chiesto aiuto, ma anche se sono stato molto aiutato (grazie ancora duca)non sono riuscito a eliminarlo.Il problema è questo:

Durante la connessione ad internet mi vengono aperte pagine non richieste per cui la visione diventa un problema e mi si disconneteva da solo. Ho iniziato a fare diverse scansioni con vari programmi istallati (AntiVir,Ad-Aware,CCleaner) ma non hanno trovato niente.

Il bello è venuto quando ho cercato di fare la scansione con HijackThis, non mi riesce piu ad aprirlo ne il programma e ne l'istallazione...All'inizio ho pensato dipendesse in qualche modo dal programma ma quando faccio ricerche su Google di Antivirus e HijackThis mi si chiude immancabilmente la pagina ma solo per queste determinate ricerche per il resto Google funziona bene!L'unica cosa anomala che ho trovato nel Pc è questa cartella "uebzNYxVALSlXvAvuy" nel Documents and Settings, che puntualmente scancello e ad ogni avvio immancabilmente ritorna, addirittura l'ho scancellata anche dal Regedit ma niente da fare...

Sono riuscito solo a far partire tgsoft e nella scansione mi ha trovato 3 file infetti.Per Tool Symantec invece non riesce a partire la scansione, neanche in modalità provvisoria e dopo che sono stati trovati i 3 file infetti.

VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.P

[sCANSIONE DELLA MEMORIA]

OK

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

03/01/2002 - 22:54:14

[sCANSIONE DEL REGISTRO]

{37B85A29-692B-4205-9CAD-2626E4993404} Infetto da Trojan.Win32.MyGlobalSch.A

* * * RIMOSSO * * *

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 1.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 19174.

Files Totali: 19174.

Chiavi Registro rimosse: 1.

Virus Rimossi: 0.

--------------------------------------------------------

03/01/2002 - 23:01:55

[sCANSIONE DEL REGISTRO]

OK

[D:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

D:\Documents and Settings\paolo\Desktop\programmi\backups\backup-20020101-014516-979.dll Infetto da Trojan.Win32.MyGlobalSch.A

* * * RIMOSSO * * *

D:\Documents and Settings\paolo\Desktop\programmi\backups\backup-20020108-111552-860.dll Infetto da Trojan.Win32.MyGlobalSch.A

* * * RIMOSSO * * *

D:\WINDOWS\wmqvi1.dll Infetto da BHO.LinkOptimizer.I

Il file sarà spostato nella cartella di quarantena.

Chiavi Registro infette: 0.

Files Infetti: 3.

Files Sospetti: 0.

Files Analizzati: 52905.

Files Totali: 52905.

Chiavi Registro rimosse: 0.

Virus Rimossi: 2.

La cartella "uebzNYxVALSlXvAvuy" è finalmente scomparsa per cui pensavo di aver risolto il problema...ma niente da fare!Allora ho fatto tutte le scansioni possibili anche in modalità provvisoria, con il Norton,Nod32,Trojan Remover,Virit,FixLinkopt,PrevxFixgrom,Ad-Aware,Spybot,CCleaner ma niente per loro il Pc è pulito ma lui continua a fare come li pare, mi apre pagine da solo,esce da internet,mi si riavvia quando su google faccio ricerche su antivirus (ma solo con queste con le altre ricerche funziona bene..)alcuni programmi non li apre tipo Hijack This,Zone allarm ogni 20 minuti mi blocca strane richieste di connessioni,nel Task Manager non c'è niente di strano o almeno credo,e non ci sono altre cartelle di amministratori.

Scusate se mi sono prolungato molto ma è un problema che mi sta mandando al manicomio e vi ringrazio già da ora se qualcuno mi potrà dare una mano per trovare una soluzione.

Grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao angelique,

scusami ma non sono molto pratico di forum (come avrai notato...)ma cerco di rimediare subito.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

scarica sul desktop GMER: http://www.gmer.net/gmer.zip

scopatta, sempre sul desktop il file gmer.zip.

Esegui gmer.exe

Clicca sul Tab "Rootkit"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

Esegui gmer.exe

Clicca sul Tab "Autostart"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ci risiamo!!

Ho cercato di fare come mi hai detto GmG ho cliccato su www.qmer.net e il Pc mi ha chiuso tutte le 5 pagine di internet che avevo aperto senza naturalmente poter scaricare niente!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scarica Gmer da qui http://www.mytempdir.com/1053517

Scarica questi due tools (tool prevx e symantec rinominati per eludere il cotrollo del virus)

http://www.mytempdir.com/1035021

Lancia per primo quello contrassegnato dal numero "1" e poi, in modalità provvisoria

esegui quello contrassegnato con il numero "2"

(i files sono già stati rinominati per bypassare il controllo che il gromozon ha sui Fix)

A fine scansione posta il log che si trova in c:\gromozon_removal.log

e il log che si trova in FixLinkopt.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Lo scaricato ma non lo apre mi dice che è danneggiato.Considera che in questo momento mi ha scollegato da internet e a provato a collegarsi con una connessione chiamata vrvr.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ,

prova a rifare uno scan con Virit , al limite avviandolo dal file bat .....

poi prova a vedere se riesci ad eseguire questo, e posta il suo log

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Comunque con i 2 tool ho già provato diverse volte anche in modalità provvisoria ma non mi hanno mai trovato niente.questo è l'ultimo log:

Removal tool loaded into memory

Gromozon rootkit component not detected - searching for other components

Scanning: D:\WINDOWS

Scanning: D:\Programmi\File comuni

Credo che a Mytempdir succeda come a Hijack non me lo fa aprire...

Trojan.Gromozon does not exist - your system is clean.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

hai guardato bene il tool di cui parlo ? non è nessuno dei due che hai citato .... quindi non penso che lo hai già eseguito , correggimi se sbaglio ...

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Eccolo!

Logfile of X-RayPc Build 38852 (Installed 1010516866)

Scan saved at 08/01/2002 19.09.45

D:\WINDOWS\system32\services.exe (108544 e77f6fa2a15390f1727f4c1c55b69da6)

D:\WINDOWS\system32\lsass.exe (13312 0815e8da286775fa432c7c9ee5e10ba1)

D:\WINDOWS\system32\Ati2evxx.exe (413696 a2eaeb497ca29ecaeaf0df66ad85c57d)

D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

D:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe (169632 324318bd026aa58e3ea8c23647ade1c3)

D:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe (192160 c5f0c1fff968e9d143f62075cbd8ed60)

D:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe (1160848 dabd8523d9b60ce6513653dfd8b96c1b)

D:\WINDOWS\system32\spoolsv.exe (57856 da81ec57acd4cdc3d4c51cf3d409af9f)

D:\Programmi\AntiVir PersonalEdition Classic\sched.exe (36392 214f4082a8ae495fcfae1add306a11b5)

D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe (195624 7ad96dd8634e88095134f0bcd5ca8320)

D:\Programmi\Symantec AntiVirus\DefWatch.exe (30448 6a0a8fe766943de793e6f03f4fe882dd)

D:\Programmi\Eset\nod32krn.exe (635272 2e193e676e530b08cbc25c15d1d79669)

D:\Programmi\CyberLink\Shared Files\RichVideo.exe (143360 a76cddb6d1f25797843e2557a2118e2e)

D:\Programmi\Symantec AntiVirus\Rtvscan.exe (1799408 8b3550214824abf244d1e27e2a300990)

C:\VEXPLITE\viritsvc.exe (49152 43a63b3dd74fc1accfa3a3522417aafb)

D:\WINDOWS\system32\Ati2evxx.exe (413696 a2eaeb497ca29ecaeaf0df66ad85c57d)

d:\windows\mcafeeword.exe

D:\WINDOWS\system32\WgaTray.exe (304944 b202d32c55ab828e3364109875f210f0)

D:\WINDOWS\Explorer.EXE (1034752 178d42bd8fc34a9837417a6ce1d6bb7b)

D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe (241704 88ef9d47d1fb477456efbb140fd19e02)

D:\programmi\DAP\DAP.EXE (2864128 c58b3a0214520cb1aedfce076cfb906c)

D:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe (131072 46ee79e42e5e056e91ea4eb07e7b807a)

C:\controllo RAM\RAM Idle LE\RAM_XP.exe (135168 ab4585620a6bce7ff3323bf930e444ba)

D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe (335872 ef300cb0820b7eff888e239a999fd232)

D:\Programmi\ATI Technologies\ATI.ACE\cli.exe (45056 64c4c17bf6a40ff1cd21205e6fd415b8)

C:\VEXPLITE\MONLITE.EXE (233472 46f33b5ef3bd45b18e4ee592b71a3788)

D:\Programmi\File comuni\Symantec Shared\ccApp.exe (53408 f8e083ad7ed601b71c84aec35be6ae40)

D:\PROGRA~2\SYMANT~1\VPTray.exe (124656 eb4caf48452a80c11bc513c35e586c8b)

D:\Programmi\Eset\nod32kui.exe (1003912 8fb1353688f77a6cdd196ba69518f511)

D:\WINDOWS\system32\ctfmon.exe (15360 5b33b4265966ee063c7fbea28958d9c2)

D:\Programmi\ATI Technologies\ATI.ACE\cli.exe (45056 64c4c17bf6a40ff1cd21205e6fd415b8)

C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe (968696 d1d3726a8508b6183c620b4f6ce82f70)

D:\WINDOWS\system32\ZoneLabs\vsmon.exe (75768 ace93ffffd1f6b2c3e9f9c996bdec6db)

D:\Programmi\Internet Explorer\iexplore.exe (93184 c49ed6e4358ffaecfe70fc8f3c67d224)

D:\PROGRA~2\WINZIP\winzip32.exe (3579904 de8cbd58ea90c1f58f81282e3151d421)

D:\programmi\PowerArchiver\POWERARC.EXE (5000704 b4f7a50ba097215dac20d95f71cc63f3)

D:\DOCUME~1\PUPPI2~1\IMPOST~1\Temp\_PA851\x-raypc.exe (346880 e4926469d1e9d33dc41f47475cba1255)

D:\DOCUME~1\PUPPI2~1\IMPOST~1\Temp\_PA600\x-raypc.exe (346880 e4926469d1e9d33dc41f47475cba1255)

Service: Alerter D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: ALG D:\WINDOWS\System32\alg.exe (44544 d4a42bf3c11302aa3ccd857034ef1e54)

Service: AntiVirScheduler D:\Programmi\AntiVir PersonalEdition Classic\sched.exe (36392 214f4082a8ae495fcfae1add306a11b5)

Service: AntiVirService D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe (195624 7ad96dd8634e88095134f0bcd5ca8320)

Service: Ati HotKey Poller D:\WINDOWS\system32\Ati2evxx.exe (413696 a2eaeb497ca29ecaeaf0df66ad85c57d)

Service: AudioSrv D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Browser D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: ccEvtMgr D:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe (192160 c5f0c1fff968e9d143f62075cbd8ed60)

Service: ccSetMgr D:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe (169632 324318bd026aa58e3ea8c23647ade1c3)

Service: CryptSvc D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: DcomLaunch D:\WINDOWS\system32\svchost -k DcomLaunch

Service: DefWatch D:\Programmi\Symantec AntiVirus\DefWatch.exe (30448 6a0a8fe766943de793e6f03f4fe882dd)

Service: Dhcp D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: dmserver D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Dnscache D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: ERSvc D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Eventlog D:\WINDOWS\system32\services.exe (108544 e77f6fa2a15390f1727f4c1c55b69da6)

Service: EventSystem D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: FastUserSwitchingCompatibility D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: helpsvc D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: lanmanserver D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: lanmanworkstation D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: LmHosts D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Netman D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Nla D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: NOD32krn D:\Programmi\Eset\nod32krn.exe (635272 2e193e676e530b08cbc25c15d1d79669)

Service: NWCWorkstation D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: PlugPlay D:\WINDOWS\system32\services.exe (108544 e77f6fa2a15390f1727f4c1c55b69da6)

Service: PolicyAgent D:\WINDOWS\system32\lsass.exe (13312 0815e8da286775fa432c7c9ee5e10ba1)

Service: ProtectedStorage D:\WINDOWS\system32\lsass.exe (13312 0815e8da286775fa432c7c9ee5e10ba1)

Service: RasMan D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: RemoteRegistry D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: RichVideo D:\Programmi\CyberLink\Shared Files\RichVideo.exe (143360 a76cddb6d1f25797843e2557a2118e2e)

Service: RpcSs D:\WINDOWS\system32\svchost -k rpcss

Service: SamSs D:\WINDOWS\system32\lsass.exe (13312 0815e8da286775fa432c7c9ee5e10ba1)

Service: Schedule D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: seclogon D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: SENS D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: SharedAccess D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: ShellHWDetection D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: SPBBCSvc D:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe (1160848 dabd8523d9b60ce6513653dfd8b96c1b)

Service: Spooler D:\WINDOWS\system32\spoolsv.exe (57856 da81ec57acd4cdc3d4c51cf3d409af9f)

Service: SSDPSRV D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Symantec AntiVirus D:\Programmi\Symantec AntiVirus\Rtvscan.exe (1799408 8b3550214824abf244d1e27e2a300990)

Service: TapiSrv D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: TermService D:\WINDOWS\System32\svchost -k DComLaunch

Service: Themes D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: TrkWks D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: viritsvclite C:\VEXPLITE\viritsvc.exe (49152 43a63b3dd74fc1accfa3a3522417aafb)

Service: vsmon D:\WINDOWS\system32\ZoneLabs\vsmon.exe (75768 ace93ffffd1f6b2c3e9f9c996bdec6db)

Service: W32Time D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: WebClient D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: winmgmt D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: wscsvc D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: wuauserv D:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: WZCSVC D:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

O2 - BHO: (Class) - {23c5407e-e475-0312-853e-ff9f9071b5ed} - D:\WINDOWS\wmqvi1.dll

O2 - BHO: (no name) - {53707962-6f74-2d53-2644-206d7942484f} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll (744960 abf5ba518c6a5ed104496ff42d19ad88)

O3 - Toolbar: DAP Bar {62999427-33fc-4baf-9c9c-bce6bd127f08} - D:\programmi\DAP\DAPIEBar.dll (573508 c4d21577bb9fa0557f55fd7c858da04d)

O3 - Toolbar: Easy-WebPrint {327c2873-e90d-4c37-aa9d-10ac9baba46c} - D:\Programmi\Canon\Easy-WebPrint\Toolband.dll (405504 3d3a15d5f7c44868ff26c2a73377d7ee)

O4 - HKLM\..\Run: [avgnt] D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe (241704 88ef9d47d1fb477456efbb140fd19e02)

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe (155648 3e4c03cefad8de135263236b61a49c90)

O4 - HKLM\..\Run: [DownloadAccelerator] D:\programmi\DAP\DAP.EXE (2864128 c58b3a0214520cb1aedfce076cfb906c)

O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (409600 3ba7a1cb1f48c581af58ded411d33317)

O4 - HKLM\..\Run: [NVMixerTray] D:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe (131072 46ee79e42e5e056e91ea4eb07e7b807a)

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe (968696 d1d3726a8508b6183c620b4f6ce82f70)

O4 - HKLM\..\Run: [RAM Idle Professional] C:\controllo RAM\RAM Idle LE\RAM_XP.exe (135168 ab4585620a6bce7ff3323bf930e444ba)

O4 - HKLM\..\Run: [bearShare] D:\Programmi\BearShare\BearShare.exe

O4 - HKLM\..\Run: [ATIPTA] D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe (335872 ef300cb0820b7eff888e239a999fd232)

O4 - HKLM\..\Run: [ATICCC] D:\Programmi\ATI Technologies\ATI.ACE\cli.exe (45056 64c4c17bf6a40ff1cd21205e6fd415b8)

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE (233472 46f33b5ef3bd45b18e4ee592b71a3788)

O4 - HKLM\..\Run: [LanzarL2007] D:\DOCUME~1\PUPPI2~1\IMPOST~1\Temp\{9EF3457B-5112-4FD8-8A3A-959679EDC448}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe

O4 - HKLM\..\Run: [TrojanScanner] D:\Programmi\Trojan Remover\Trjscan.exe (303616 449d4e3dc8380a3af026cb40613cb59d)

O4 - HKLM\..\Run: [ccApp] D:\Programmi\File comuni\Symantec Shared\ccApp.exe (53408 f8e083ad7ed601b71c84aec35be6ae40)

O4 - HKLM\..\Run: [vptray] D:\PROGRA~2\SYMANT~1\VPTray.exe (124656 eb4caf48452a80c11bc513c35e586c8b)

O4 - HKLM\..\Run: [nod32kui] D:\Programmi\Eset\nod32kui.exe (1003912 8fb1353688f77a6cdd196ba69518f511)

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (15360 5b33b4265966ee063c7fbea28958d9c2)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [PostBootReminder] D:\WINDOWS\system32\SHELL32.dll (8481280 4e1b9eee9f715cc0d30259e21f8616ff)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [CDBurn] D:\WINDOWS\system32\SHELL32.dll (8481280 4e1b9eee9f715cc0d30259e21f8616ff)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [WebCheck] D:\WINDOWS\system32\webcheck.dll (280576 9adae07a13e295a98f5ee7726354c28f)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [sysTray] D:\WINDOWS\system32\stobject.dll (122368 6474c3d1c136c60291b8a5ee9ed1735b)

O16 - DPF: (

â‘|ðá)-

020 - HKLM\..\Notify: [AtiExtEvent] D:\WINDOWS\system32\Ati2evxx.dll (61440 0dc29a1fa52d445db14ddf16e272e6d1)

020 - HKLM\..\Notify: [crypt32chain] D:\WINDOWS\system32\crypt32.dll (601600 5588d8afd51d060f82315c50d7590323)

020 - HKLM\..\Notify: [cryptnet] D:\WINDOWS\system32\cryptnet.dll (63488 f8dd2e38ecc275ae94edc7c0492416ef)

020 - HKLM\..\Notify: [cscdll] D:\WINDOWS\system32\cscdll.dll (102400 38c69b2bc3182a85f0b323c9d1eb7e26)

020 - HKLM\..\Notify: [NavLogon] D:\WINDOWS\system32\NavLogon.dll (43760 fc2176b0e5ccbe7035f603fc7e31422d)

020 - HKLM\..\Notify: [scCertProp] D:\WINDOWS\system32\wlnotify.dll (93184 72e4cad810a967449caab723e99c74b1)

020 - HKLM\..\Notify: [schedule] D:\WINDOWS\system32\wlnotify.dll (93184 72e4cad810a967449caab723e99c74b1)

020 - HKLM\..\Notify: [sclgntfy] D:\WINDOWS\system32\sclgntfy.dll (21504 5ff2551a3d740476f06b20f59cd7f0be)

020 - HKLM\..\Notify: [sensLogn] D:\WINDOWS\system32\WlNotify.dll (93184 72e4cad810a967449caab723e99c74b1)

020 - HKLM\..\Notify: [termsrv] D:\WINDOWS\system32\wlnotify.dll (93184 72e4cad810a967449caab723e99c74b1)

020 - HKLM\..\Notify: [WgaLogon] D:\WINDOWS\system32\WgaLogon.dll (702768 147429092c26d18af550790ac102f32a)

020 - HKLM\..\Notify: [wlballoon] D:\WINDOWS\system32\wlnotify.dll (93184 72e4cad810a967449caab723e99c74b1)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

io ti consiglierei di :

Disinstallare tutti gli antivirus che hai e lasciarne uno solo...ne ho visti minimo 3-4

Disinstalla il DAP -> veicolo di spyware

Disinstalla Bearshare-> veicolo di spyware

Seleziona questi due processi se li vedi nel programma e clicca sull'icona del cestino (deactivate/delete)

D:\WINDOWS\wmqvi1.dll

O4 - HKLM\..\Run: [LanzarL2007] D:\DOCUME~1\PUPPI2~1\IMPOST~1\Temp\{9EF3457B-5112-4FD8-8A3A-959679EDC448}\{D1DA2 BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe

Altrimenti prova ad eliminarli con KillBox,quanto meno il primo

* Scarica ATF Cleaner

- Avvialo con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

Fai uno scan online Kaspersky oppure panda e posta i loro log

Fai anche i controlli manuali di routine quando si è infetti da questa bestiaccia ... utenze random , file random , voci in installazioni applicazioni , etc.. etc...

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho scaricato ATF Cleaner e ho fatto come hai detto.

Ma quando ho provato ha fare la scansione online con Kaspersky e Panda mi ha un'altra volta chiuso le pagine!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ,

ma la scansione con Virit dal file bat l'hai fatta ?

le operazioni con Killbox ?

comunque c'è in giro l'ultima variante di questo malware (BHO.LinkOptimizer.K) in grado di bloccare tutti i tools , molti siti utili , compreso Virit e il sito TGSoft .... quindi speriamo non sia quella che hai beccato , altrimenti tutte le procedure conosciute sono insufficienti ....(format a parte)

Questa variante sarà possibile rimuoverla con la prossima release di Virit , la 6.1.31

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

La scansione con Virit 6.1.31 dal file bat l'ho fatta e mi ha dato tutto a posto.

Però con la tua indicazione credo di AVERLO TROVATO!!Ho provato a scancellare quello che mi hai detto e quando sono arrivato alla cartella Temp c'è un file che non mi fa scancellare neanche in modalità provvisoria selezionando in proprietà e avanzate ho visto che ha solo l'autorizzazione "uebzNYxVALSlXvAvuy" che è il solito nome della cartella che avevo eliminato dopo che la scansione mi dava come file infetto!

Come posso eliminare questo file dalla cartella Temp?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ,

tu hai usato la 6.1.30 , l'altra ancora non è uscita :)

comunque quel file nemmeno in modalità provvisoria riesci ad eliminarlo ?

* Scarica AGVPFix

- Estrai l'archivio

- avvia il file AGVPFix.exe

- clicca su Start

- si aprirà una finestra simile a quella di esplora risorse , scorri l'albero fino al file in questione , selezionalo e dai l'ok

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sono riuscito ad elimine il file ma quando ho riavviato il Pc nella cartella temp ne ho trovati altri 2 non so se è normale(file che ci devono essere..) o se ne ha formato subito un'altro, il che mi fa penare il virus sia istallato nel sistema d'avvio... ma resta il fatto che non sono riuscito a risolvere il problema!Mi sembra impossibile che abbia trovato l'unico virus che non si riesce ad eliminare.....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Robur73 ,

devi capire che se non ci aiuti anche tu e difficile risolvere ...

il file segnalato sopra sei riuscito ad eliminarlo ?

che nome hanno queste cartelle, con cosa all'interno ?

se ci sono nella cartella Temp delle cartelle del tipo "WPDNSE", in molti casi puo essere del tutto normale..

Cosa intendi per :

"ma resta il fatto che non sono riuscito a risolvere il problema"

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Steve,

si scusami, hai ragione m'immagino che non sono di grande aiuto tra che non sono molto esperto e che anche oggi sono rimasto 10 ore davanti al Pc senza risolvere il problema :) E comunque se non era per voi non avrei saputo neanche come provarci e per questo vi ringrazio tanto!Il file nella cartella Temp di Impostazioni locali che non si poteva eliminare neanche in modalità provvisoria, sono riuscito a levare come mi hai detto con Agpv.Ma appena riavviato il Pc si sono formati altri 2 file (sempre nella cartella Temp)con un'altro nome, ma per l'eliminazione ho dovuto ricorrere sempre a Agpv e per 3 volte di fila al riavvio si sono ritornati.Non sono cartelle ma file uno si chiama Perflib_Perfdata e altro DF141B può darsi che ci debbano stare ma mi sembra strano...

Resta il fatto che anche con l'eliminazione del 1 file che aveva l'estensione uguale alla cartella con il virus trovato (uebzNYxVALSlXvAvuy)il Pc continua ad avere i soliti problemi:mi apre pagine da solo,esce da internet,mi si riavvia quando clicco su programmi antivirus alcuni non li apre tipo Hijack This,Zone allarm ogni 20 minuti mi blocca strane richieste di connessioni e anche 1 ora fa mi si è scollegato da solo e cercato di collegare ad un'altra connessione(vrvr).Anche se sinceramente tutti questi problemi sono meno frequenti di quanto ho riscontrato il problema....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Hai aggiornato VIRIT prima di procedere ????

Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.

Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.

Aspettare almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di Intrusion Detection di VirIT assegnerà le autorizzazioni necessarie all'utente corrente per accedere al servizio incriminato della fase 1.

Ti conviene salvarti queste istruzioni in un file di Office (DOC) e procedere disconnettendo la linea telefonica (stacca il cavo)

___________________________________________________________________

PROCEDURA PER WINDOWS XP (e WINDOWS 2000) - rimozione manuale

FASE 1: In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.

Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.

Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:

".\nome casuale".

Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.

Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.

Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).

Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)

A questo punto riavviare il computer e passare alla fase 2.

Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:

1) Eseguire il programma REGEDIT e selezionare il percorso

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO

2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato

3) Riavviare il computer

FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine). Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica.

La fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi della procedura.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

2) Ridurre ad icona il REGEDIT

3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)

4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager

5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

foto001tn0.jpg

N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati

6) Uscire da VirIT eXplorer Pro

7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare con tasto destro il nome AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica stringa, scrivere nel campo Dati valore: prova.dll e confermare

8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto nella colonna DATI il valore Prova.dll, altrimenti ripetere la fase 2.

9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer (quello del case) per riavviarlo brutalmente (importante). Se il computer è sprovvisto di pulsante di RESET, allora togliere l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a niente riavviare il computer o chiudere la sessione, perché il rootkit viene eseguito di nuovo, l'unico modo è quello di "resettare" il computer.

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"

FASE 3:

Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.

Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit. VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.

Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza)..

Per i clienti della versione Professional, si consiglia di inviare il file di esecuzione automatica, da VirIT Security Monitor clickare sull'uomo spia e dopo su INVIA MAIL.

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.

Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.

Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.

Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS

e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.

Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI

e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"

e fare OK per uscire.

Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.

Ora potete cancellare il file.

N.B.: In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.

In
Windows XP Professional
la scheda
PROTEZIONE
è visibile se
non
è selezionato nelle
OPZIONI CARTELLA
la voce "
Utilizza condivisione file semplice (scelta consigliata)"
. Per accedere alle
OPZIONI CARTELLA
: da
RISORSE DEL COMPUTER
menu
STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE
nelle
IMPOSTAZIONE AVANZATE
togliere il flag da "
Utilizza condivisione file semplice (scelta consigliata)".

Ultima modifica: 06/11/2006

a cura di: Dr. Ing. G. Tonello

TG Soft 2006 - http://www.tgsoft.it

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Kuma,

Ti ringrazio per l'interessamento.

Virit l'ho gia aggiornato anzi in alto a sinistra c'è scritto VirIT eXplorer Lite 6.1.31 ma mi ha detto Steve che questa versione deve ancora uscire...boh.

Dal pannello di controllo, cliccando su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI, nella lista dei servizi, nella colonna "Connessione" nelle voci "Sistema Locale", "Servizi di rete" NON HO trovato nessuna voce insolita solo Sistema Locale e Servizi di rete.Comunque sono passato alla Fase 2 e ho fatto come hai detto.Poi la modifica sul Regedit -AppInit_DLLs -prova.dll al riavvio del Pc AppInit_DLLs è uguale a Prova.dll (lo posso togliere ora?)

La successiva scansione con VirIT eXplorer Lite non mi ha trovato niente!

Come gia detto su strumenti di amministrazione e connessioni non ho trovato nessuna voce insolita, comunque di file crittografati verdi ne avevo trovato uno nella cartella Temp di impostazioni locali e cliccando su proprietà avanzate aveva il dominio del virus eliminato la prima volta.Anche se sono riuscito a eliminarlo (solo con Agvp)non ho risolto il problema....Una curiosità, quando ho trovato questo file crittografato e ho visto che l'account di amministratore era il virus ho provato a eliminarlo da li, ma dopo 3 secondi ritornava e compariva una scritta di errore e che non era possibile.......

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Lo scaricato ma non lo apre mi dice che è danneggiato.Considera che in questo momento mi ha scollegato da internet e a provato a collegarsi con una connessione chiamata vrvr.

Intendi i file zip, o l'eseguibile al suo interno?

Se è il file zip riprova a scaricarlo.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

L'eseguibile al suo interno mi dice che è danneggiato altri programmi tipo HijackThis che avevo gia nel Pc non me li fa aprire...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0