Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Invasione trojan
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Ita
Comune mortale
Comune mortale


Registrato: 09/02/08 16:31
Messaggi: 3
Residenza: Napoli
MessaggioInviato: 10 Feb 2008 18:32    Oggetto: Invasione trojan Rispondi citando
Ciao a tutti....sono nuova qui...e avrei bisogno del vostro aiuto.
Ho un portatile Toshiba Satellite A100 con processore Intel Core Duo e Win XP...e da qualche giorno mi ritrovo invasa di trojan, si è rallentato, ogni tanto mi apre pagine internet di casinò, suonerie, ebay e tools di rimozione spyware. Uso Avast che mi ha trovato sia Virtumundo che Trat[HBO], il primo sono quasi riuscita a debellarlo ma non ne sono certa, il secondo si è affezionato ed è ancora qui... ho anche installato Antivir e vari tools di rimozione trojan, spyware e rootkit (alla fine di tutto avrò debellato i virus e il computer sarà rallentato da questi mille programmi...ma ne terrò pochi)...vi posto il log di hijackthis

http://www.freefilehosting.net/download/3blm3


e di Combofix
http://www.freefilehosting.net/download/3blm4


[scusate ma ho preso questioni con i link...]

...che mi dite?

Ah...io uso emule (ma nemmeno troppo poi), e ultimamente nella cartella di download mi ritrovo migliaia di files .rar dai nomi più disparati (tipo nomi di programmi, crack ecc.), tutti della stessa dimensione e tutti scaricati lo stesso giorno, che io ogni volta cancello. Se spengo e riaccendo il pc a volte ricompaiono e altre no. E' esaurito per il troppo uso??

Grazie a chiunque saprà darmi una mano, e scusate del rompimento!
Ita Embarassed
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 10 Feb 2008 19:28    Oggetto: Rispondi citando
Ciao Ita, Ciao

così a prima vista, direi Vundo più altra robaccia... Rolling Eyes

  • Disabilita il ripristino di sistema.
  • Scaricati:

    e salvali sul desktop.
  • Avvia VundoFix
    Seleziona Scan for Vundo e a scansione terminata scegli Remove Vundo.
    Clicca Yes e alla richiesta di riavviare il Pc rispondi Ok.
    Al riavvio dovrebbe comparire il blocco-note con dentro il log, copia e posta sul forum il contenuto.
  • Ora avvia in modalità provvisoria
    Avvia VirtumundoBeGone e segui le indicazioni a video.
    riavvia il Pc in modalità normale e posta il log.
  • Segui le istruzioni di questo topic per postare il log di combofix.
  • avvia nuovamente in modalità provvisoria
  • Avvia drWeb CureIt e fagli fare la scansione completa.
  • Avvia Norman Malware Cleaner e fagli fare la scansione completa.
    Viene generato un log sul desktop chiamandolo NFix_2008-02-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
  • Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
    Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.
  • Fai anche un nuovo log di HijackThis e mettilo qui.

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
Ita
Comune mortale
Comune mortale


Registrato: 09/02/08 16:31
Messaggi: 3
Residenza: Napoli
MessaggioInviato: 13 Feb 2008 00:17    Oggetto: Rispondi citando
Ciao bdoriano e grazie mille per la risposta.
Ho fatto tutto quello che mi hai detto, ma il problema sembra essere sempre lì, come probabilmente risulterà dai vari log. Io adesso li posto tutti...poi mi dici tu....nella speranza che tu possa aiutarmi. Purtroppo continua a darmi errore di Buffer Overrun di Explorer, mi si aprono siti di casinò e rimozione spyware...e ho anche 2 antivirus e vari trojan remover e adware remover...ma niente..si sono proprio affezionati.. Crying or Very sad

Ecco i link:
Virtumundobegone: http://www.freefilehosting.net/download/3c194
Combofix: http://www.freefilehosting.net/download/3c195
Malware Cleaner: http://www.freefilehosting.net/download/3c197
Kaspersky (scansione dischi): http://www.freefilehosting.net/download/3c198
Kaspersky (scansione aree critiche): http://www.freefilehosting.net/download/3c199
Kaspersky (scansione memoria): http://www.freefilehosting.net/files/3c19b

Hijackthis finale: http://www.freefilehosting.net/download/3c19c


[scusate ma non sono ancora riuscita ad associare il link ad una parola, senza postare l'indirizzo intero...eppure lo sapevo fare...sarà che il virus ha beccato pure il mio cervello?? Confused ]

Qual'è la diagnosi dotto'?? Very Happy
Grazie ancora!!!
Ita

P.S. (passerò al più presto a presentarmi, ora purtroppo ho davvero poco tempo, e lo sto usando per combattere l'invasione del mio pc! Twisted Evil )
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 15 Feb 2008 09:22    Oggetto: Rispondi citando
Hai anche le chiavette USB infette... Twisted Evil
Conviene disabilitare l'avvio automatico dei dispositivi USB, per farlo in maniera semplice, scaricati il programma TweakUI da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
Citazione:
Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato Wink

Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.


Apri il notepad, e copia/incolla questo codice
Citazione:
Windows Registry Editor Version 5.00

-[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{24720284-5ea7-11db-b6f2-001302c318bd}]
-[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3acaccb8-7da4-11dc-9128-00037af77eed}]
-[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{547a6e7e-0ab7-11dc-9090-001302c318bd}]
-[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59055ed4-d40c-11dc-91db-001302c318bd}]
-[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{79b33330-f3bc-11db-907c-00037af77eed}]


poi salva il file col nome di fix.reg in C:\ (IMPORTANTE!)

Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Files to delete:
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\urqolmn.dll.vir
C:\WINDOWS\system32\pmnlj.dll.vir
C:\WINDOWS\system32\jlnmp.ini.vir
C:\WINDOWS\system32\jlnmp.ini2.vir
C:\WINDOWS\system32\ssqpo.dll.vir
C:\WINDOWS\system32\opqss.ini2.vir
C:\WINDOWS\system32\opqss.ini.vir
C:\WINDOWS\system32\awtsr.dll.vir
C:\WINDOWS\system32\rstwa.ini2.vir
C:\WINDOWS\system32\rstwa.ini.vir
C:\WINDOWS\system32\nnnlklm.dll.vir
C:\Documents and Settings\Annarita\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-6b13a7e7-74db95da.zip
C:\Documents and Settings\Annarita\Impostazioni locali\Temporary Internet Files\Content.IE5\QTAONPTP\hctp[1]
C:\Documents and Settings\Annarita\Impostazioni locali\Temporary Internet Files\Content.IE5\QTAONPTP\is151427[1].exe
C:\Documents and Settings\Annarita\Impostazioni locali\Temporary Internet Files\Content.IE5\QTAONPTP\ptch[2]
C:\Documents and Settings\Annarita\Impostazioni locali\Temporary Internet Files\Content.IE5\QTAONPTP\tr[1]
C:\WINDOWS\system32\ckonxnkb.dll
C:\WINDOWS\system32\jkkjhif.dll
C:\WINDOWS\system32\jljcclea.dll
C:\WINDOWS\system32\khxneork.dll
C:\WINDOWS\system32\mljjjjg.dll
C:\WINDOWS\system32\nnnlklm.dll.vir
C:\WINDOWS\system32\NTSpool.exe
C:\WINDOWS\system32\opnkljj.dll
C:\WINDOWS\system32\tqexivxy.dll
C:\WINDOWS\system32\trz1827.tmp
C:\WINDOWS\system32\urqolmn.dll.vir
C:\WINDOWS\system32\avqyenwv.dll
C:\WINDOWS\Temp\fnydwetr32.exe
C:\DOCUME~1\Annarita\IMPOST~1\Temp\pqub.dll
E:\autorun.inf
E:\h.cmd
F:\autorun.inf
F:\h.cmd

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghffg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayywwu
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva

Programs to launch on reboot:
C:\fix.reg

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.

Fai queste scansioni con GMER (sono 2: autostart e rootkit) e posta i logs su FreeFileHosting come indicato qui.
Top
Profilo Invia messaggio privato
Ita
Comune mortale
Comune mortale


Registrato: 09/02/08 16:31
Messaggi: 3
Residenza: Napoli
MessaggioInviato: 15 Feb 2008 21:33    Oggetto: ariprovamoce Rispondi citando
Ancora GRAZIE! Very Happy

Ho seguito tutte le tue istruzioni alla lettera...spero di aver fatto tutto bene...posto i vari log:

Avenger: http://www.freefilehosting.net/files/3c4ec

hijackthis aggiornato: http://www.freefilehosting.net/files/3c4ef

GMER Autostart: http://www.freefilehosting.net/files/3c4ed

GMER Rootkit: http://www.freefilehosting.net/files/3c4ee

[Senti...una volta ci capivo qualcosa di html, adesso proprio non riesco a collegare un link a una parola.. Shocked Embarassed ]

Allora dotto'..la diagnosi? Lo butto a mare??

Grazie dell'infinita pazienza!!!
Un bacio
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 17 Feb 2008 14:52    Oggetto: Rispondi
Tranqui, stiamo arrivando alla soluzione del problema. Wink

Apri il notepad, e copia/incolla questo codice
Citazione:
Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"NTSpool"=-

poi salva il file col nome di fix.reg in C:\ (IMPORTANTE!)

avvia Avenger e inserisci questo script:
Citazione:
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljjjjg
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{23D44BCF-AA7A-41D6-8905-E808F16322EF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E4F26303-BD58-4ABC-A870-BF2DC71E079C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6a66b90-23bf-45eb-bcd8-4081f11cfc3a}

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 5c13e619
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {23D44BCF-AA7A-41D6-8905-E808F16322EF}

files to delete:
C:\WINDOWS\system32\ridwetuj.dll
C:\WINDOWS\system32\jkhfe.dll
C:\WINDOWS\system32\axcdooos.dll

Programs to launch on reboot:
C:\fix.reg

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.

Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi