Olimpo Informatico

[caio]

Nell'eseguire una periodica scansione di Avira ho ricevuto il messaggio che allego della presenza di un Trojan.
AVSCAN-2010-09-18.txt

Guardando i programmi installati mi sono accorto di avere PDForge toolbar. Non sapendo di che cosa si trattava ho letto in giro le sue caratteristiche e immediatamente ho deciso di rimuoverlo attraverso il pannello di controllo--->rimuovi. Peccato che non ci sia riuscito. Nel disinstallarlo, compare un messaggio di errore che allego.
Clipboard02.jpg

Per maggior informazione posto anche uno scanner di HJT
hijackthis_18-09-10.txt

Come al solito il compito supera le mie forze e...chiedo aiuto
Grazie !!!!!

Caio

l mio sistema è:
Microsoft XP Professional
Versione 2002
Service Pack 3

hp workstation xw6200
Intel(R) Xeon (TM) CPU 3.40 GHz

[R16]

Ciao.
Pulisci i files temporanei con CCleaner (registro compreso.)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

[caio]

Grazie R16 del tuo intervento!!!!!. Siccome si tratta del PC dell'ufficio lunedì mattina do inizio alla procedura (che è spiegata veramente molto chiaramente) e immediatamente posto i vari log.
Grazie ancora !!!! a lunedì

[caio]

R16 ho eseguito i task assegnati.
Non ci sono stati problemi di sorta. CCleaner ha segnalato report 0byte e non ha prodotto nessun documento da postare.
Ho svuotato la cartella Prefetch (senza cancellarla).
Ho eliminato gli ADS con HJT di cui allego il log

adsspy.txt

ho eliminato le voci che mia hai indicato con HJT

O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] "C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/it_IT/DjVuControl_it_IT. cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - http://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {ACBCC6AF-9704-4E5D-8649-26F10E38ABAE} (Exhibits Launcher Control) - http://www.exhibits.it/exhibits/install/Installer.exe


e ho lanciato nuovamente HJT di cui allego il log

hijackthis.log


Ho fatto lo scan con Systemscan che allego

20_09_2010_10_32_report.zip

Come al solito incrocio le dita e ....spero in bene !!!!!!!

Scusa R16 per il superlavoro che ti ho creato con l'esame di tutti questi log e ancora grazie

Caio

[caio]

R16, scusa ma ho appena fatto un controllo con il pannello di controllo e PDForge toolbar è sempre lì e non si riesce a disinstallare. Tanta fatica per nulla...?????

[R16]

Ciao.
Prova a eliminarla dalla Modalità provvisoria.

Se non si disistalla, segui questo percorso, ed elimina la cartella in rosso:
C:\Programmi\pdfforge Toolbar
Poi vai in Installazione Applicazioni e la rimuovi.

[caio]

Ahi ahi ahi, R16 ho cercato di rimuovere PDForge in modalità provvisoria ma purtroppo niente da fare.
Per la seconda modalità che proponevi la cartella PDFForge sotto Windows non c'è!!!!!!
Temo che siamo ad un punto di stallo.....

Che si fa????????

[caio]

Con tutte le riserve dovute alla mia inesperienza e incultura informatica mi permetto SUGGERIRE la seguente operazione:
Utilizzando jv16 PowerTools ho individuato le chiavi di registro che allego (in PDF)

Pdf forge.pdf

DOMANDA: non sarebbe possibile cancellare tutti i file nelle cartelle in Programmi e tutte le chiavi di registro indicate da jv16 manualmente???

forse ho detto una bestialità ma.... chi non risica non rosica!!!! (che banalità!)
Ciao R16
Caio

PS ecco, R16 quando dico che non ne capisco nulla di computer ho proprio ragione. Infatti cercavo il programma PDFforge nella cartella Windows anzichè in Programmi, come da te correttamente indicato. Scusa! Tuttavia la mia osservazione integra in qualche modo il tuo consiglio nel senso che oltre ai file è opportuno e più sicuro cancellare anche le chiavi di registro?

[chemicalbit]

Aspettiamo che R16 (o qualche altro utente, io non sono esperto in merito) analizzi il log di Systemscan

[R16]

Ciao caio.
Non ho capito se quella cartella sei riuscito ad eliminarla .(pdfforge Toolbar )
L'unica chiave che devi eliminare è questa:
HKEY_LOCAL_MACHINE\SOFTWARE\pdfforge
Il resto, per quel che mi riguarda, non centra niente con la Toolbar.

[caio]

Grazie R16, tante grazie!!! Ho fatto come mi hai detto. Ho cancellato la cartella pdfforgeToolbar sotto Programmi e ho eliminato la chiave HKEY_LOCAL_MACHINE\SOFTWARE\pdfforge. Devo dire che lanciando il Pannello di controllo------> installazione applicazioni compare ancora PDFforge toolbar ma manca il pulsante per disinstallare!!!
Allego snapshott del pannello di controllo.

Immagine Risorse computer.jpg

Ci riteniamo soddisfatti di quanto è stato fatto finora???? O pensi che bisogna intervenire ulteriormente?
Comunque sia, ti ringrazio infinitamente per l'assistenza che mi hai fornito con ammirazione per la tua competenza
Caio

[R16]

Vediamo se si riesce a disistallare quel installer.
Scarica questo:
link
Una volta istallato, lancialo da Tutti Programmi .
Nella finestra che si apre, scorri il menù a tendina, e controlla se c'è pdfforge, oppure pdfforge Toolbar .
Se la trovi (guarda bene) la selezioni e poi clicca su "Remove".
Riavvia il pc, e controlla se c'è ancora in Installazione Applicazioni.

[chemicalbit]

O anche:


Se lanci Ccleaner --> Strumenti --> Disisntallazione programmi ,
lo vedi ancora elencato anche lì pdfforge ?

e con HijackThis --> se non ti dà la schermata in cui scegliere cosa fare: Main menu --> Open Misc Tool seection --> Open Uninstall Manager ,
lo vedi ancora elencato anche lì pdfforge ?

[caio]

Grande R16, sei un GRANDE!!!!!!!!

Mille grazie, sei riuscito a condurmi attraverso un complicato e difficile percorso (per me) fino alla meta!!! Ti ringrazio tantissimo.
Al riavvio scomparsa totale delle tracce di pdfforge toolbar.
Mi domando alla fine di tutto questo, come mai un programma open source come PDF Creator che funziona benissimo, sia stato congeniato con un trojan al suo interno. Non bisogna più fidarsi neanche dell'agnello perchè dentro ha magari un lupo? mahh misteri iperscutabili.
Tuttavia non vorrei disinstallare il progermma PDFcreator che tutto sommato funziona, come dicevo, bene. O sbaglio?
Un ringraziamneto anche a chemicalbit per la sua partecipazione attiva al mio ...problema.

Ciao R16 grazie!!!!

[R16]

[chemicalbit]

Prego.


Per "PDF Creator" (che è la stessa cosa di pdfforge?) mi sto informado.


p.s.:
Se vuoi -e non l'hai già fatto- fai un salto Al caffe' dell'Olimpo a presentarti agli utenti del forum.

[R16]

[caio]

Vado per ordine nella risposte:

[chemicalbit]

A rileggerci. (Spero non per un nuovo virus .... -non c'è un'emoticon che fa gesti scaramantici: corno, bicorno, aglio, prezzemrolo e finocchio ?)

[caio]

Certo chemicalbit eccolo (non fraintendere, mi raccomando!!!).
la giaculatoria devi mettercela tu......

.. .

Ciao. A presto, grazie ancora!!!