Aiuto! La Prima Volta Che Incontro Un Trojan

[frapippi]

Aiuto! Nonostante ne abbia spesso sentito parlare ho semrpe pensato che a me nn sarebbe successo, e invece...

adesso che faccio?

con avast mi risultano una serie di cavalli di tr**a win32.

Non so da che parte mettere le mani!!!!!!

[vipertre]

Frapippi,benvenuto da vipertre,se non ti sei presentato nella discussione benvenuto ,se vuoi fallo.Inazitutto,dovresti aggiornare internet ed installarti un buon firewall con windows update.Poi tramite hjthis fai una scansione in modalità provvisoria e fissa queste voci tramite l'opzione fix :C:\Programmi\hp center\137903\Program\BackWeb-137903.exe ;O4 - HKLM\..\Run: [systems] C:\WINDOWS\System32\syshelp.exe ;O4 - Global Startup: hp center.lnk = C:\Programmi\hp center\137903\Program\BackWeb-137903.exe ;O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - Setup1.0.0.8-2.cab ;O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - ;O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - nstall.cab ;O15 - Trusted Zone: www.redfunny.com .Sicuramente ci saranno altre cose da eliminare ,cmq fai queste che ti ho detto ,poi scaricati ed installati spybot fai una scansione ,poi rimandi hjthis e ci posti di nuovo la scansione.Ciao

Modificato August 22, 2005 da simple

[frapippi]

Ringrazio VIPERTRE d'aver risposto al mio appello. Mi dispiace di nn essermi presentata, ma credimi nn so nemmeno cosa sto facendo e soprattutto se la sto facendo giusta. Non ho mai partecipato a forum, quindi sono decisamente neofita ed imbranata. Spero di riuscire a fare quello che mi ha proposto VIPERTRE, il pc finora l'ho usato solo per internet ma in modo molto blando, poi ho iniziato a scaricarmi l'universo...un grazie a chiunque avrà voglia di darmi una mano

[vipertre]

ciao non vorrei essere crudo ,ma hai preso un bel worm ,fissa questa voce C:\WINDOWS\netinfo.exe ;O23 - Service: netinfo - Unknown owner - C:\WINDOWS\netinfo.exe ;Fissa queste voci sempre in modalità provissoria.Ciaoe fammi sapere e postami la nuova scansione

[Yusuke]

X VIPERTRE X

Ti pregherei di essere più ordinato nel seguire le procedure e indicare tutti i programmi e infine non affidarti all'anlisi automatica che ti ha fatto scrivere di togliere un processo della HP!!!!

Non è così facile togliere i virus!

X FRAPIPPIi X

Questo non toglierlo!!!!

C:\Programmi\hp center\137903\Program\BackWeb-137903.exe

Prima di procedere devi scaricarti i seguenti programmi: (installali tutti e quelli che lo richiedono, AGGIORNALI)

SeSp.Fix

KillSgunt

Script per riparare la trusted zone

Microsoft AntiSpy (Antispy - Real Time)

Spybot 1.4 (Antispy)

Ad_Aware (Antispy)

CwShredder (Protezioni)

SpyWare Blaster (Protezioni)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

_________________________________________________________

In questa mia pagina puoi leggere una breve guida su Hijack

Esegui queste operazioni ------ > (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

1. Avvia SeSpfix 112

2. Avvia KillSgrunt

3. avvia il file per riparare la TRUSTED ZONE

(click con il tasto destro sul file e seleziona Installa)

4.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked

NOTA CHE: ti metto tutte le voci sospette, e che NON fanno parte dei processi di Windows.....se qualcuna la riconosci o l'hai aggiunta tu non rimuoverla....

LISTA VOCI DA RIMUOVERE

C:\WINDOWS\netinfo.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKLM\..\Run: [systems] C:\WINDOWS\System32\syshelp.exe

O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O15 - Trusted Zone: www.redfunny.com

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h++p://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitial Setup1.0.0.8-2.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - h++p://www.errorguard.com/installation/Install.cab

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h++p://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe

O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - h++p://c6.community.virgilio.it/download/DownloaderActiveX.cab

O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - h++p://download.spyspotter.com/spyspotter/SpSp29953.00optYplkOmji/SpySpotterCabI nstall.cab

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: netinfo - Unknown owner - C:\WINDOWS\netinfo.exe

Apri il task manager (CTRL+ALT+CANC) e termina questi processi se presenti:

syshelp.exe

ms32.exe

Trova e se ci sono elimina questi files (START/CERCA)

LISTA FILE DA ELIMINARE

netinfo.exe

syshelp.exe

ms32.exe

1. START/ESEGUI.../digita REGEDIT

2. Portati qui:

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Run

3. Nel pannello di destra elimina questa stringa se presente:

Compaq32 Service Drivers="ms32.exe"

4. Portati qui:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>RunServices

Dal pannello di destra elimina se presente questa stringa:

Compaq32 Service Drivers="ms32.exe"

Portati qui:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole

Dal pannello di destra elimina questa stringa se presente:

Compaq32 Service Drivers="ms32.exe"

Portati qui:

HKEY_CURRENT_USER>Software>Microsoft>

Windows>CurrentVersion>RunServices

Elimina questa stringa dal pannello di destra se presente:

Compaq32 Service Drivers="ms32.exe"

Portati qui:

HKEY_CURRENT_USER>Software>Microsoft>OLE

Elimina questa stringa dal pannello di destra se presente:

Compaq32 Service Drivers="ms32.exe"

Chiudi il registro di sistema

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner

(non modificare le opzioni)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione, rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

[frapippi]

Eccomi di nuovo!

Premesso che è tutto il pomeriggio che smanetto, forse sono arrivata ad una soluzione.

La scansione con Avast nn ha dato nessun file infetto.

Controllami l'allegato e dimmi qlcs.

Grazie mille!

[Guest lucass]

Ciao c'è ancora qualcosa da eliminare

Assicurati di visualizzare i file e le cartelle nascoste:

Start>Pannello di controllo>Opzioni cartella>Portati sulla scheda visualizzazione>Metti la spunta nella casella "Visualizza file e cartelle Nascoste">Applica>OK

DISATTIVA IL RIPRISTINO DI CONFIGURAZIONE DI SISTEMA

(Start>pannello di controllo>Sistema>portati sulla scheda "Ripristino di configurazione di Sistema>Metti la spunta nella casella>Applica>OK)

Avvia in modalita provvisoria

(Dopo aver eseguito il passaggio sopra indicato riavvia il pc,dopo la schermata della RAM(Le prime scritte)premi in continuazione il tasto F8 e scegli l'opzione "Avvia in modalita Provvisoria")

Apri hijack clicca su "Do a system scan only"

Metti la spunte nella caselle che corrispondono alle stringhe che ti metto sotto e clicca su "FIX CHECKED"

(SE LE VOCI NON COMPAIONO IN MODALITA PROVVISORIA DEVI FISSARLE IN MOD NORMALE)

O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - Global Startup: hp center.lnk = C:\Programmi\hp center\137903\Program\BackWeb-137903.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

Apri il task manager(control+alt+can)trove e se termina questo processo

ms32.exe

con la funzione cerca ed elimina(anche dal cestino)

ms32.exe

--------------------------------------------------------------

FATTO TUTTO RITORNI QUI E SEGUI QUESTE INDICAZIONI

1-Create una nuova cartella sull’hard disc

2-Scaricate Syclean e il Patter aggiornato

3-ed inseritelo nella cartella precedentemente creata

4-Scompattiamo il Patter(file rar) nella cartella creata

5-Fatto questo aprite la cartella “syclean”

5-Disabilitate il ripristino di configurazione di sistema(xp e me)

6-Riavviate in modalità provvisoria

7-Chiudete tutte le applicazioni

8-Lanciate l’eseguibile syclean.com

9-Ti si apre una schermata metti la spunta nella casella "Automatically clean or delete detected files"

10-Assicurati che scansioni tutto quindi ci deve stare la spunta nella casella "Scan local fix driver"

11-Clicca su SCAN e la scansione inizierà

12-Al termine della scansione, Sysclean genera un log dove sono riportati i risultati della scansione appena effettuata.

Potete visualizzarlo premendo il tasto View Log,Oppure guardando all’ interno della cartella dove avete messo il tool, aprendo il file SYSCLEAN.LOG con il blocco note e postamelo qui

Modificato August 22, 2005 da lucass

[vipertre]

scusa yusuke,credevo che quel file fosse da eliminare?molto cotresemente ,senza che ci arrabbiamo,ti volevo chiedere due cose:quasndo hai qualcosa da dirmi,fallo in privato,e aggiungi al messaggio che ho inviato per aiutare qualcuno la tua precisazione tecnica.come fai ad analizzare i file senza la maniera automatica?ciao e grazie

[Guest lucass]

Sbagliando si impara e yusuke lo sa bene :andy: anche io :andy:

basta che metti il finale su google o altavista fai tu basta che sia un motore di ricerca

esempio per il file ms32.exe

http://www.google.it/search?q=ms32.exe&sta...:it-IT:official

http://it.altavista.com/web/results?itag=o...exe&kgs=0&kls=0

e vedi che cosa ti esce naturalmente deve combaciare con la voce nel log

O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe

[vipertre]

grazie lucass.

[Danix]

X VIPERTRE X

Ti pregherei di essere più ordinato nel seguire le procedure e indicare tutti i programmi e infine non affidarti all'anlisi automatica che ti ha fatto scrivere di togliere un processo della HP!!!!

Non è così facile togliere i virus!

Ma dico Yusuke? Ma stai scherzando?

Premesso che solo i Moderatori avrebbero il potere di riprendere qualcuno (ma lo fanno con modi decisamente più civili), e che solo loro dovrebbero scriverti quello che ti sto scrivendo io (e di questo me ne scuso), non mi sembra davvero il caso di fare queste pubbliche sgridate a un utente che comunque ha voluto dare un suggerimento a qualcuno.

E' da molto che frequento questa comunità che si è sempre contraddistinta per il clima di serenità che regna.

Lo dico da semplice utente (non sono molto di più): cerchiamo di mantenerla ok?

P.S. credo che Vipertre meriti delle scuse

Io le porgo allo staff per l' [ot]

[Guest lucass]

Una cosa devo dire eliminando una voce che non è da eliminare fa più danni che danni con questo non voglio difendere nessuno,ma quando si ha che fare con i pc degli altri bisogna andarci con i piedi di piombo controllare + volte quelle voci io alcune le conosco a memoria ma le ricontrollo sempre per scrupolo,non vorrei che un giorno uno mi viene e mi dice tu mi hai rotto il pc,si yusuke ha sbagliato il tono ma il i tribunali a quest'ora sono chiusi

PS:

@frapippi

Sposta la cartella di hijack in una locazione tutta sua per esempio C:\Programmi o Documenti BASTA che non siano locazioni temporanee tipo Desktop TEMP e via dicendo altrimenti non ti fa i back up di quello che elimini e in caso di errore di chi te lo analizzi non puoi ripristinare le voci

PER ME IL DISCORSO E' CHIUSO NON RISPONDERO PIU' AD EVENTUALI COSE INERENTI QUESTO ARGOMENTO

Modificato August 22, 2005 da lucass

[Yusuke]

Si vabene ci sarò andato brusco ma se qui ognuno fa eliminare un processo per sbaglio andrebbe a finire male o sbaglio? Era meglo se non dicevo e facevo eliminare il processo? Bisognerebbe sempre andarci con calma con il log di hijack, in più bisogna (su questo forum) disattivare i link nocivi e ci vorrebbe un minimo di ordine nell'indicare le procedure per non creare confusione... tutte cose che non mi sono inventato

[frapippi]

Spero di nn aver creato un incidente diplomatico...

cmq dato che sono molto inesperta e che ho impiegato tutto il pomeriggio per venirne a capo, il file il questione nn ho avuto il tempo di cancellarlo, quindi mettiamoci una pietra sopra e punto.

Ringrazio tutti che avete cercato di darmi una mano...

A proposito Lucass..

il file che mi dici di eliminare nn l'ho eliminato di proposito perchè credo si tratti del driver della stampante che ho scaricato dal sito hp.

Può darsi?

Posso dormire sonni tranquilli con AVAST e SYGATE?

[Yusuke]

Scusa non ho capito.... hai seguito le procedure indicate da me? Non ho proprio capito Comunque con Avast e Sygate puoi dormire tranquillamente... il ms32.exe segnalato da lucas lo devi eliminare assolutamente mentre il processo HP sul quale stiamo discutendo non lo devi eliminare

[Guest lucass]

ciao tranquilla nessun incidente diplomatico,per quel file vai tranquilla cioè eliminalo se vuoi info basta chiedere

http://it.trendmicro-europe.com/enterprise...=WORM_SDBOT.BWH

come vedi è un worm che deve essere eliminato,vai tranquilla che non ti faccio sbagliare

PS:Ricordati di eseguire il passaggio che della cartella di hijack(nel post sopra)ciao ciao

[frapippi]

Ciao Yusuke!

Sì, ho seguito le procedura che tu mi hai indicato a parte eliminare il ms32.exe a cui sto cercando di provvedere adesso.

Poi vi faccio sapere, tranquilli!

[vipertre]

Danix e kuma ,non vi dovete preoccupare ne scusare con me,certo non è bello sentire essere ripreso nella maniera in cui sono stato ripreso da yusuke.Io certamente non voglio rovinare il pc di nessuno,siccome di solito l'analisi automatica con me ha funzionato sempre bene.Cercherò di stare più attento la prossima volta.Ripeto accetto le vostre scuse e precisazioni kuma e danix ,grazie ,grazie ancora :omaggi: :omaggi: :omaggi: . Io non voglio turbare l'armonia di questo forum a cui sono molto affezzionato e caro,quindi vi saluto nella maniera degli hyppies : peace and love.Ciao e apresto.

Modificato August 22, 2005 da vipertre

[Yusuke]

Scusa Viper è vero ho esagerato... (in effetti ho messo un po' troppi punti esclamativi ) Sinceramente non volevo essere così brusco, però come sai scrivendo non si può usare il tono di voce quindi molto spesso ci fraintendiamo :popò: Ti chiedo di nuovo scusa, dopotutto ognuno di noi ha il diritto di rispondere di rispondere e io non sono neanche un moderatore quindi non potrei neanche riprenderti :leggi: Ti chiedo solo di stare più attento in futuro con i processi da indicare in caso tu volessi continuare ad aiutare Ce ne andiamo a farci una bella bbirra al bar?

[vipertre]

accetto le scuse,però la bira no sono astemio,cmq grazie lo stesso.ciao

[Yusuke]

E che iella! Una coca? Ti aspetto!

[vipertre]

facciamo una cosa :un bel cappuccino domani mattina.OK?

[Yusuke]

Certo! Anche un cappuccino! (a chi si sveglia dopo :andy:) scusa ancora

[frapippi]

:sigh: :sigh:

come faccio a scompattare il Patter(file rar) nella cartella creata???????

[Danix]

[ot] Tutto è bene quel che finisce bene! [ot]

[/ot]