Eliminazione Trojan

[maurizio falconi]

Il mio antivirus (AviraPE) all'avvio trova il TR/dropper.gen ma non riesce ad eliminarlo. Ho provato anche con diversi syware lanciati in modalità provvisoria ma... nulla.

Allego il mio hijachthis.log file sperando nel vostro aiuto.

Grazie in anticipo.

Ciao Maurizio

[Steve75]

[ben][/ben]

fai cosi;

* Assicurati di avere accesso a file e cartelle nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* disattiva il ripristino configurazione di sistema

* Avvia in modalità provvisoria

ATTENZIONE***Ricordati di mettere HIJACK in una cartella a lui dedicata (C:\HJT ), altrimenti non sarà in grado di fare il backup delle voci rimosse.

* Avvia hijthis, metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked (Ovviamente se qualcuna la conosci trascurala)

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\lotus-speed.exe","c:\windo ws\system32\macromediaservice.exe",

Tuttê le 01

O2 - BHO: Class - {E0F7C8C2-CF51-7C21-3F23-CAEFFF897D9D} - C:\WINDOWS\rvrll1.dll (file missing)

O4 - HKCU\..\Run: [messengerskinner] C:\Programmi\MessengerSkinner\MessengerSkinner.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZJ

* Cerca ed elimina

c:\windows\lotus-speed.exe

c:\windo ws\system32\macromediaservice.exe

* Dai una ripulita a cookie,cache e prefetch con Ccleaner

(Quando lo installi ricordati che se lasci le spunte di defuat ,verrà installata anche la toolbar yahoo)

(prima di usarlo vai in Opzioni/avanzate e togli la spunta da :Elimina file temp di Windows solo se piu vecchi di 48 ore)

*Ritorna in modalità normale e posta un log aggiornato

* Fai anche uno scan online Kaspersky in questo modo

_____________________________________________

Alla fine delle procedure di pulizia è fondamentale :

1) ri-nascondere i file e le cartelle di sistema

2) Riattivare il ripristino configurazione di sistema (XP / ME)

3) Creare un nuovo punto di ripristino

[maurizio falconi]

cari tutti mi scuso ma sono entrato nel forum solo ieri e non ho ben capito come funziona.

Ho provato a laciare HiJack sia in modalita provvisoria sia normale ma non funziona piu. Inoltre succedono cose molto strane. Ad esempio non riesco ad accedere alla cartella dove e istallato il programma sotto c:/prograami che l esplorer mi si chiude. Anche google stranamente mi si chiude se digito hijack. Ho provato a cancellare lotus-speed ma mi viene vietato.

Non so che fare vi prego aiutatemi.

Grazie in anticipo

un caro saluto

maurizio

[Steve75]

fai cosi;

Per visualizzarli devi attivare la visualizzazione dei file nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* Scarica AGVPFix

- Estrai l'archivio

- avvia il file AGVPFix.exe

- clicca su Start

- si aprirà una finestra simile a quella di esplora risorse , scorri l'albero fino al file in questione c:\windows\lotus-speed.exe

- selezionalo e dai l'ok

Ripeti la stessa con il file c:\windows\system32\macromediaservice.exe

Adesso fai cosi :

Apri il registro (Start / esegui / regedit / ok)

Portati in questa chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

trova nella finestra di destra la voce Userinit ed elimina la voce: "c:\windows\lotus-speed.exe","c:\windo ws\system32\macromediaservice.exe",

***ATTENZIONE*** a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

Devi eliminare solo la voce infetta , in questo modo :

fai doppio clic sul nome della chiave: "userinit"

Nelle finestra che si apre evidenzia e cancella solo la voce "c:\windows\lotus-speed.exe","c:\windo ws\system32\macromediaservice.exe", , come la vedi ....

La chiave deve rimanere cosi :

Chiudi il registro e a questo punto dovresti riuscire ad eseguire Hijackthis

[maurizio falconi]

scusatemi ancora ma io vedo solo la risposta di ieri ma non quelle odierne.

dove devoa andare

ciao

Maurizio

[maurizio falconi]

ho trovato le tue istruzioni

grazie

[maurizio falconi]

Innazitutto grazie, i vostri consigli sono veramente preziosi.

Sono riuscito a togliere lotus-speed ed a fare la scansione con HiJack allego il log. Macromediaservice non è presente nel PC.

Ho eseguito anche una analisi on line con kaspersky che vi sottopongo.

Cosa devo fare il TR/dropper.gen comunque è sempre li'.

[Kuma]

Ciao...

1) Scarica HOSTER : http://forum.wininizio.it/index.php?act=At...ost&id=6530

Decomprimilo,

clicca su "RISTABILISCI HOSTS ORIGINALE"

poi si "MAKE HOSTS READONLY"

--

2) questa chiave:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\lotus-speed.exe","c:\windo ws\system32\macromediaservice.exe",

è ancora presente...

devi eliminarla manualmente come ti ha spiegato Steve...

Da Start\Esegui digita: regedit

portati alla chiave:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Individua la voce (nella finestra di destra) e cliccaci sopra due volte

Userinit

Nella finestra che si apre, seleziona (evidenzia) le due voci infette "c:\windows\lotus-speed.exe","c:\windows\system32\macromediaservice.exe",

(devono apparire in blu)

e quindi premi il tasto per cancellare (Back Space)

La chiave dopo l'eliminazione deve essere così:

Chiudi il registro....

--

3) Disintalla (da Installazione Applicazioni) C:\Programmi\MessengerSkinner

4) avvia Hijack con tutte le applicazioni chiuse (sopratutto il browser)

clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked

O2 - BHO: Class - {E0F7C8C2-CF51-7C21-3F23-CAEFFF897D9D} - C:\WINDOWS\rvrll1.dll (file missing)

O4 - HKCU\..\Run: [messengerskinner] C:\Programmi\MessengerSkinner\MessengerSkinner.exe

O8 - Extra context menu item: &Search - h.ttp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJ

Cerca se hai questi files e se ci sono eliminali (con esplora risorse)

C:\WINDOWS\rvrll1.dll

C:\Programmi\MessengerSkinner (tutta la cartella)

C:\WINDOWS\system32\drivers\etc\hosts.msn

C:\WINDOWS\system32\f3PSSavr.scr

La scansione su Kaspersky dovevi farla completa e non solo per le aree critiche

[maurizio falconi]

Grazie per le indicazioni.

Ti faccio il punto della situazione poiche' non sono sicuro di aver fatto tutto correttamente.

1) il programma Host parte ma sembra bloccato. Non fa nulla.

2) Non ho ben capito come arrivare alla chiave F":system.ini: Userinit=c:\windows.................

Se sei cosi' gentile da darmi delle spegazioni.

3) la voce C:\windows...........\userinit.exe, è OK (non ci sono riferimenti a lotus o macromedia).

4) Ho disistallato messengerskinner e cancellato il files che mi ha suggerito.

5) l'antivirus mi segnala che il file EDDKK.exe è infetto dal trojan.

Non mi rendo conto se il mio compiuter è veramente molto incasinato e se si riesce a risistemarlo.

Granzie ancora

Ciao a tutti

Maurzio

Modificato December 9, 2007 da Maurizio (AP)

[Duca Bianco]

Ciao Maurizio (AP)

1) il programma Host parte ma sembra bloccato. Non fa nulla.

non ti compaiono queste finestre di conferma??

prova a disabilitare temporaneamente spyware terminator.

Non ho ben capito come arrivare alla chiave F":system.ini: Userinit=c:\windows.................

Se sei cosi' gentile da darmi delle spegazioni.

basta seguire le indicazioni di kuma.

Da Start\Esegui digita: regedit

portati alla chiave:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Individua la voce (nella finestra di destra) e cliccaci sopra due volte

Userinit

Nella finestra che si apre, seleziona (evidenzia) le due voci infette "c:\windows\lotus-speed.exe","c:\windows\system32\macromediaservice.exe",

(devono apparire in blu)

e quindi premi il tasto per cancellare (Back Space)

'antivirus mi segnala che il file EDDKK.exe è infetto dal trojan.

La scansione su Kaspersky dovevi farla completa e non solo per le aree critiche

prova a rifare la scansione completa (my computer) e posta il report.

[maurizio falconi]

Cosa succede non riesco piu' a comunicare con voi ed ad inserire allegati

Ciao

Maurizio

[maurizio falconi]

Non riesco piu' a mandare allegati per problemi di spazio, come devo fare per cancellare quelli vecchi???

Grazie ciao

maurizio

[$angelique!?]

Carica il file su questo Hosting e poi posta il link per poterlo scaricare

http://www.mytempdir.com/

[maurizio falconi]

Ciao,

Perche non posso aggiungere il file (sotto) al mio messagio come ho fatto in questi giorni???

Vorrei capire come funziona questo forum.

Maurizio

[Kuma]

Lo spazio a dispozione (per ogni messaggio) di un utente normale è limitato... è probabile che hai raggiunto la quota assegnata...

Prova anche a svuotare coockies e cache

[maurizio falconi]

Ottengo il seguente messaggio di errore:

Lo spazio totale necessario per caricare tutti i files allegati è maggiore di quello che ti è consentito utilizzare per ogni singolo messaggio o di quello totale. Perfavore diminuisci il numero di allegati o la loro dimensione.

Che devo fare???

Sono nuovo e se possibile avrei bisogno di istruzioni dettagliate altrimenti........

Grazie per la pazienza

Maurizio

[$angelique!?]

Ciao Maurizio, scusa se mi ripeto, ma a questo punto sarebbe meglio caricare il tuo file su un server e poi dare il link per poterlo scaricare.

Vai qui >> http://www.wikifortio.com/

clicca su sfoglia, scegli il file > apri, poi clicca su upload

dopo aver caricato il file, ti comparirà una finestra come questa,

tu dovresti copiare qui il link per il dowload. ;-)

[maurizio falconi]

Ciao, angelique

scusa tu se io non capisco, comunque ieri sera il server per il uploading non mi funzionava.

Oggi tutto OK

Grazie mille.

Allego i links per per il controllo dei files

di scanning di HiJack e Kaspersky

Sono riuscito a pulire la chiave userinit

Aspetto vostre indicazioni per come andare avanti

Ciao

a tutti

Maurizio

http://www.wikifortio.com/882937/Kaspersky...20C%20disk.html

http://www.wikifortio.com/878894/9%20dic%2...0hijackthis.log

[Steve75]

hai un'invasione da linkoptimizer ....

Scarica l'ultima versione di Virit

Dopo averla installata/aggiornata esegui uno scan completo del sistema

* Scarica questo Gromozon Rootkit Removal Tool

- Avvialo con un doppio click

- Clicca su Scan

- Rispondi YES alla richiesta di riavvio

- Dopo il riavvio il tool terminerà la procedura

Posta il log che verrà creato in C:\gromozon_removal.txt

* Scarica quest'altro Trojan.Linkoptimizer Removal Tool

- Avvia il sistema in modalità provvisoria

- Ripristino disattivato per XP / ME

- avvia il tool con un doppio click

- Accetta il contratto di licenza

- Clicca su Start per avviare lo scan

- Rispondi Yes all'avviso e attendi la fine

Posta il contenuto del log FixLinkopt.txt

* Ritorna in modalità normale e posta i log dei tool e di Virit

[maurizio falconi]

Ciao,

ho eseguito le vostre istruzione ed ora l'antivirus (Avira PE) non da piu' messaggi

all'avvio.

Allego comunque i reports richiesti.

un caro saluto a tutti

Maurizio

FixLinkopt.log

gromozon_removal.log

irIT_eXplorer_Lite_Log.doc

[Steve75]

aiaiaiaiai, c'era un'allevamento in corso nel tuo sistema

facciamo le ultime verifiche e dovresti essere apposto;

* Vai su start / esegui

- digita control userpasswords2 e dai l'ok

- Riporta la lista degli utenti che verrà visualizzata

* Fai anche quest'operazione ;

Apri hijackthis , vai su Open the Misc tool Section ,quindi su Open uninstall manager .

Clicca su Save list e salva il file di testo sul desktop.

Copia insieme agli altri log il contenuto del file .txt

[maurizio falconi]

ciao,

vi sottopongo i files richiesti.

Ora che mi ricordo non sono riuscito ad inserire la password per l'administrator

ed il computer mi chiedeva la vecchia password che pero'

non era stata inserita. Il computer si avvia senza password.

Ci possono essere delle connessioni????

Naturalmente io non ho inserito il terzo utente con quel nome stranissimo.

Comenque siete forti ragazzi!!!!!!!!

a presto

A dimenticavo, secondo voi varrebbe la pena di comprare un antivir come virIT, non costa poi molto circa 80 euro, e stare cosi' un po piu tranquilli. L'avira PE non mi ha sufficientemente protetto poi mia figlia (11 anni) sta spesso su internet e non so cosa mi combina, mi capisci.

uninstall_list.txt

Utenti.txt

[Steve75]

elimina questo utente;

hEtcpEgXqpNih

se vuoi proprio comprarti un antivirus, opta per Kaspersky Internet Security

PS_ma quando metti una pendrive nel pc non ricevi alcun messaggio ?

comunque fai cosi;

- Dal task manager, CTRL+ALT+CANC controlla i processi e se ne esiste uno col nome Knight terminalo

- Vai nel pannello di Controllo / Installazione Applicazioni, cerca Knight e rimuovilo

- Via su Start / Cerca / File o cartelle ed inserisci “Knight”.

- Rimuovi i files che vengono fuori

- dal DOS digita “regedit” e premi INVIO

- vai su Modifica / Trova, scrivi “knight” e anche qui elimina quanto viene fuori

Elimina tutte le chiavi di registro con scritto “knight” o “disk knight” , NON quelle con scritto per esempio, “knightj” o cose simili altrimenti si potrebbero bloccare altri programmi di sistema.

[maurizio falconi]

E bravo,

circa 10 giorni fa mi sono preso con una pendrive inetta il Knight.exe.

Un mio amico ha trovato la procedura per eliminarlo ed abbiamo cosi' pulito computers e pennette.

Sicuramente è rimastra qualche traccia.

Stasera dopo il lavoro provero' comunque a fare quello che mi suggerisci.

Ciao

Maurizio

[maurizio falconi]

Ciao,

knight è solo presente sul log di open unistall manager di Hijack. Il file di registro sembra OK (no riferimenti) Posso usare il programma HiJack per cancellarlo??? Come???

Una scansione con Kaspersky Inter. Security che ho acquitato ha detectato il Trojan.win32.qhost.kk che è stato inserito nella cartella di backup dato che non poteva essere pulito.

Aspetto le vostre preziose indicazioni

Ciao

Maurizio

uninstall_list_Hijack.txt