Accedi per seguire   
Seguaci 0
mybry

Trojan Horse,adware,spycookie....li Ho Tutti Io!

57 messaggi in questa discussione

Ciao a tutti, è la prima volta che vi scrivo e spero che mi possiate dare una mano. Premetto che installati sul mio computer ci sono Norton antivirus 2006/2007, Windows Defender, Spybot Search & Destroy, Spy Sweeper(versione gratuita, cioè solo rilevamento). Il problema è che solo Spy Sweeper mi ha rilevato sul mio computer tante belle cosine: SDBot (trojan Horse), Spywareno! components (adware), WhenU (adware) e altri spycookie che di volta in volta cambiano..... Norton e il resto dei programmi nn rileva niente e ciò che rilevavano all'inizio li correggevano (tutto è comparso con l'avviso che c'era un certo "Spysheriff"). Ho provato di tutto -nelle mie limitate capacità- ma nn riesco a farli andare via..... Symantec gratuitamente nn mi aiuta (per rimuovere un virus da loro devo sborsare più di 80 euro!!!).... Cosa posso fare????????? Cosa devo scaricare o cambiare??????Aiutatemi........

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ciao e Ben arrivato/a nel forum, ...mybry

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale;

se non sai come fare clicca qui

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo :) )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

Il Norton è aggiornato con una licenza valida???

prova a fare in questo modo:

1) vedi se questo rileva SpySheriff

http://www.malwarebytes.org/downloads/download.php?id=1

2) applica le protezioni di Spyware Blaster: http://www.kuma215.it/Guide%20K&J/K/WI/SpywareBlast.html (per ActiveX dannosi e cookkies traccianti)

3) allegaci un log di HIJACK che controlliamo meglio Istruzioni e Download Hijack

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Norton e il resto dei programmi sono tutti validi, aggiornati e originali (no Spy Sweeper). Prima avevo Norton antivirus 2006, poi, in seguito a questi problemi, nonostante l'abbonamento nn fosse ancora scaduto, mancavano circa 45 gg, ho scaricato dalla Symantec la prova x 15 gg di Norton internet security. Tra poco vado a comprare Norton 360°, mi sembra il migliore.

Per quanto riguarda Spy Blaster, lo avevo scaricato l'altro giorno ma nn faceva niente.... magari adesso ci riprovo......

P.S. nn so se centra con tutto questo ma è da un pò che il computer si blocca e nn va + niente, nemmeno il mouse o la tastiera.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

HO FATTO TUTTO QUELLO che MI HAI DETTO... Il programma RogueRemover nn ha trovato niente; ho scaricato e installato SpywareBlaster; ho scaricato Hi-jackthis in C:programmi e l'ho avviato.... allego il foglio di blocco notes che è comparso.

MA A che SERVE????

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

:wub: Ciao mybry,

io direi di provare in questo modo:

Iniziamo con uno scan dell'ultima versione di Virit ovviamente dopo averla aggiornata.

( se non dovessi riuscire a scaricarla preleva da un computer pulito (o dal link alternativo) la versione 6.1.57 di VirIT.

Dopo averla installata/aggiornata esegui il file c:\vexplite\gotgsoft.bat e segui le indicazioni a video)

* Scarica questo Gromozon Rootkit Removal Tool

- Avvialo con un doppio click

- Clicca su Scan

- Rispondi YES alla richiesta di riavvio

- Dopo il riavvio il tool terminerà la procedura

Posta il log che verrà creato in C:\gromozon_removal.txt

* Scarica quest'altro Trojan.Linkoptimizer Removal Tool

- Avvia il sistema in modalità provvisoria

- Disattivato il ripristino per XP / ME

- avvia il tool con un doppio click

- Accetta il contratto di licenza

- Clicca su Start per avviare lo scan

- Rispondi Yes all'avviso e attendi la fine

Posta il contenuto del log FixLinkopt.txt

Link alternativo per i due tool

Il N1 è il tool gromozon , e il N2 quello symantec

Premetto che installati sul mio computer ci sono Norton antivirus 2006/2007, Windows Defender, Spybot Search & Destroy, Spy Sweeper(versione gratuita, cioè solo rilevamento).

Io disinstallerei sia Windows Defender, Spybot Search & Destroy, che Spy Sweeper quest'ultimo solo perchè non è in realtime (ma è il migliore tra tutti).

(((In realtà toglierei anche Norton...troppo avido di risorse...ma se a te piace... :P )))

Io come antispyware installerei Spyware Terminator e Superantispyware puoi prelevarli da qui.

Mettici anche SpywareBlaster (Ti immunizerà da molti dei più diffusi spyware).

Poi Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) + Eusing Free Registry Cleaner 1.2 (Pulizia del Registro)

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

(in seguito... Ccleaner usalo una volta al mese... )

(Quando lo installi ricordati che se lasci le spunte di default ,verrà installata anche la toolbar yahoo)

Pulisci il registro con Eusing Free Registry Cleaner 1.2

posta i log dei tool e di Virit e uno aggiornato di hijackthis.

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ehmmmmmmmmmmm....... veramente nn ciò capito molto..... nn c'è un UNICO programma da scaricare da internet freeware che mi rileva il trojan horse "sdbot" e i 2 adware e me li elimina???? e dopo questo, disinstallo tutti i programmi antivirus lasciando solo norton e spybot..... tutti gli altri mi occupano troppo spazio. Tu cosa ne pensi?????

Inoltre mi sta scadendo l'abbonamento di prova di norton 2007 e lo vado a comprare (Norton internet security 2007 o Norton 360°)....se i problemi con questi virus nn andassero via e dovessi riinstallare tutto windows, il Norton appena comprato lo posso reinstallare con il conseguente abbonamento da 1 anno senza spendere una £ ????? Ciao ;):):P:P:wub::P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao fai almeno uno scan con virit come ti ha indicato Angelique, e postaci il log

uno scan dell'ultima versione di Virit ovviamente dopo averla aggiornata.

( se non dovessi riuscire a scaricarla preleva da un computer pulito (o dal link alternativo) la versione 6.1.57 di VirIT.

Dopo averla installata/aggiornata esegui il file c:\vexplite\gotgsoft.bat e segui le indicazioni a video)

esiste il sospetto, che ci sia qualcosa che l'"amato" Norton non rileva neppure :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok, ho scaricato e aggiornato il programma Virit e ho fatto una scansione completa del sistema: NON HA TROVATO UN CAVOLO DI NIENTE!!!!!!!

Adesso vi scrivo punto x punto quello che è apparso al termine della scansione:

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD:OK

BOOT SECTOR:OK

Chiavi registro:0

Files infetti:0

Files sospetti:0

Files analizzati:93330

Files totali:93330

Chiavi registro rimosse:0

Virus rimossi:0

Questo è tutto..... Quando scansiono con Spy Sweeper e mi trova il trojan horse e altra bella roba mi dice anke dove è collocata, cioè in quali files del computer sono. I nomi sono lunghissimi ma se ve li scrivo vi potrebbero servire x riparare il tutto???? :regole: :):P :regole:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Ascolta.... se ti abbiamo fatto fare la scansione con Virit, è perchè esisteva il sospetto che potessi avere qualcosa che solo questo antivirus rileva...

Con le ultime versioni di Rootkit, (virus invisibili) non è certo facile individure la minacce...

Mi sembra che te la sei presa a male perchè ti abbiamo detto di provare a fare tale scansione... <_<

Non è il caso... :)

Forse non ti rendi neppure conto di quanti virus nuovi escono ogni giorno, e riuscire ad individuarli, sopratutto se usano tecniche di camuffamento quali rootkit o ADS (Alternate Data Straem) non è sempre una cosa facile....

Comunque....

Se sai il percorso completo dei file infetti, puoi usare KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Inserisci il percorso completo in Full Path:

poi seleziona DELETE ON REBOOT

e clicca sulla X rotonda a destra

capt0012od.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

No guarda che ti stai sbagliando..... nn me la sono mica presa!!!!! é solo che sta storia va avanti da un pò di tempo e nn mi era mai successo niente del genere..... Cmq, il percorso dei file non è come gli altri, ma si trova in luoghi ben più importanti. Cmq è meglio che vi scrivo i percorsi completi così come Spy Sweeper mi scrive. Ci metterò un pò ma è meglio così. Allora:

sdbot: HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ II *windows update

HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\microsoft \windows\currentversion\policies\explorer\run\ II *windows update

HKU\S-1-5-18\software\microsoft\windows\currentversion\policies\explorer\ II *windows update

spywareno! components: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\sno2\

whenu: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\whenu\

Questo è tutto. Ci sono anke degli spy cookie ma credo che siano di poco conto e cmq prima tolgo questi e poi il resto. sdbot è il trojan horse, spywareno! components e whenu sono ardware.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ,

se come dici " la storia và avanti da un pezzo " , non è di certo colpa di chi stà cercando in tutti i modi di aiutarti , quindi per cortesia evita gli urli (scrivere maiuscolo) , ed evita anche di esigere una soluzione a tutti i costi ..... qui la bacchetta magica non ce l'ha nessuno ....

per quanto riguarda le minacce rilevate da SpySweeper , dovrai eliminarle manualmente , quindi portati nei percorsi del registro indicati dal log , e mediante il tasto destro , elimina le voci in questione ....

Poi se mi prometti che non ti metti a urlare :P , ti consiglierei di fare anche una scansione online Kaspersky in questo modo

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Veramente io nn credevo che scrivere le cose in maiuscolo significa urlare......io scrivo sempre le cose un pò in maiuscolo e un pò nn e nn mi era mai capitato nulla di simile. Cmq davvero nn volevo offendere nessuno :angel_not: ......

Cmq adesso ci provo a rimuovere manualmente i file infetti ma come faccio? Mi pare che devo andare su esegui e poi? Ciao e grazie :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

sdbot: HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ II *windows update

HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\microsoft \windows\currentversion\policies\explorer\run\ II *windows update

HKU\S-1-5-18\software\microsoft\windows\currentversion\policies\explorer\ II *windows update

spywareno! components: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\sno2\

whenu: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\whenu\

CIAO a tutti!!!!! ho provato a cercare questi file ma nn li ho trovati. Ho sottolineato e messo in verde le scritte che nn c'erano o risultavano diverse dalla mia ricerca (su editor del registro di sistema). Infatti <<quelle due stanghette prima di *windows update nn ci sono ma invece c'è solo *windows update>>; <<negli altri, 1005 non c'è ma risulta invece 1006>>. Questo cosa significa? Ho sentito da qualke parte che esistono anke i cosiddetti falsopositivo.... Può essere questo il caso? Ciao :):P:P:wub::P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

prova a cercarli con l'utility che ti allego... metti il percorso della stringa da cercare (completo)

foto001ju3.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, ho fatto quello che mi hai detto e ti allego il risultato di uno dei file. Tutti i risultati cmq sono uguali a parte il percorso ovviamente. Questo cosa significa?

RegSearch.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

prova a ripetere la ricerca senza mettere l'abbreviazione della chiave:

HKLM ->>> HKEY_LOCAL_MACHINE\

Non dovrebbe cambiare nulla, comunque proviamo

'hku\wrss_profile_s-1-5-21-1390067357-1844237615-725345543-1005\software\whenu\

questo significa che ha trovato la chiave, eliminala manualmente...

(WhenU è un AdAware)[info] potrebbe aver trovato solo la chiave del registro, forse il programma è già stato eliminato

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

devi aprire il registro e cercare la chiave... oppure se non vuoi sbatterti troppo usa questo

http://home.tiscali.de/zdata/files/RegCool.exe

Una volta installato, nella barra indirizzi in alto, inserisci il percorso da cercare senza abbreviazioni:

---> HKEY_USER\wrss_profile_s-1-5-21-1390067357-1844237615-725345543-1005\software

Quindi una volta undividuata la chiave (nell'esempio WhenU) click su di essa con il tasto desto ed elimina (Delete)

Devi Cercare:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run

ed eliminare II *windows update

HKEY_USER\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\microsoft \windows\currentversion\policies\explorer\run\

ed eliminare II *windows update

HKEY_USER\S-1-5-18\software\microsoft\windows\currentversion\policies\explorer

ed eliminare II *windows update

HKEY_USER\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software

ed eliminare sno2\

HKEY_USER\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software

ed eliminare whenu\

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Kuma, ho installato il programma che mi hai detto e sulla barra in alto ho scritto il percorso di tutti e 5 ma, x il primo ha trovato due "chiavi": <<(Default)>> e <<*windows update>>, quindi <<II *windows update>> nn c'è; x le altre 4 il programma nn ha trovato niente e mi scrive "cannot find this key". Questo che significa????? :P:P

:wub::):P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

le chiavi le ho prese dal tuo post precedente... se ci sono errori di digitazione io non posso saperlo...

Comunque in questa chiave:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run

io non ho nessuna voce riguardante Windows Update ...

Anzi per essere più preciso, non ho proprio le voci in rosso:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run

Dovrei darci un'occhiata direttamente per capire qualcosa

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

i percorsi sono questi (e giusti) ma la storia nn cambia: <<cannot find this key>>

sdbot:

HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ II *windows update

HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\microsoft \windows\currentversion\policies\explorer\run\ II *windows update

HKU\S-1-5-18\software\microsoft\windows\currentversion\policies\explorer\ II *windows update

spywareno! components: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\sno2\

whenu: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\whenu\

Modificato da Kuma

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

ho separato le chiavi per maggior chiarezza....

Fai una cosa...

sempre usando RegCool

fai la ricerca manuale e vedi fino dove arrivi

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho fatto la ricerca manuale, ma come ho detto in un altra risposta nn ho trovato niente: più specificatamente <<II *windows update>> nn c'è in alcun caso e per gli altri 2 ardware il percorso che finisce con 1005 nn esiste, ma c'è 1006.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho fatto la ricerca manuale, ma come ho detto in un altra risposta nn ho trovato niente: più specificatamente <<II *windows update>> nn c'è in alcun caso e per gli altri 2 ardware il percorso che finisce con 1005 nn esiste, ma c'è 1006.

ciao ,

se SpySweeper li segnala , dovrebbero esserci , quindi fai una ricerca piu accurata.....

al limite quando apri il registro , clicca su F3, digita whenu e dail'invio ... vedi cosa viene fuori

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Una cosa però devo specificare: il trojan horse sdbot di cui ho indicato i percorsi nn finiscono precisamente con <<II *windows update>> perché le due stanghette forse non sono due "i" ma sono un pò più lunghe del normale. A me parevano due " i " ma in realtà è come se fossero \\ ma in verticale. Non le ho mai viste da nessuna parte.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0