PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio RISOLTO!

Topic: [RISOLTO] virus troyan: Eazel toolbar/navipromo

(Topic Chiuso Topic Chiuso)
Altre pagine della discussione:




prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 91.008 - Postato: 22/Settembre/2009 alle 19:03


Ciao... ti ho trovato un po' di cose da eliminare.. sperando di tirar via anche
quelle chiavi che non vogliono andar via... Per toglierle useremo Avenger..
(già l'abbiamo usato in precedenza.. se hai seguito i miei consigli dovresti
averlo in una cartella) Fai partire il programma Avenger e nella casella bianca
incolla lo script che ti indico di seguito:
Segue del testo riportato...

Folders to delete:
C:\Program Files\Conduit

Registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
HKLM\SOFTWARE\Classes\CLSID\{89D14658-8E24-4727-A9BB-36EAC67A511E}
HKLM\SOFTWARE\Classes\CLSID\{B6E4DCE4-555A-4DC5-9B68-101BBB646CE4}
HKLM\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}
HKLM\SOFTWARE\Classes\Toolbar.CT2086315
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{b6e4dce4-555a-4dc5-9b68-101bbb646ce4}
HKLM\SOFTWARE\Classes\CLSID\{ECDC465A-CF20-4B82-9A26-47C9DC52FA32}
HKLM\SOFTWARE\Classes\Toolbar.CT2086315
HKLM\SOFTWARE\Conduit
HKLM\SOFTWARE\Eazel-IT
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\04e69d42-23e3-4be4-a298-63ce14a64feb
HKLM\SOFTWARE\Classes\CLSID\{ECDC465A-CF20-4B82-9A26-47C9DC52FA32}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecdc465a-cf20-4b82-9a26-47c9dc52fa32}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Eazel-IT Toolbar
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
HKCR\CLSID\{B6E4DCE4-555A-4DC5-9B68-101BBB646CE4}
HKCR\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}
HKCR\Toolbar.CT2086315
HKCR\CLSID\{89D14658-8E24-4727-A9BB-36EAC67A511E}
HKCR\CLSID\{ECDC465A-CF20-4B82-9A26-47C9DC52FA32}
HKCU\Software\Conduit
HKCU\Software\Eazel-IT
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

Registry values to delete:
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser | {ecdc465a-cf20-4b82-9a26-47c9dc52fa32}
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {ecdc465a-cf20-4b82-9a26-47c9dc52fa32}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks | {ecdc465a-cf20-4b82-9a26-47c9dc52fa32}

Fine testo riportato...
Copia ed incolla lo script e poi clicca su Execute.
Poichè non è detto che riuscirà a trovare o a cancellare tutto.. riceverai dei messaggi
d'errore man mano che il programma legge lo script... Tu rispondi sempre "Ok"..
e quando finirà di leggere lo script ti chiederà di riavviare.. a quasto punto rispondi "Yes"...
Al riavvio ti si aprirà il log di avenger... copialo ed incollalo in un post...
Fai anche un'altra scansione con hijackthis ed incollala in un altro post...
Se non riusciamo con avenger dovremmo procedere manualmente all'eliminazione..
Ciao

PS: il ripristino lo devi riattivare dopo aver finito di pulire il pc...



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



pyrsi
Apprendista Apprendista
pyrsi
Apprendista Apprendista
pyrsi
Apprendista
Apprendista

Avatar


Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88
bullet Topic: Post n° 91.009 - Postato: 22/Settembre/2009 alle 19:38


scusa la mia ignoranza ma quale devo incollare di script?Confused



pyrsi
Apprendista Apprendista
pyrsi
Apprendista Apprendista
pyrsi
Apprendista
Apprendista

Avatar


Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88
bullet Topic: Post n° 91.010 - Postato: 22/Settembre/2009 alle 19:52


allora se capisco bene ho copiato tutte le voci dentro il quadrato e ho cliccato execute ma mi dice:error- invalid registy sintax in comand HKCR\CLSID\3E471948-f874-49f5-b338-4f214aee0b1  ma......non mandarmi a quel paeseUnhappy



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 91.011 - Postato: 22/Settembre/2009 alle 20:02


Devi solo leggere e ricordare quello che ti ho scritto Smile
Vedi quello che è scritto nel riquadro a sfondo bianco che sta sopra?
Bene.. seleziona tutto con il mouse e copialo... poi apri avenger... ed incollalo...
e dopo averlo incollato clicca su Execute...
Se rileggi il post che ti ho scritto prima ti dico:

Poichè non è detto che riuscirà a trovare o a cancellare tutto.. riceverai dei messaggi
d'errore man mano che il programma legge lo script... Tu rispondi sempre "Ok"..
e quando finirà di leggere lo script ti chiederà di riavviare.. a quasto punto rispondi "Yes"...

Fammi sapere come è andata
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



pyrsi
Apprendista Apprendista
pyrsi
Apprendista Apprendista
pyrsi
Apprendista
Apprendista

Avatar


Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88
bullet Topic: Post n° 91.012 - Postato: 22/Settembre/2009 alle 20:15


ecco il post di avenger

http://www.mediafire.com/?hmznzuhtzel


Modificato da prgn - 24/Settembre/2009 alle 13:28



pyrsi



pyrsi
Apprendista Apprendista
pyrsi
Apprendista Apprendista
pyrsi
Apprendista
Apprendista

Avatar


Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88
bullet Topic: Post n° 91.013 - Postato: 22/Settembre/2009 alle 20:23


Ecco il log di hijackthis

http://www.mediafire.com/?1ezmznzmzjj

ora ho fatto come hai detto,come finirà? ho in quarantena con a-squaed program file navilong 1\BACKUN troyan.NaviPromo!IK DEVO TOGLIERLO?


Modificato da prgn - 24/Settembre/2009 alle 13:30



pyrsi



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 91.014 - Postato: 22/Settembre/2009 alle 20:41


Come finirà? Tutti vissero felici e contenti! Il log è pulito e non ci sono più nemmeno
quelle voci inutili che ti dicevo...

Si.. come ti ho detto già in un altro post..  devi eliminare tutti i backup che hanno
salvato i programmi che hai usato per pulire (anche avenger avrà creato i files
di backups in una cartella di nome avenger nel disco C... Come anche navilog
li ha creati... Anche i file in quarantena vanno eliminati...

Inoltre... adesso puoi riattivare il ripristino configurazione di sistema.. e seguendo
quello che viene indicato nella pagina seguente... creare manualmente un nuovo
punto di ripristino...:

Come è possibile creare un punto di ripristino manualmente...

Clicca sull'argomento in questione e si aprirà la spiegazione..

Con questo penso che abbiamo concluso.. facci sapere se hai
fatto tutto o se qualcosa non ti è chiaro
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



pyrsi
Apprendista Apprendista
pyrsi
Apprendista Apprendista
pyrsi
Apprendista
Apprendista

Avatar


Iscritto dal : 20/Settembre/2009
Da: Italy
Status: Offline
Posts: 88
bullet Topic: Post n° 91.015 - Postato: 22/Settembre/2009 alle 21:03


OK,spero di vivere per un bel pò felice e contenta, ho fatto tutto quanto mi hai detto e naturalmente ringrazio di cuore del grosso aiuto anche se io capisco le cose non immediatamente,ma l'importante è farcela,TongueWink grazie ancora tanto sono convinta che ci sentiremo prima o poiSleepy



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 91.016 - Postato: 22/Settembre/2009 alle 21:22


Di nulla.. figurati è stato un piacere..
L'importante è arrivare alla meta.. nn ti preoccupare.. e poi son
cose non tanto immediate e spiegare a distanza complica le cose..
Allora... lasciamo aperta la discussione per un paio di giorni e se non
c'è altro da aggiungere, come da regolamento, la chiudiamo
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,035 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni