Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] virus troyan: Eazel toolbar/navipromo

(

Topic Chiuso)

Altre pagine della discussione:

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 90.952 - Postato: 21/Settembre/2009 alle 11:30

Ciao.. leggi questo articolo riguardo UAC:
http://www.ilsoftware.it/articoli.asp?id=4038
E' un sistema di sicurezza che ha il sistema operativo.. nell'articolo è indicato
anche un programmino che ti da la possibilità di disattivarlo o di renderlo un po'
meno fastidioso se utilizzi un account con poteri amministrativi..
Nel tuo caso non importa per quanto riguarda Navilog.. in quanto ho visto dal
log di hijackthis che le voci che sospettavo ci fossero non ci sono..
Ci sarebbe dovuta essere una voce O4 con riferimento al file yuskoom.exe...
(o a qualche altro eseguibile dal nome casuale situato nella stessa posizione)
file infetto già individuato da qualche antivirus che hai usato in precedenza..
(comunque mandaci anche il log di navilog.. visto che l'unico link che hai mandato
era quello del log di hijackthis)
Riguardo hijackthis... Ho trovato solo le voci relative a Eazel-IT Toolbar...
non conosco questa toolbar (quindi non posso dire quanto sia infetta o meno)
ma il nome non mi da nessuna buona impressione.. anzi... eazel mi ricorda
qualche sito pieno di spyware/adware con i quali ho avuto a che fare in passato...
Comunque per principio io son propenso a toglierle quasi tutte... visto che spesso son
veri e propri spyware/adware.. (e penso proprio che nel tuo caso sia così)
Aspettiamo di vedere anche l'eventuale log di Navilog (se è riuscito in qualcosa)
e poi si vede che altro fare...

Riguardo i 2 file infetti rilevati..

Exit.exe fa parte di smithfraudfix (ti avevo chiesto se l'avevi usato) e l'altro
(come puoi vedere) ha l'estensione .vir, quindi è stato reso "innocuo" da qualche
antivirus che hai usato in precedenza. Quindi stanno bene come stanno per adesso
Ciao

Modificato da prgn - 21/Settembre/2009 alle 11:33

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

pyrsi
Apprendista

Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88

Topic: Post n° 90.956 - Postato: 21/Settembre/2009 alle 11:41

Fix Navipromo version 4.0.2 commencé le 20/09/2009 19:51:41,13

*** log editato.. rimangono le voci salienti.. ***

c:\users\piras\appdata\local\virtua~1\progra~1\Live-Player supprimé !
C:\Users\Piras\AppData\Local\qkecc_nav.dat.vir supprimé !
C:\Users\Piras\AppData\Local\qkecc.bat supprimé !
C:\Users\Piras\AppData\Local\yuskoom.exe.vir supprimé !
C:\Users\Piras\AppData\Local\yuskoom_nav.dat.vir supprimé !
C:\Users\Piras\AppData\Local\yuskoom.bat supprimé !

*** log editato.. rimangono le voci salienti.. ***

scusatemi se vi mando colia e incolla, non riesco molto bene a mandarlo diversamente grazie sempre per l'aiuto

Modificato da prgn - 21/Settembre/2009 alle 14:20

pyrsi

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 90.958 - Postato: 21/Settembre/2009 alle 14:09

La mia intuizione era buona.. li ha beccati e fatti fuori..

"Il a supprimé tous les mauvais" Big%20smile

Adesso per star tranquilla elimina anche tutto quello che riguarda la Eazel-IT Toolbar...
per farlo fai fare un'altra scansione con hijackthis... ma questa volta, alla partenza,
scegli "Do a system scan only" e quando finisce la scansione metti il segno di
spunta alle seguneti voci:

R3 - URLSearchHook: Eazel-IT Toolbar - {ecdc465a-cf20-4b82-9a26-47c9dc52fa32} - C:\Program Files\Eazel-IT\tbEaz1.dll

O2 - BHO: Eazel-IT Toolbar - {ecdc465a-cf20-4b82-9a26-47c9dc52fa32} - C:\Program Files\Eazel-IT\tbEaz1.dll

O3 - Toolbar: Eazel-IT Toolbar - {ecdc465a-cf20-4b82-9a26-47c9dc52fa32} - C:\Program Files\Eazel-IT\tbEaz1.dll

Dopo aver messo il segno di spunta a queste 3 voci clicca su "Fix checked"...

Poi.. scarica Avenger e Ccleaner (il primo è un file compresso.. quindi va scompattato
in una cartella... mentre il secondo va installato... e potrà esserti utile in futuro
per operazioni di pulizia e manutenzione del tuo sistema operativo)

Una volta scompattato avenger in una cartella... fai doppio clic sul file eseguibile...
e nella finestra che si apre incolla il seguente script:

Segue del testo riportato...

Folders to delete:
C:\Program Files\Eazel-IT

Fine testo riportato...

e clicca su "Execute". A questo punto il pc si dovrebbe riavviare (se non lo fa fallo tu)

A questo link trovi una guida ad avenger:
http://www.megalab.it/2656 (prima versione.. e nella pgine successive trovi
anche indicazioni riguardo la nuova versione che hai scaricato tu)

Una volta riavviato, avenger provvederà a cancellare la cartella in questione..

Adesso avvia Ccleaner, vai in Opzioni -> Impostazioni -> Avanzate ed in avanzate
togli il segno di spunta in: "Cancella i file in windows temp solo se più vecchi di 24 ore".
Poi clicca su Pulizia e nella colonna Windows, in Avanzate, metti anche il segno di spunta
in "Vecchi dati prefetch"... A questo punto clicca su Analizza e quando ha finito
la ricerca dei file da eliminare, clicca su Avvia Pulizia... Dopo aver fatto questa
pulizia, clicca su Registro, clicca su Trova problemi e quando ha finito l'analisi...
clicca su Ripara selezionati...

Alla fine di tutto riavvia... rifai uno scan di Hijackthis ed incollalo in un post
per controllare se le voci son state eliminate.. Controlla anche se la cartella
C:\Program Files\Eazel-IT (quella che indico in rosso) è ancora presente
nella cartella Program Files che è sul tuo disco C: (anche avenger produce un
file di log che dice se l'operazione è andata a buon fine.. comunque puoi controllare
la presenza o meno della cartella Eazel-IT anche accedendo manualmente al disco...)

Dopo aver finito tutto... ci sarebbero da eliminare i file di backup creati dai
programmi usati per pulire il tuo pc... (la posizione ed i nomi li dovresti trovare
indicati nelle guide che ti ho linkato) Se ci sono problemi o cose non chiare chiedi pure.
Ciao

PS: anche hijackthis ti ha prodotto un file di backup con le chiavi eliminate...
dovrebbe essere nella posizione dove hai avviato il programma..

Modificato da prgn - 21/Settembre/2009 alle 14:16

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

pyrsi
Apprendista

Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88

Topic: Post n° 90.968 - Postato: 21/Settembre/2009 alle 16:53

Postato originariamente da prgn

Non usare "riporta" a questa maniera.. e per un'intero messaggio precedente... se proprio ti serve lascia solo le cose salineti... e cancella il resto.. mi raccomando...

Ma tutto questo lo devo fare in modalità provvisoria?

Modificato da prgn - 21/Settembre/2009 alle 19:53

pyrsi

pyrsi
Apprendista

Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88

Topic: Post n° 90.973 - Postato: 21/Settembre/2009 alle 18:39

ho fatto tutto quanto mi avete detto,ho tolto tutto o perlomeno spero sia a posto,ho il log in ultimo dopo aver pulito tutto,

Logfile of HijackThis v1.99.1

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {ecdc465a-cf20-4b82-9a26-47c9dc52fa32} - (no file)

O3 - Toolbar: (no name) - {ecdc465a-cf20-4b82-9a26-47c9dc52fa32} - (no file)

*** Log editato.. rimangono sole 3 voci inutili da eliminare (ma innocue) ***

scusandomi per copia e incolla ma non riesco a fare altro, in un altro forum ero abituata che c'era la voce "allegati e lo mandavo subito, ditemi se va bene e i virus non ci sono più? Disapprove

Modificato da prgn - 22/Settembre/2009 alle 18:10

pyrsi

pyrsi
Apprendista

Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88

Topic: Post n° 90.974 - Postato: 21/Settembre/2009 alle 18:43

ho fatto tutto , le voci nel log di hjiackthis non ci sono più, ma allora i virus malefici sono spariti? Stern%20Smile

se è così sono felice di avervi incontrato, grazie Tongue

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 90.981 - Postato: 21/Settembre/2009 alle 20:46

Ok.. di quello che hai rilevato non c'è traccia.. (c'è solo exit.exe che è un componente di un software di sicurezza.. che viene dato come un falso positivo..) Quindi come chidevi prima.. OK... Va bene.. non si vede nessun malware..

Il log di hijackthis riporta solo le seguenti voci inutili che dovrebbero esser tolte
come hai tolto quelle infette di prima:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {ecdc465a-cf20-4b82-9a26-47c9dc52fa32} - (no file)

O3 - Toolbar: (no name) - {ecdc465a-cf20-4b82-9a26-47c9dc52fa32} - (no file)

Sono comunque innocue.. (le ultime 2 son residui dell'infezione... ma non sono
pericolose...)

Ah... dimenticavo... poichè avrai attivo il ripristino configurazione di sistema...
sarebbe opportuno tu lo disabilitassi (in questo modo elimini i punti di ripristiono
precedenti... eliminando eventuali malware annidatisi) per poi riattivarlo in
un secondo momento... e creare un punto di ripristino nuovo e pulito...
Ecco la guida che ti spiega come usare il ripristino configurazione di sistema in vista:

http://windowshelp.microsoft.com/Windows/it-IT/help/517d3b8e-3379-46c1-b479-05b30d6fb3f01040.mspx

Riguardo i files di backups dei programmi usati per pulire? Li hai eliminati?

Ho notato un'altra cosa... l'utilizzo di più antivirus, ricorda che solo uno devi
rimanerlo attivo... per controllarti il pc in tempo reale... (in questo modo non
si creano contrasti e conflitti... Ti faccio un esempio... pensa di stare davanti
al banco di un negozio... ed il commesso dovesse servire te ed un'altra cliente
contemporaneamente... e che entrambe chiedeste contemporaneamente le stesse cose..
sarebbe una situazione assurda... Lo stesso accade quando usi più programmi
che richiedono le stesse cose al sistema...)

Adesso, se vuoi, potresti fare un'ulteriore scansione con antivirus.. in modo
da vedere se c'è altro... A prescindere da quelli che hai installato... c'è un tool
di kasperky che potresti usare... (lo installi.. è già aggiornato e pronto alla scansione...
e puoi toglierlo senza problemi dopo aver fatto la scansione.. anzi.. sarà lui
a chiedertelo visto che si tratta di un tool che non si aggiorna e che quindi
dovrebbe essere scaricato ed installato di volta in volta all'occorrenza...)
Questo è il link:

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

E' ottimo..
Facci sapere se ti trova altro..
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

pyrsi
Apprendista

Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88

Topic: Post n° 90.984 - Postato: 21/Settembre/2009 alle 21:22

Postato originariamente da prgn

Non quotare con il tasto

tutto il messaggio precedente...
se proprio ne hai bisogno fallo solo per le frasi che ti interessa riportare

Pensa un pò non riesco a togliere le voci da hijackthis come mi dici, ma devo andare per farlo in modalità provvisoria? poi non so dove andare per disattivare il ripristino di sistema, ho vista premium,scusatemi se sono imbranatina ma mi state aiutando bene

Modificato da prgn - 22/Settembre/2009 alle 11:53

pyrsi

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 90.998 - Postato: 22/Settembre/2009 alle 12:04

Ok.. non ti preoccupare.. ci saranno delle restrizioni.. per questo non riesci..
in seguito ti riporto tutte le chiavi di registro da eliminare e poi si vede come
fare...
Rispetto al ripristino.. è colpa mia.. scusami.. Segui questa guida:

http://windowshelp.microsoft.com/Windows/it-IT/help/f0688925-5abe-4caf-b49a-018f8cfcaf4d1040.mspx#E3

Per adesso disattivalo da tutti i dischi.. e poi pensiamo alle voci di hijackthis da togliere
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

pyrsi
Apprendista

Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88

Topic: Post n° 91.002 - Postato: 22/Settembre/2009 alle 12:27

ho disattivato il ripristino , quando lo riattivo?ho usato kaspersky e andato bene, ha pulito 3 voci,aggiungo un post e mi sembra che le voci sono riuscita a toglierle o no?

*** Log editato... uguale al precedente ***

scusate se faccio copia e incolla ma ho paura di sbagliare Disapprove

Modificato da prgn - 22/Settembre/2009 alle 18:12

pyrsi

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] virus troyan: Eazel toolbar/navipromo

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] virus troyan: Eazel toolbar/navipromo

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !