Olimpo Informatico

gaccian · Mortale pio Registrato: 01/06/07 14:33 Messaggi: 20

Salve a tutti! Very Happy

Un grazie anticipato a chi cercherà di aiutarmi..

Nel mio computer mi si aprono, di tanto in tanto, delle finestre di errore. Cercando con "Cerca" il file segnalato, vedo che lo trovo sempre in delle cartelle bak di quel programma. All'inizio semplicemente andavo a cancellare il file... ma l'errore continuava ad apparirmi in altri file.. Cercando così un pò su internet su vari forum, compreso questo, ho letto dei consigli del tipo scaricare findAWF.exe, eseguirlo e poi scaricare avenger.exe per poi andare a modificare i file nelle cartelle.
E così il mio problema diventa un'altro.. dal mio computer non riesco a scaricare avenger, inoltre se digito la parola avenger su un motore di ricerca, internet explorer si chiude..
allora ho provato a scaricare il programma su un computer e portarlo su quello con gli errori.. ma anche così non riesco a far partire avenger.. come posso fare? c'è un altro programma simile per risolvere gli errori? o come faccio a far partire avenger da quel computer??

spero di essermi spiegata.. e vi prego di considerare, nel darmi i vostri consigli, che sono abbastanza una principiante in questo campo!! Embarassed

grazie a tutti! Wink

ioSOLOio

l'impossibilità a usare l'utility che descrivi l'hai anche in modalità provvisoria?

gaccian · Mortale pio Registrato: 01/06/07 14:33 Messaggi: 20

si.. anche in modalità provvisoria quando cerco di far partire il programma avenger, mi si apre la schermata iniziale.. ma questa "salta" e torno al desktop...

Orange · Dio maturo Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma

benvenuta, gaccian Ciao

temo che hai più di una di infezioni...
cominceremo con quella più fastidiosa:
da Start/Esegui digita regedit e dai l'OK
portati alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
individua nella finestra di destra Userinit
riporta qui i valori che trovi

fai lo stesso con
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
guarda se hai la sottochiave explorer.exe
riporta qui i valori

gaccian · Mortale pio Registrato: 01/06/07 14:33 Messaggi: 20

dunque per quanto riguarda Userinit mi da:

c:\windows\system32\userinit.exe,"c:\windows\delltop.exe","c:\windows\wifitop.exe","c:\windows\wifisvc.exe","c:\windows\maxtor-utility.exe","c:\windows\system32\kodaktool.exe",

mentre explorer.exe non c'è in quella posizione... Question

è possibile?

Orange · Dio maturo Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma

bhè sì, è possibile... Very Happy

apri il registro e portati a questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
doppio clic su Userinit
evidenzia le voci infette: "c:\windows\delltop.exe","c:\windows\wifitop.exe","c:\windows\wifisvc.exe","c:\windows\maxtor-utility.exe","c:\windows\system32\kodaktool.exe",
e cancellali (tasto Del o Back Space) (ATTENZIONE a non eliminare tutta la chiave!!)
la chiave dopo la pulizia deve rimanere così: c:\windows\system32\userinit.exe, ( compresa la virgola finale!)

ora dovresti riuscire a far partire Avenger
avvialo, Seleziona "Input Script Manually"
Clicca sulla lente d'ingrandimento
Ti si apre la finestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice:

gaccian · Mortale pio Registrato: 01/06/07 14:33 Messaggi: 20

ho provato a cancellare le voci:
"c:\windows\delltop.exe","c:\windows\wifitop.exe","c:\windows\wifisvc.exe","c:\windows\maxtor-utility.exe","c:\windows\system32\kodaktool.exe",
ma se do l'ok e vado ad aprire avenger questo continua a non andare..
sono tornata su userinit ed era ricomparso "c:\windows\system32\kodaktool.exe", ho riprovato a cancellarlo e a dare l'ok ma se riapro userinit lui è di nuovo li!!! ho provato a cancellarlo anche manualmente da system32 ma ovviamente non ci sono riuscita...
inoltre, non so se ho fatto bene, ho provato a eliminarlo con trojan remove.. ma niente da fare.. è sempre li..

Orange · Dio maturo Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma

prova a terminare il processo kodaktool.exe dal Task manager e riprova con Avenger

gaccian · Mortale pio Registrato: 01/06/07 14:33 Messaggi: 20

ho riprovato a far partire avenger in modalità provvisoria... è questa volta è andato!!! e sono riuscita a copiare così i file delle bak fuori.. quindi qualcosa penso di avr risolto..

tuttavia il file kodaktool.exe non riesco a cancellarlo... ho provato acnhe con killbox ma niente... e avenger in modalità normale contiuno a non riuscire ad aprirlo.. vabbè..

gaccian · Mortale pio Registrato: 01/06/07 14:33 Messaggi: 20

provando e riprovando alla fine ce l'ho fatta ad eliminarlo!!! Very Happy

e così mi è andato anche avenger..
in teoria adesso dovrebbe essere tutto in ordine.. per ora le scritte di errore non compaiono più.. vediamo quanto dura!!! 8)
grazie delle dritte cmq!!

Orange · Dio maturo Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma

bene!
comunque: ti consiglio di fare lo scan con questo tool e per sicurezza anche con VirIT.
infine fai lo scan con FindAWF

metti qui tutti i risultati

gaccian · Mortale pio Registrato: 01/06/07 14:33 Messaggi: 20

dal primo:

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\com1.gso
\\?\C:\WINDOWS\system32\com1.gso
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\uappx1.dll
Removed!

Trojan.Gromozon Removed!

Con virit:
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
03/06/2007 - 10:45:44

[SCANSIONE DEL REGISTRO]
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.D

[A:]
BOOT SECTOR: OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\PIETRO MUSSONI\Impostazioni locali\Temp\1346546.exe Infetto da Trojan.Win32.Small.PM
Il file sarà spostato nella cartella di quarantena.
C:\WINDOWS\delltop.exe.ren Infetto da Trojan.Win32.Agent.ARF
* * * RIMOSSO * * *

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

[E:]

[F:]

Chiavi Registro infette: 2.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 93580.
Files Totali: 93580.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.

Adesso puoi RIAVVIARE il computer per spostare il file nella cartella di quarantena.

infine con FindAWF:

Find AWF report by noahdfear ©2006

bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\LEXMAR~1\BAK

0 File 0 byte
2 Directory 22.265.143.296 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 22.265.143.296 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\AHEAD\NEROBA~1\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\KEYMAE~1\MULTIM~1\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\THOMSON\SPEEDT~1\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\CREATIVE\MEDIAS~1\DETECTOR\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~3\121128~1.546\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili
Il volume nell'unit? C ? Disco 50 GB
Numero di serie del volume: F03C-F66D

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_0\BIN\BAK

0 File 0 byte
2 Directory 22.265.139.200 byte disponibili

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

end of report

com'è? Rolling Eyes

bdoriano

FixGromozon e VirIt hanno trovato alcuni ospiti e li hanno eliminati.
findAWF non ha rilevato niente.

Prova a fare un log con hijackthis, ricordati di salvare il programma in una sua cartella non temporanea e non sul desktop.
Posta qui il log generato.

gaccian · Mortale pio Registrato: 01/06/07 14:33 Messaggi: 20

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.16.32, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Keymaestro\Multimedia Keyboard\nhksrv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programmi\Keymaestro\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\programmi\u-storage tool2.9\ustorage.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Keymaestro\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Keymaestro\Onscreen Display\OSD.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O1 - Hosts: 67.15.57.172 auto.search.msn.com #NETVISION
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Class - {D27F6ED1-AAE3-7F7A-167D-E6C4FA5FF22F} - (no file)
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ECS CLOCK] C:\WINDOWS\System32\ecsclock.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Keymaestro\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [UStorag] c:\programmi\u-storage tool2.9\ustorage.exe sys_auto_run C:\Programmi\U-Storage Tool2.9
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [csrgjqik] "c:\windows\system32\csrgjqik.exe"
O4 - HKLM\..\Run: [vacjt] "C:\DOCUME~1\PIETRO~1\IMPOST~1\Temp\1346546.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [vacjt] "C:\DOCUME~1\PIETRO~1\IMPOST~1\Temp\1346546.exe"
O4 - HKLM\..\Policies\Explorer\Run: [delltop] "c:\windows\delltop.exe"
O4 - HKLM\..\Policies\Explorer\Run: [wifitop] "c:\windows\wifitop.exe"
O4 - HKLM\..\Policies\Explorer\Run: [wifisvc] "c:\windows\wifisvc.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Alice - {52F73F87-DBD0-4C29-9758-FAC08FEA7635} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: www.giochi-online.ws
O15 - Trusted Zone: http://www.happyfile.net
O15 - Trusted Zone: www.happyfile.net
O15 - Trusted Zone: www.nodialup.name
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.whatsnew.name
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3400793E-A4A7-4915-BF43-B5BBBFD9AFD9}: NameServer = 85.37.17.14 85.38.28.78
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Keymaestro\Multimedia Keyboard\nhksrv.exe

--
End of file - 8445 bytes

bdoriano

Avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci: