Help: devo togliere un dialer.
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 29/Aprile/2024 alle 14:39
Topic: Help: devo togliere un dialer. Postato da: gionnix
Soggetto: Help: devo togliere un dialer.
Postato in data: 24/Gennaio/2008 alle 17:12
Salve,
ho un problemino: qualche giorno fa mi si è istallato un dialer, cioè si è autocreata una connessione di rete e quindi a volte mi sconnetto da quella preferita con cui navigo e partono chiamate verso numeri a pagamento (fortunatamente cade la linea e le chiamate non vanno mai a buon fine
).
).Ho già provato a scansionare il pc in mod. provvisoria con il mio Nod aggiornato ma non ha trovato nulla.
Sareste così gentili da indicarmi come posso toglierlo?
Risposte:
Postato da: Spfx
Postato in data: 24/Gennaio/2008 alle 19:36
Ciao Gionnix. 
Per cominciare devi fare una serie di verifiche con il tuo antivirus e alcuni programmi antispyware.
Si tratta di:
- Avviare Windows in modalità provvisoria
- Visualizzare le cartelle e i file nascosti
- Disabilitare il "Ripristino di configurazione" di sistema
- Effettuare le scansioni con i programmi Antivirus e Antispyware
- Riavviare il sistema e lanciare il programma "Hijackthis", questo programma genera un LOG (file di testo), che dovrai postare qui.
Questo link che ti indico, ti spiega passo/passo le operazioni da svolgere e come svolgerle.
Inoltre contiene già i "collegamenti" per scaricare i programmi di cui hai bisogno.
forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG
Per l'antivirus:
Aggiorna la definizione del database dei virus prima di eseguire la scansione.
(... io ti consiglerei AntiVIR)
Per L'antispyware:
Puoi installare: Ad-Aware, Spybot Seach and Destroy e in alternativa anche A-Squared Free.
Per qualsiasi problema o chiarimento fatti sentire.
PS Se navighi con un modem normale, ti consiglio di installare anche un programma antidialer ...
Per cominciare devi fare una serie di verifiche con il tuo antivirus e alcuni programmi antispyware.
Si tratta di:
- Avviare Windows in modalità provvisoria
- Visualizzare le cartelle e i file nascosti
- Disabilitare il "Ripristino di configurazione" di sistema
- Effettuare le scansioni con i programmi Antivirus e Antispyware
- Riavviare il sistema e lanciare il programma "Hijackthis", questo programma genera un LOG (file di testo), che dovrai postare qui.
Questo link che ti indico, ti spiega passo/passo le operazioni da svolgere e come svolgerle.
Inoltre contiene già i "collegamenti" per scaricare i programmi di cui hai bisogno.
forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG
Per l'antivirus:
Aggiorna la definizione del database dei virus prima di eseguire la scansione.
(... io ti consiglerei AntiVIR)
Per L'antispyware:
Puoi installare: Ad-Aware, Spybot Seach and Destroy e in alternativa anche A-Squared Free.
Per qualsiasi problema o chiarimento fatti sentire.
PS Se navighi con un modem normale, ti consiglio di installare anche un programma antidialer ...
Postato da: gionnix
Postato in data: 24/Gennaio/2008 alle 22:39
Grande Spfx
,
,grazie dell'aiuto...
intanto navigo con il cellulare in hi-speed, (ho windows XP)... poi prima di effettuare il tutto, vorrei alcuni chiarimenti:
1) E' "male" usare il cellulare come modem?
2) Come detto ho il Nod 32, basta come antivirus?
3) Quando lo ho installato mi hanno detto di non istallare altri antivirus perchè interferirebbero col Nod, è vero?
4) Quali altri devo aggingere (sempre se non mi intasano il pc)?
5) Stesso per l'antispy, posso istallare senza problemi tutti quelli che mi hai indicato?
Scusa se ti faccio tutte queste domande ma almeno poi andrò spedito
.
.Ciao.
Postato da: Spfx
Postato in data: 25/Gennaio/2008 alle 00:04
Ciao.
1) Perché dovrebbe essere un "male" ? Direi proprio di no.
2) Dipende .. Nod32 è un' ottimo prodotto. Sul link che ti ho postato puoi anche vedere una classifica Antivirus aggiornata
Se si guarda il risultato a "lungo termine" Nod32 è a livello di Kaspersky ... i due migliori
Attualmente però Antivir riesce a rilevare qualcosa in più rispetto a NOD32.... ed è gratuito.
Ti conviene sfruttare la licenza fino alla fine, eventualmente in futuro potrai sempre optare per un prodotto free.
Inoltre considera che sono a disposizione anche le scansioni OnLine gratuite, che ti servono almeno per individuare il "problema".
3) 'E vero ... non conviene installare + di un antivirus.
4) Un solo Antivirus + Firewall per navigare in Internet
5) Puoi installare tranquillamente Spybot e Ad-Aware. Spybot ha anche una parte residente che protegge il sistema, tuttavia puo' risultare "fastidiosa" ... cmq puoi sempre decidere di escluderla dall'esecuzione automatica.
In alternativa puoi usare A-Squared Free + Spyware Terminator (Spyware Terminator e residente in memoria).
Non conviene cmq installare troppi programmi residenti perché, oltre il rischio di conflitti tra questi, il PC può diventare + lento.
Per il momento ti conviene installare Spybot e Ad-Aware, aggiorna i database ed esegui le scansioni seguendo le istruzioni del link che ti ho dato nel post precedente.
Eventualmente se trovi qualcosa posta i risultati delle scansioni (... solo se significativi).
Alla fine posta il LOG di HiJackThis.
1) Perché dovrebbe essere un "male" ? Direi proprio di no.
2) Dipende .. Nod32 è un' ottimo prodotto. Sul link che ti ho postato puoi anche vedere una classifica Antivirus aggiornata
Se si guarda il risultato a "lungo termine" Nod32 è a livello di Kaspersky ... i due migliori
Attualmente però Antivir riesce a rilevare qualcosa in più rispetto a NOD32.... ed è gratuito.
Ti conviene sfruttare la licenza fino alla fine, eventualmente in futuro potrai sempre optare per un prodotto free.
Inoltre considera che sono a disposizione anche le scansioni OnLine gratuite, che ti servono almeno per individuare il "problema".
3) 'E vero ... non conviene installare + di un antivirus.
4) Un solo Antivirus + Firewall per navigare in Internet
5) Puoi installare tranquillamente Spybot e Ad-Aware. Spybot ha anche una parte residente che protegge il sistema, tuttavia puo' risultare "fastidiosa" ... cmq puoi sempre decidere di escluderla dall'esecuzione automatica.
In alternativa puoi usare A-Squared Free + Spyware Terminator (Spyware Terminator e residente in memoria).
Non conviene cmq installare troppi programmi residenti perché, oltre il rischio di conflitti tra questi, il PC può diventare + lento.
Per il momento ti conviene installare Spybot e Ad-Aware, aggiorna i database ed esegui le scansioni seguendo le istruzioni del link che ti ho dato nel post precedente.
Eventualmente se trovi qualcosa posta i risultati delle scansioni (... solo se significativi).
Alla fine posta il LOG di HiJackThis.
Postato da: gionnix
Postato in data: 25/Gennaio/2008 alle 17:36
Grazie mille...
Il database del Nod dovrebbe già essere aggiornato (gli aggiornamenti sono quotidiani), giusto? Mentre per Spybot e Ad-Aware come dovrei fare ad aggiornarli una volta scaricati?
Postato da: notwen
Postato in data: 25/Gennaio/2008 alle 18:03
Spybot si aggiorna alla prima installazione e poi cliccando sul pulsante "cerca aggiornamenti". Ad Aware ti consiglio la versione 2007 perchè la versione SE è scaduta; ti notifica la presenza di aggiornamenti e ti chiede di scaricarli! a meno che le cose non siano cambiate!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: gionnix
Postato in data: 25/Gennaio/2008 alle 22:19
Grazie Notwen,
domani con calma provo a fare "la grande pulizia".
Ciao.
Postato da: gionnix
Postato in data: 26/Gennaio/2008 alle 18:29
Ho fatto tutto questo:
Postato originariamente da Spfx
Si tratta di:
- Avviare Windows in modalità provvisoria
- Visualizzare le cartelle e i file nascosti
- Disabilitare il "Ripristino di configurazione" di sistema
- Effettuare le scansioni con i programmi Antivirus e Antispyware
- Riavviare il sistema e lanciare il programma "Hijackthis", questo programma genera un LOG (file di testo), che dovrai postare qui.
Si tratta di:
- Avviare Windows in modalità provvisoria
- Visualizzare le cartelle e i file nascosti
- Disabilitare il "Ripristino di configurazione" di sistema
- Effettuare le scansioni con i programmi Antivirus e Antispyware
- Riavviare il sistema e lanciare il programma "Hijackthis", questo programma genera un LOG (file di testo), che dovrai postare qui.
Ho scansionato il pc col Nod 32, Ad-Aware e Spybot Seach and Destroy ma nessuno dei tre ha trovato nulla.
Questo è il log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.10.11, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Scan saved at 18.10.11, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe
*******************************************
Log editato... lasciata la voce relativa all'eseguibile duplicato
*******************************************
Log editato... lasciata la voce relativa all'eseguibile duplicato
*******************************************
-------------
Postato da: Spfx
Postato in data: 26/Gennaio/2008 alle 19:33
Ciao.
Riavvia il sistema in modalità provvisoria.
Assicurati che sia disabilitato il Ripristino di Configurazione del sistema
Avvia HiJackThis senza generare il LOG e FIXa intanto questa voce ....
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Poi esegui CCleaner (... se non lo hai lo puoi scaricare da http://www.filehippo.com/download_ccleaner/ - QUI ... clicca su "Download Latest Version").
... e fai una pulizia del sistema + Registro.
Come funziona ... CCleaner 2
-prima di avviare la pulizia vai sotto Opzioni>Avanzate e togli la spunta da "Cancella file in Windows Temp solo se piu' vecchi di 48 ore"
-poi clicca sulla scheda "Pulizia" e sul bottone "Analizza". Aspettate pochi secondi che la scansione sia avvenuta, e clicca sul bottone Avvia Pulizia
-Vai poi sulla scheda "Registro" e clicca sul bottone Trova Problemi.Clicca su "Ripara selezionati ..." e Rispondi "Si" alla richiesta di BackUP e salva il file .reg prima di cancellare tutti i problemi, così che potrai fare un rispristino se ce ne fosse bisogno.
Poi premi il pulsante "Ripara Selezionati" e quindi su "Ok".
Alla fine della riparazione premi il tasto "Chiudi", quindi chiudi il programma.
Poi fai un controllo per sicurezza di questo file : nwprovau.dll
Questo sito che ti indico, permette di fare la scansione di singoli file alla ricerca di virus...
Apri il link di Virustotal qui ...
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
Devi procedere così:
... seleziona la stringa che ti indico in rosso:
c:\windows\system32\nwprovau.dll
Dopo averla selezionata... usa la combinazione di tasti Ctrl+C per copiarla,
clicca dentro la casella di sfoglia che si trova nella pagina di Virustotal... usa la combinazione di tasti Ctrl+V per incollarla... poi invia il file.
Il file verrà controllato. Alla fine ti verrà comunicato un risultato.
Eventualmente copia e incolla il risultato sul blocco note (...solo se ti indica presenza di virus)
Per finire scarica questo tool di rimozione ... http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip - QUI
Estrai il contenuto del file zip ed esegui il programma.
Clicca su "Scan" ed eventualmente elimina eventuali problemi ... postataci i risultati se trova qualcosa.
Alla fine esegui nuovamente CCleaner
Facci sapere ...
Riavvia il sistema in modalità provvisoria.
Assicurati che sia disabilitato il Ripristino di Configurazione del sistema
Avvia HiJackThis senza generare il LOG e FIXa intanto questa voce ....
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Poi esegui CCleaner (... se non lo hai lo puoi scaricare da http://www.filehippo.com/download_ccleaner/ - QUI ... clicca su "Download Latest Version").
... e fai una pulizia del sistema + Registro.
Come funziona ... CCleaner 2
-prima di avviare la pulizia vai sotto Opzioni>Avanzate e togli la spunta da "Cancella file in Windows Temp solo se piu' vecchi di 48 ore"
-poi clicca sulla scheda "Pulizia" e sul bottone "Analizza". Aspettate pochi secondi che la scansione sia avvenuta, e clicca sul bottone Avvia Pulizia
-Vai poi sulla scheda "Registro" e clicca sul bottone Trova Problemi.Clicca su "Ripara selezionati ..." e Rispondi "Si" alla richiesta di BackUP e salva il file .reg prima di cancellare tutti i problemi, così che potrai fare un rispristino se ce ne fosse bisogno.
Poi premi il pulsante "Ripara Selezionati" e quindi su "Ok".
Alla fine della riparazione premi il tasto "Chiudi", quindi chiudi il programma.
Poi fai un controllo per sicurezza di questo file : nwprovau.dll
Questo sito che ti indico, permette di fare la scansione di singoli file alla ricerca di virus...
Apri il link di Virustotal qui ...
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
Devi procedere così:
... seleziona la stringa che ti indico in rosso:
c:\windows\system32\nwprovau.dll
Dopo averla selezionata... usa la combinazione di tasti Ctrl+C per copiarla,
clicca dentro la casella di sfoglia che si trova nella pagina di Virustotal... usa la combinazione di tasti Ctrl+V per incollarla... poi invia il file.
Il file verrà controllato. Alla fine ti verrà comunicato un risultato.
Eventualmente copia e incolla il risultato sul blocco note (...solo se ti indica presenza di virus)
Per finire scarica questo tool di rimozione ... http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip - QUI
Estrai il contenuto del file zip ed esegui il programma.
Clicca su "Scan" ed eventualmente elimina eventuali problemi ... postataci i risultati se trova qualcosa.
Alla fine esegui nuovamente CCleaner
Facci sapere ...
Postato da: gionnix
Postato in data: 26/Gennaio/2008 alle 20:08
Ehm..tu fai tutto facile
.
.
"FIXa intanto ...." ..ehm..cioè che dovrei fare?
Postato da: Spfx
Postato in data: 26/Gennaio/2008 alle 20:27
Avvia HijackThis
Questa volta premi il tasto "Do a system scan only" (...in questo modo non viene generato il file di LOG)
Sulla lista che ti viene mostrata selezioni la riga che ti ho indicato, in modo che si veda un segno di spunta sul quadrettino a sinistra della riga stessa
Quindi premi il tasto "Fix checked" (...cioè lo FIXiamo ...)
Questa volta premi il tasto "Do a system scan only" (...in questo modo non viene generato il file di LOG)
Sulla lista che ti viene mostrata selezioni la riga che ti ho indicato, in modo che si veda un segno di spunta sul quadrettino a sinistra della riga stessa
Quindi premi il tasto "Fix checked" (...cioè lo FIXiamo ...
)
Postato da: prgn
Postato in data: 26/Gennaio/2008 alle 22:51
Ciao...
Ragazzi... ci siamo...
Senti... scarica http://noahdfear.geekstogo.com/FindAWF.exe - FindAWF , ... fai fare uno scan e posta il log... purtroppo... i
file infetti... (se è quello che sospetto... e lo è...) sono ben camuffati...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Ragazzi... ci siamo...
Senti... scarica http://noahdfear.geekstogo.com/FindAWF.exe - FindAWF , ... fai fare uno scan e posta il log... purtroppo... i
file infetti... (se è quello che sospetto... e lo è...
) sono ben camuffati... Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 26/Gennaio/2008 alle 22:54
Ho fixato con hiJack, eseguit CCleaner, controllato il file nwprovau.dll su virustotal e che non ha rilevato nulla, ho scansionato anche con quel tool e infine ho ripetuto l'operazione con CCleaner, ma non è stato rilevato nulla di particolare.
Scusate, ma il dialer non potrebbe essere legato a qualche prog. taroccato di "nero burnig room" che ho istallato sul pc?
Postato da: prgn
Postato in data: 26/Gennaio/2008 alle 23:05
non toccare nulla... fai il log che ti ho detto e postalo...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 26/Gennaio/2008 alle 23:18
La scansione l'ho fata in mid. normale ecco il Log:
Find AWF report by noahdfear ©2006
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
949376 11 Jan 2008 "C:\Programmi\Eset\nod32kui.exe"
949376 3 May 2007 "C:\Programmi\Eset\bak\nod32kui.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
14348 31 Dec 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
406016 5 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
14348 31 Dec 2007 "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"
83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
14348 31 Dec 2007 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"
end of report
*********************************************
Ho editato il log... togliendo le cose ripetute
(parte iniziale inutile)
*********************************************
Ho editato il log... togliendo le cose ripetute
(parte iniziale inutile)
*********************************************
-------------
Postato da: prgn
Postato in data: 26/Gennaio/2008 alle 23:27
Ciao... come sospettavo (cvd)... adesso scarica http://swandog46.geekstogo.com/avenger.zip - avenger decomprimilo e
mettilo in una cartella... io... intanto... se ho tempo ti faccio lo script per la
rimozione... altrimenti... visto che il pc è a rischio dialer... disconnettiti...
e domani mattina... troverai tutte le istruzioni...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
mettilo in una cartella... io... intanto... se ho tempo ti faccio lo script per la
rimozione... altrimenti... visto che il pc è a rischio dialer... disconnettiti...
e domani mattina... troverai tutte le istruzioni...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 27/Gennaio/2008 alle 00:05
Adesso con Avenger... segui queste istruzioni:
- lo decomprimi (se ancora non lo hai fatto) e lo inserisci in una cartella...;
- fai partire Avenger, e quando ti si è aperto... seleziona Input Script Manually
dopo di che... clicca sulla lente di ingrandimento sul pulsante...
e incolla il seguente script (che ti ho indicato di seguito) nella finestra
che ti si è aperta: (per incollarlo... selezionalo, premi CTRL+C e clicca nella
finestra che ti si è aperta e premi CTRL+V)
...bisogna cliccare su Done e poi cliccare sull'icona del semaforo...
il pc ripartirà... per eseguire lo script...
(avenger produce un log.. postalo... e poi provvederò io a cancellarlo...)
Adesso... fai partire ccleaner... ed imposta la cancellazione dei temporanei
togliere il segno di spunta in "Cancella file temp solo se più vecchi di 48 ore".
Inoltre... seleziona anche la cancellazione dei files di prefetch.
Scarica il seguente file:
http://www.mvps.org/winhelp2002/DelDomains.inf - http://www.mvps.org/winhelp2002/DelDomains.inf
cliccaci con il tasto destro del mouse sopra... e scegli installa...
Adesso... scarica http://www.ilsoftware.it/dl.asp?ID=967 - GMER 1.0.14.14116 fallo partire... (dovrebbe partire
dalla sezione rootkit...) appena parte... clicca su scan... e vedi se
ti rivela delle voci in rosso... dovute ad attività rootkit (facci sapere
le voci in rosso che ti rivela... se ci sono)
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
- lo decomprimi (se ancora non lo hai fatto) e lo inserisci in una cartella...;
- fai partire Avenger, e quando ti si è aperto... seleziona Input Script Manually
dopo di che... clicca sulla lente di ingrandimento sul pulsante...
e incolla il seguente script (che ti ho indicato di seguito) nella finestra
che ti si è aperta: (per incollarlo... selezionalo, premi CTRL+C e clicca nella
finestra che ti si è aperta e premi CTRL+V)
|
Segue del testo riportato... Files to delete: C:\WINDOWS\system32\NeroCheck.exe C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe Files to move: C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe Fine testo riportato... |
il pc ripartirà... per eseguire lo script...
(avenger produce un log.. postalo... e poi provvederò io a cancellarlo...)
Adesso... fai partire ccleaner... ed imposta la cancellazione dei temporanei
togliere il segno di spunta in "Cancella file temp solo se più vecchi di 48 ore".
Inoltre... seleziona anche la cancellazione dei files di prefetch.
Scarica il seguente file:
http://www.mvps.org/winhelp2002/DelDomains.inf - http://www.mvps.org/winhelp2002/DelDomains.inf
cliccaci con il tasto destro del mouse sopra... e scegli installa...
Adesso... scarica http://www.ilsoftware.it/dl.asp?ID=967 - GMER 1.0.14.14116 fallo partire... (dovrebbe partire
dalla sezione rootkit...) appena parte... clicca su scan... e vedi se
ti rivela delle voci in rosso... dovute ad attività rootkit (facci sapere
le voci in rosso che ti rivela... se ci sono)
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 27/Gennaio/2008 alle 17:24
Dunque,
Con Gmer non ho trovato nessun file inn rosso.... ha rilevato solo due file col punto interrogativo:
Ciao
-------------
questo è il log di Avenger:
Logfile of The Avenger version 1, by Swandog46
Beginning to process script file:
File C:\WINDOWS\system32\NeroCheck.exe deleted successfully.
File C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe deleted successfully.
File C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe deleted successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.
File move operation C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe|C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe completed successfully.
File move operation C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe|C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe completed successfully.
********************************
Ho editato il log... lasciando le voci utili
********************************
Ho editato il log... lasciando le voci utili
********************************
Con Gmer non ho trovato nessun file inn rosso.... ha rilevato solo due file col punto interrogativo:
? jewddlyr.sys Impossibile trovare il file specificato. !
? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Impossibile trovare il file specificato. !
Non so se posso essere d'aiuto per capire il problema..aspetto info...comunque grazie per la consulenza che mi state facendo.
-------------
Postato da: prgn
Postato in data: 27/Gennaio/2008 alle 22:07
Senti... dovresti stare tranquillo con quello che hai fatto...
Ciò non toglie... che se visiti lo stesso sito che ti ha veicolato il trojan... con
Iexplorer con protezioni medie... potresti essere reinfettato...
Un indice di ciò... lo hai se in cronologia... ti risulterà il seguente ip 85.17.221.2
( forum_posts.asp?TID=10066 - Attenzione all'IP 85.17.221.2 ) oppure il vecchio... 88.80.5.21 , anzi... sarebbe
opportuno che andassi in Proprietà internet -> Protezione -> siti con restrizioni...
poi... clicca su siti... ed in "aggiungi il sito web all'area"... scrivi prima un ip
e clicca su aggiungi... e poi l'altro ... e clicca su aggiungi...
Poi... clicca su Ok... Applica... ed avrai inserito i due ip nella zona con restrizioni...
Inoltre... ti conviene controllare il file RasPhone.pbk... infatti è quello che
contiene le indicazioni di rubrica... per le connessioni remote... (ogni
connessione remota viene indicata in questo file...) dopo aver verificato che
le uniche connessioni indicate siano quelle legittime... potresti provvedere
ad impostare la protezione da scrittura ... inoltre... nel registro di windows...
potresti inibire alle applicazioni la capacità di creare connessioni dialup...
Il RasPhone lo trovi in questa cartella... (imposta la visione dei file nascosti
e di sistema):
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk
Trova RasPhone.pbk e se non ha connessioni con numeri telefonici strani...
impostalo come solo lettura...
(ricordati di togliere la protezione... nel caso vuoi creare nuove connessioni)
Inoltre... segui le indicazioni che trovi a questa discussione:
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=10016&PN=2 - http://www.pcprimipassi.it/servizifree/forum/foru........
e con precisione... quello che dico nel 5° post... riguardo le impostazioni
da fare nel registro...
In questo modo... non è che impedisci ai dialer di installarsi... ma limiti
la loro libertà... ed in molti casi potresti salvarti da bollette salate...
Inoltre... fai queste ultime due cose...
Vai in start -> esegui... e digita la seguente stringa:
%temp%
E premi invio per far accettare...
Controlla se è presente nella cartella il file con nome abc123 , se c'è ... è brutto segno...
cancellalo... e fai ripartire... e controlla ancora... se è ancora la...
bisogna rifare il log di FindAWF...
...
Comunque... inizia a fare questo... che ti do altre indicazioni...
Ciao
PS: dimenticavo... controlla anche la presenza o meno del seguente file:
C:\WINDOWS\system32\lsasss.exe
indicato in rosso... (ricordati di impostare la visione dei file di sistema e
nascosti... e non usare la funzione cerca... cercalo manualmente...)
Se c'è... passalo a http://www.virustotal.com/it/%20 - www.virustotal.com/it/ , se te lo da come infetto...
cambiagli nome... e con Shift+Canc cerca di eliminarlo...
altrimenti... rinominalo come era prima... fai partire avenger e usa il
il seguente script:
Files to delete:
C:\WINDOWS\system32\lsasss.exe
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Ciò non toglie... che se visiti lo stesso sito che ti ha veicolato il trojan... con
Iexplorer con protezioni medie... potresti essere reinfettato...
Un indice di ciò... lo hai se in cronologia... ti risulterà il seguente ip 85.17.221.2
( forum_posts.asp?TID=10066 - Attenzione all'IP 85.17.221.2 ) oppure il vecchio... 88.80.5.21 , anzi... sarebbe
opportuno che andassi in Proprietà internet -> Protezione -> siti con restrizioni...
poi... clicca su siti... ed in "aggiungi il sito web all'area"... scrivi prima un ip
e clicca su aggiungi... e poi l'altro ... e clicca su aggiungi...
Poi... clicca su Ok... Applica... ed avrai inserito i due ip nella zona con restrizioni...
Inoltre... ti conviene controllare il file RasPhone.pbk... infatti è quello che
contiene le indicazioni di rubrica... per le connessioni remote... (ogni
connessione remota viene indicata in questo file...) dopo aver verificato che
le uniche connessioni indicate siano quelle legittime... potresti provvedere
ad impostare la protezione da scrittura ... inoltre... nel registro di windows...
potresti inibire alle applicazioni la capacità di creare connessioni dialup...
Il RasPhone lo trovi in questa cartella... (imposta la visione dei file nascosti
e di sistema):
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk
Trova RasPhone.pbk e se non ha connessioni con numeri telefonici strani...
impostalo come solo lettura...
(ricordati di togliere la protezione... nel caso vuoi creare nuove connessioni)
Inoltre... segui le indicazioni che trovi a questa discussione:
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=10016&PN=2 - http://www.pcprimipassi.it/servizifree/forum/foru........
e con precisione... quello che dico nel 5° post... riguardo le impostazioni
da fare nel registro...
In questo modo... non è che impedisci ai dialer di installarsi... ma limiti
la loro libertà... ed in molti casi potresti salvarti da bollette salate...
Inoltre... fai queste ultime due cose...
Vai in start -> esegui... e digita la seguente stringa:
%temp%
E premi invio per far accettare...
Controlla se è presente nella cartella il file con nome abc123 , se c'è ... è brutto segno...
cancellalo... e fai ripartire... e controlla ancora... se è ancora la...
bisogna rifare il log di FindAWF...
...
Comunque... inizia a fare questo... che ti do altre indicazioni...
Ciao
PS: dimenticavo... controlla anche la presenza o meno del seguente file:
C:\WINDOWS\system32\lsasss.exe
indicato in rosso... (ricordati di impostare la visione dei file di sistema e
nascosti... e non usare la funzione cerca... cercalo manualmente...)
Se c'è... passalo a http://www.virustotal.com/it/%20 - www.virustotal.com/it/ , se te lo da come infetto...
cambiagli nome... e con Shift+Canc cerca di eliminarlo...
altrimenti... rinominalo come era prima... fai partire avenger e usa il
il seguente script:
Segue del testo riportato...
Files to delete:
C:\WINDOWS\system32\lsasss.exe
Fine testo riportato...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 27/Gennaio/2008 alle 22:56
Prgn,
grazie mille...domani farò tutto quello che mia hai suggerito.
Ciao.
Postato da: gionnix
Postato in data: 28/Gennaio/2008 alle 22:43
Prgn,
sto seguendo la tua procedura: ho controllato in cronologia, non ho trovato quei numeri però ce n'erano due sospetti che ho eliminato, poi ho cercato il RasPhone però nella cartella "all user" non c'è, ho fatto una ricerca è l'ho trovato in Windows/system32 ma se metto la spunta a "sola lettura" mi dice: "impossibile file di sola lettura utilizzato da un'altra applicazione"...
e' normale questo?
Postato da: gionnix
Postato in data: 29/Gennaio/2008 alle 22:12
Oltre a farmi sapere quanto chiesto nel mio precedente post, vi informo che ho continuato con la procedura.
Ho trocvato il file "abc123.pid", l 'ho tolto, ho riacceso il pc ma c'è ancora...
ho fatto il log di FindAWF:
.....
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~
10256 27 Jan 2008 "C:\Programmi\Eset\nod32kui.exe"
949376 3 May 2007 "C:\Programmi\Eset\bak\nod32kui.exe"
1103752 27 Jan 2008 "C:\Programmi\Spyware Doctor\pctsTray.exe"
1103752 10 Dec 2007 "C:\Programmi\Spyware Doctor\bak\pctsTray.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
10256 27 Jan 2008 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
406016 5 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
10256 27 Jan 2008 "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"
83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
10256 27 Jan 2008 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"
949376 3 May 2007 "C:\Programmi\Eset\bak\nod32kui.exe"
1103752 27 Jan 2008 "C:\Programmi\Spyware Doctor\pctsTray.exe"
1103752 10 Dec 2007 "C:\Programmi\Spyware Doctor\bak\pctsTray.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
10256 27 Jan 2008 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
406016 5 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
10256 27 Jan 2008 "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"
83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
10256 27 Jan 2008 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"
end of report
Poi ho controllato ed effettivamente ho il file "lsasss.exe", però non ho ben capito: devo digitarlo su virtustotal e vedere cosa mi dice?
Aspetto info.
Ciao.
Postato da: prgn
Postato in data: 29/Gennaio/2008 alle 23:09
Ciao...
Ho l'impressione che forse non sia stato chiaro...
L'ip in cronologia non l'hai trovato... perchè .... se non sbaglio hai passato
ccleaner... ed avrai cancellato anche la cronologia... (quel contagio era del
31/12) da quel che vedo dal log che mi hai postato... ti sei reinfettato il
27/01...
(l'ip potrebbe essere anche diverso... ce ne sono anche altri...)
Per quanto riguarda lsasss.exe in system32 non dovrebbe essere legittimo...
ma bada che deve avere quel nome preciso... visto che in system32 c'è
un file che si chiama lsass.exe (cioè... con due sole s finali e non 3) che è
legittimo...
Quindi... il file infetto... dovrebbe avere questo nome: lsasss.exe (tre s finali)
...
RasPhone... c'è... ma non lo vedi... perchè non avrai impostato la visione
dei file nascosti e di sistema.
Per farlo... apri risorse del computer... vai in strumenti... opzioni cartella...
visualizzazione... ed imposta: Visualizza cartelle e file nascosti
Poi, più giù, togli il segno di spunta in: Nascondi i file protetti di sistema
E clicca su Ok...
Adesso rifai la ricerca... e troverai il file... (è presente anche in system32...
ma non è quello che ci interessa...)
Intanto ti preparo lo script per avenger...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Ho l'impressione che forse non sia stato chiaro...
L'ip in cronologia non l'hai trovato... perchè .... se non sbaglio hai passato
ccleaner... ed avrai cancellato anche la cronologia... (quel contagio era del
31/12) da quel che vedo dal log che mi hai postato... ti sei reinfettato il
27/01...
(l'ip potrebbe essere anche diverso... ce ne sono anche altri...)
Per quanto riguarda lsasss.exe in system32 non dovrebbe essere legittimo...
ma bada che deve avere quel nome preciso... visto che in system32 c'è
un file che si chiama lsass.exe (cioè... con due sole s finali e non 3) che è
legittimo...
Quindi... il file infetto... dovrebbe avere questo nome: lsasss.exe (tre s finali)
...
RasPhone... c'è... ma non lo vedi... perchè non avrai impostato la visione
dei file nascosti e di sistema.
Per farlo... apri risorse del computer... vai in strumenti... opzioni cartella...
visualizzazione... ed imposta: Visualizza cartelle e file nascosti
Poi, più giù, togli il segno di spunta in: Nascondi i file protetti di sistema
E clicca su Ok...
Adesso rifai la ricerca... e troverai il file... (è presente anche in system32...
ma non è quello che ci interessa...)
Intanto ti preparo lo script per avenger...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 30/Gennaio/2008 alle 00:46
Allora... avrai letto questa discussione...:
forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG
Rileggi quello che trovi riguardo il ripristino configurazione di sistema...
e disattivalo... (in questo caso... dovrebbe lasciare qualche file infetto...
tra i file di ripristino... ed in questo modo lo elimini... ma nel tuo caso...
ti sei ricontagiato visitando qualche sito che veicola il virus...)
Poi... fai partire avenger... ed applica il seguente script (come hai fatto
in precedenza...):
Files to delete:
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Windows\system32\lsasss.exe
Files to move:
C:\Programmi\Eset\bak\nod32kui.exe | C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
Adesso... usa ancora il file http://www.mvps.org/winhelp2002/DelDomains.inf - DelDomains.inf
Rifai la pulitura con Ccleaner... (compresi i file più recenti di 48 ore... e i
files di prefetch) e rifai il controllo sulla presenza o meno del file abc123.pid...
e facci sapere...
Ciao
PS: ciò non toglie... che se visiti il sito che te l'ha veicolato... con Iexplorer
impostazioni di sicurezza medie... lo ripigli... senza problemi...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG
Rileggi quello che trovi riguardo il ripristino configurazione di sistema...
e disattivalo... (in questo caso... dovrebbe lasciare qualche file infetto...
tra i file di ripristino... ed in questo modo lo elimini... ma nel tuo caso...
ti sei ricontagiato visitando qualche sito che veicola il virus...)
Poi... fai partire avenger... ed applica il seguente script (come hai fatto
in precedenza...):
Segue del testo riportato...
Files to delete:
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Windows\system32\lsasss.exe
Files to move:
C:\Programmi\Eset\bak\nod32kui.exe | C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
Fine testo riportato...
Adesso... usa ancora il file http://www.mvps.org/winhelp2002/DelDomains.inf - DelDomains.inf
Rifai la pulitura con Ccleaner... (compresi i file più recenti di 48 ore... e i
files di prefetch) e rifai il controllo sulla presenza o meno del file abc123.pid...
e facci sapere...
Ciao
PS: ciò non toglie... che se visiti il sito che te l'ha veicolato... con Iexplorer
impostazioni di sicurezza medie... lo ripigli... senza problemi...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 30/Gennaio/2008 alle 23:06
Grazie mille prgn,
ho eseguito tutto ciò che mi hai indicato sia per Rasphone (compreso "enableAutodial"), il file "lsass.exe" cho ho ha solo due ese, poi ho inserito lo script su avenger, usato "DelDomains", pulito con Ccleaner e ho ricontrollato il file "abc123.pid" ora non c'è più.
Allora abbiamo risolto tutto?
Postato da: prgn
Postato in data: 31/Gennaio/2008 alle 02:57
Figurati... è un piacere...
Si... in pratica si... controlla per un po' se si ripresenta il file abc123.pid...
ma in pratica... se hai fatto riavviare e non si è creato... significa che il
"bacarozzo" è stato debellato...
E se in futuro ti si dovesse ripresentare... significa che nei siti che visiti
abitualmente... ci deve essere un sito che fa il furbo... (forse anch'esso
vittima... ma questo non li giustifica...)
...
Se invece decidi di optare per Firefox... non corri pericolo con questo trojan...
e benissimo i due browser non si intralceranno... ed in questo modo...
potrai valutare anche il funzionamento di entrambi... (ma questa è una
scelta che devi fare tu...)
...
Ci sarebbe un'ultima cosa da fare... eliminare i files .zip con i backup di
avenger... e poi... per formalità... ci sarebbe da passare http://technet.microsoft.com/en-us/sysinternals/bb897448.aspx - regdelnull ...
per cancellare eventuali valori inseriti dal malware nel registro...
Per farlo... scarica il file RegDelNull.zip dal link che ti ho inserito...
scompatta il file e mettilo nel disco C in posizione C:\
(in modo che puoi poi usare i comandi che ti scrivo di seguito...)
Dopo aver messo il contenuto del file .zip in C... vai in start -> esegui e
digita cmd e premi invio per far accettare... adesso... nella finestra che
ti compare... al prompt scrivi i seguenti comandi che ti indico di seguito:
cd\
(premi invio per fare accettare)
regdelnull hklm -s
(premi invio per fare accettare)
Se ti dovesse trovare valori da cancellare... alla domanda rispondi y
fino alla fine dello scan...
...
Hai corretto anche i problemi al registro di windows... quando hai fatto
le pulizie con Ccleaner... dopo aver usato Avenger?
...
Inoltre... adesso, se hai fatto tutto, puoi riattivare il ripristino configurazione
di sistema..., e se vuoi, ...puoi creare un punto di ripristino pulito... che potrà esserti
utile in futuro...
Ciao
PS: sarebbe opportuno postassi un log di hijackthis... per un'ulteriore verifica...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Si... in pratica si... controlla per un po' se si ripresenta il file abc123.pid...
ma in pratica... se hai fatto riavviare e non si è creato... significa che il
"bacarozzo" è stato debellato...
E se in futuro ti si dovesse ripresentare... significa che nei siti che visiti
abitualmente... ci deve essere un sito che fa il furbo... (forse anch'esso
vittima... ma questo non li giustifica...)
...
Se invece decidi di optare per Firefox... non corri pericolo con questo trojan...
e benissimo i due browser non si intralceranno... ed in questo modo...
potrai valutare anche il funzionamento di entrambi... (ma questa è una
scelta che devi fare tu...)
...
Ci sarebbe un'ultima cosa da fare... eliminare i files .zip con i backup di
avenger... e poi... per formalità... ci sarebbe da passare http://technet.microsoft.com/en-us/sysinternals/bb897448.aspx - regdelnull ...
per cancellare eventuali valori inseriti dal malware nel registro...
Per farlo... scarica il file RegDelNull.zip dal link che ti ho inserito...
scompatta il file e mettilo nel disco C in posizione C:\
(in modo che puoi poi usare i comandi che ti scrivo di seguito...)
Dopo aver messo il contenuto del file .zip in C... vai in start -> esegui e
digita cmd e premi invio per far accettare... adesso... nella finestra che
ti compare... al prompt scrivi i seguenti comandi che ti indico di seguito:
cd\
(premi invio per fare accettare)
regdelnull hklm -s
(premi invio per fare accettare)
Se ti dovesse trovare valori da cancellare... alla domanda rispondi y
fino alla fine dello scan...
...
Hai corretto anche i problemi al registro di windows... quando hai fatto
le pulizie con Ccleaner... dopo aver usato Avenger?
...
Inoltre... adesso, se hai fatto tutto, puoi riattivare il ripristino configurazione
di sistema..., e se vuoi, ...puoi creare un punto di ripristino pulito... che potrà esserti
utile in futuro...
Ciao
PS: sarebbe opportuno postassi un log di hijackthis... per un'ulteriore verifica...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 31/Gennaio/2008 alle 11:09
Apro una parentesi riguardo le truffe telefoniche con dialer...
In questi casi... si deve richiedere subito alla propria compagnia telefonica
il resoconto delle chiamate effettuate... e qualora risultassero chiamate
fatte a numeri a pagamento che non riconoscete come legittime...
contestare subito la cosa... e magari... esporre denuncia presso la
polizia postale... (esiste un sito della polizia postale... con i vari suggerimenti...)
Inoltre... all'arrivo della bolletta... mettersi d'accordo con la propria compagnia
telefonica... pagando solo il traffico riconosciuto... ed in caso di contestazioni
da parte della stessa... richiedere l'assistenza di un'associazione di
consumatori... ed un eventuale conciliazione presso la camera di commercio...
o presso l'autorità per le comunicazioni...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
In questi casi... si deve richiedere subito alla propria compagnia telefonica
il resoconto delle chiamate effettuate... e qualora risultassero chiamate
fatte a numeri a pagamento che non riconoscete come legittime...
contestare subito la cosa... e magari... esporre denuncia presso la
polizia postale... (esiste un sito della polizia postale... con i vari suggerimenti...)
Inoltre... all'arrivo della bolletta... mettersi d'accordo con la propria compagnia
telefonica... pagando solo il traffico riconosciuto... ed in caso di contestazioni
da parte della stessa... richiedere l'assistenza di un'associazione di
consumatori... ed un eventuale conciliazione presso la camera di commercio...
o presso l'autorità per le comunicazioni...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 31/Gennaio/2008 alle 22:19
Prgn,
senti abbi pazienza: sto andando in tilt
...devo un attimo riorganizzare le idee.
...devo un attimo riorganizzare le idee.Intanto come già detto all'inizio del topic, io navigo con il cellulare usato come modem...in pratica se il cell. è collegato al pc cade la linea e non parte la chiamata...percui tutte le chiamate fatte dal dialer non mi hanno spillato neanche un centesimo!
Poi aggiungo che quando ho aperto il topic ho tolto la connessione "intrusa", in genere si ristallava anche lo stesso giorno o al massimo dopo un paio: ebbene quella connessione non si è più istallata per cui forse quel problema è risolto? Giusto?
Comunque se il dialer oltre a far partire chiamate non crea altri problemi (e qui vorrei la tua conferma), mi fermerei qui.
Ora però mi sembra di capire che, mentre facevamo pulizia abbiamo trovato un trojan ("abc123.pid") cioè un altro problema, giusto?
E se proviene dal sito che ti ho indicato, e che per studio devo frequentare, mi sembra di capire che l'unico rimedio sia usare firefox se non voglio diventare scemo a ripulire ogni volta il pc, è così?
Ecco sii gentile, rispondimi a questi dubbi, perché ho bisogno di capire bene quale la situazione.
Ciao.
Postato da: prgn
Postato in data: 31/Gennaio/2008 alle 22:52
Ciao...
Non c'è da andare in tilt...
La mia parentesi... è per tutti quelli che leggeranno la discussione... non solo
per te... inoltre... non vorrei dire una panzana... ma ci sono dialer che possono
far numeri anche da cellulari...
Veniamo al tuo caso...
Non puoi dire... mi fermo qui... in quanto il tuo pc è stato ormai infettato...
Ti spiego quello che è accaduto...
Questo trojan entra nel pc... e si sostituisce ai programmi in auto esecuzione...
abbassa e varia le impostazioni di sicurezza di internet... e può impostare
dei siti... in modo che risultino facenti parte dell'area dei siti senza restrizioni...
dopo di che... può scaricare altri malware...
Il file abc123.pid... non è altro che un file di servizio... in pratica è una traccia
che lascia nella cartella %temp% del pc... insieme ad un file .dat...
quindi non è il trojan...
Il trojan... risulta sostituito a malti programmi che vanno in auto esecuzionie...
Quindi... è doverosa la pulizia... dopo tutto penso che avrai compreso
le operazioni di Avenger... che non sono altro che cancellazione di files
infetti... e spostamento dei file legittimi al proprio posto
Quindi... segui quello che ti ho indicato... lo togliamo... e poi utilizza esclusivamente
Firefox...
Ti indico ancora i passi da seguire...:
Rifai la scansione con FindAWF e posta il log...
Rifai lo scan con hijackthis e posta il log...
Dopo di che ti preparo lo script per Avenger... e lo applichi...
Si fa una bella pulizia... ed installi Firefox...
E finalmente... starai più tranquillo...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Non c'è da andare in tilt...
La mia parentesi... è per tutti quelli che leggeranno la discussione... non solo
per te... inoltre... non vorrei dire una panzana... ma ci sono dialer che possono
far numeri anche da cellulari...
Veniamo al tuo caso...
Non puoi dire... mi fermo qui... in quanto il tuo pc è stato ormai infettato...
Ti spiego quello che è accaduto...
Questo trojan entra nel pc... e si sostituisce ai programmi in auto esecuzione...
abbassa e varia le impostazioni di sicurezza di internet... e può impostare
dei siti... in modo che risultino facenti parte dell'area dei siti senza restrizioni...
dopo di che... può scaricare altri malware...
Il file abc123.pid... non è altro che un file di servizio... in pratica è una traccia
che lascia nella cartella %temp% del pc... insieme ad un file .dat...
quindi non è il trojan...
Il trojan... risulta sostituito a malti programmi che vanno in auto esecuzionie...
Quindi... è doverosa la pulizia... dopo tutto penso che avrai compreso
le operazioni di Avenger... che non sono altro che cancellazione di files
infetti... e spostamento dei file legittimi al proprio posto
Quindi... segui quello che ti ho indicato... lo togliamo... e poi utilizza esclusivamente
Firefox...
Ti indico ancora i passi da seguire...:
Rifai la scansione con FindAWF e posta il log...
Rifai lo scan con hijackthis e posta il log...
Dopo di che ti preparo lo script per Avenger... e lo applichi...
Si fa una bella pulizia... ed installi Firefox...
E finalmente... starai più tranquillo...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 31/Gennaio/2008 alle 23:07
Postato originariamente da gionnix
Poi aggiungo che quando ho aperto il topic ho tolto la connessione "intrusa", in genere si ristallava anche lo stesso giorno o al massimo dopo un paio: ebbene quella connessione non si è più istallata per cui forse quel problema è risolto? Giusto?
Poi aggiungo che quando ho aperto il topic ho tolto la connessione "intrusa", in genere si ristallava anche lo stesso giorno o al massimo dopo un paio: ebbene quella connessione non si è più istallata per cui forse quel problema è risolto? Giusto?
Fino a quando non togli il trojan... il trojan stesso continuerà a scaricare
malware... (per adesso si tratta di dialer... perchè il fine ultimo è spillare
soldi... ma nulla vieta a chi c'è dietro di cambiare tipologia di malware...)
Postato originariamente da gionnix
Comunque se il dialer oltre a far partire chiamate non crea altri problemi (e qui vorrei la tua conferma), mi fermerei qui.
Comunque se il dialer oltre a far partire chiamate non crea altri problemi (e qui vorrei la tua conferma), mi fermerei qui.
Hai detto niente...
Se rimani un dialer installato... non navigherai mai tranquillamente... inoltre
avrai una connessione instabile... pensa al solo fastidio di caduta della
linea... mentre stai scaricando un file...
Postato originariamente da gionnix
...l'unico rimedio sia usare firefox se non voglio diventare scemo a ripulire ogni volta il pc, è così?
...l'unico rimedio sia usare firefox se non voglio diventare scemo a ripulire ogni volta il pc, è così?
Non è l'unico rimedio... ma penso sia il più conveniente...
Non ti comporta particolari rinunce... ed inoltre può coesistere insieme a
IExplorer... qualora in futuro ti serva quest'ultimo...
Oltre ad essere un ottimo browser
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 01/Febbraio/2008 alle 19:59
Ok, obbedisco .
-------------
.Il log di Awf
949376 3 May 2007 "C:\Programmi\Eset\bak\nod32kui.exe"
1103752 31 Jan 2008 "C:\Programmi\Spyware Doctor\pctsTray.exe"
1103752 10 Dec 2007 "C:\Programmi\Spyware Doctor\bak\pctsTray.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
10256 31 Jan 2008 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
406016 5 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
10256 31 Jan 2008 "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"
83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
10256 31 Jan 2008 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"
Log di Hijack
******************************
Log di Hijackthis editato... perchè pulito
******************************
Log di Hijackthis editato... perchè pulito
******************************
Entrabi eseguiti in mod. provvisoria, poi quando tornato in mod. normale ho fatto anche pulizia con Ccleaner.
Fammi sapere tra l'altro dove e come scaricaler firefox.
Ciao e grazie per l'aiuto.
-------------
Postato da: prgn
Postato in data: 01/Febbraio/2008 alle 22:17
Si... ma il log di hijackthis.. lo dovevi fare in modalità normale... comunque non
importa... adesso togliamo il trojan...
Allora... verifica che il ripristino configurazione di sistema sia disattivato...
dopo di che... fai partire Avenger... ed applica il seguente script:
Files to delete:
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
Files to move:
C:\Programmi\Eset\bak\nod32kui.exe | C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
Dopo di che il pc si riavvierà... ed al riavvio lo script verrà eseguito cancellando
il trojan e ripristinando i files legittimi...
Adesso... scarica e clicca con il tasto destro del mouse sul files http://www.mvps.org/winhelp2002/DelDomains.inf - DelDomains.inf
e dal menù scegli installa...
Poi scarica http://technet.microsoft.com/en-us/sysinternals/bb897448.aspx - regdelnull ... per cancellare eventuali valori inseriti dal malware
nel registro... Per farlo... scarica il file RegDelNull.zip dal link che ti ho
inserito... scompatta il file e mettilo nel disco C in posizione C:\
(in modo che puoi poi usare i comandi che ti scrivo di seguito...)
Dopo aver messo il contenuto del file .zip in C... vai in start -> esegui e
digita cmd e premi invio per far accettare... adesso... nella finestra che
ti compare... al prompt scrivi i seguenti comandi che ti indico di seguito:
cd\
(premi invio per fare accettare)
regdelnull hklm -s
(premi invio per fare accettare)
Se ti dovesse trovare valori da cancellare... alla domanda rispondi y
fino alla fine dello scan...
Adesso... vai nella cartella dove si trova avenger e cancella il file zip con
il backup dei file cancellati da avenger... (che sono infetti)
Fai partire Ccleaner e cancella i temporanei ... e scegli di cancellare anche
i files di prefetch... inoltre... controllo sempre che nelle impostazioni
sia impostato di cancellare anche i files non più vecchi di 48 ore...
Adesso... vai in start -> esegui... ed inserisci la seguente stringa nella
casellina:
%temp%
e premi invio per fare accettare...
Ti si aprirà la cartella temp... controlla che non ci sia il file abc123.pid
se c'è... cancellalo... e fai ripartire il pc...
Al riavvio... ricontrolla ancora nella cartella %temp% che non ci sia il file
abc123.pid... e se non c'è... significa che il trojan è stato eliminato...
Adesso ... scarica subito firefox... ed installalo... dal seguente link...
http://www.mozillaitalia.it/archive/index.html - http://www.mozillaitalia.it/archive/index.html
In pratica... ti conviene scegliere il link (che ti indico con la freccia blu):
Lo installi... decidi se vuoi importare le impostazioni di Iexplorer... (pagina
di partenza... preferiti... ecc.ecc.). Dopo che il nuovo browser si è installato...
alla partenza... ti dirà che non è il browser impostato come browser
predefinito e ti chiederà se vuoi impostarlo come predefinito... e se vuoi che
faccia il controllo, ad ogni partenza..., che esso sia impostato come predefinito...
(per predefinito... si intende che ogni qual volta accedi ad un documento che
per default dovrebbe essere aperto dal browser... il browser che viene aperto
in automatico dal sistema operativo... è appunto il browser predefinito)
Se scegli di impostarlo come predefinito... verrà sempre usato Firefox...
ma potrai usare anche Iexplorer... facendo partire il link... che si trova nel
menù programmi...
Se scegli di non impostarlo come predefinito... allora ti conviene di scegliere
anche di non controllare ad ogni avvio... che lo sia... (predefinito) in modo
da evitare inutili domande alla partenza di Firefox... che potrai sempre far
partire dalla relativa icona... (tutti i link che aprirai da dentro Firefox...
apriranno sempre finestre di Firefox...)
Va beh... poi lo devi usare un po' per valutarne il comportamento...
(potrai sempre impostarlo come predefinito quando vorrai)
Ritornando al trojan...
Adesso... fai fare un log con Hijackthis (da modalità normale) per verifica... e postalo... ed infine... potrai riattivare ancora il ripristino configurazione
di sistema...
Spero di non essermi dimenticato nulla...
comunque... rileggo... e semmai...
aggiungo...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
importa... adesso togliamo il trojan...
Allora... verifica che il ripristino configurazione di sistema sia disattivato...
dopo di che... fai partire Avenger... ed applica il seguente script:
Segue del testo riportato...
Files to delete:
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
Files to move:
C:\Programmi\Eset\bak\nod32kui.exe | C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
Fine testo riportato...
Come hai fatto per gli altri script.Dopo di che il pc si riavvierà... ed al riavvio lo script verrà eseguito cancellando
il trojan e ripristinando i files legittimi...
Adesso... scarica e clicca con il tasto destro del mouse sul files http://www.mvps.org/winhelp2002/DelDomains.inf - DelDomains.inf
e dal menù scegli installa...
Poi scarica http://technet.microsoft.com/en-us/sysinternals/bb897448.aspx - regdelnull ... per cancellare eventuali valori inseriti dal malware
nel registro... Per farlo... scarica il file RegDelNull.zip dal link che ti ho
inserito... scompatta il file e mettilo nel disco C in posizione C:\
(in modo che puoi poi usare i comandi che ti scrivo di seguito...)
Dopo aver messo il contenuto del file .zip in C... vai in start -> esegui e
digita cmd e premi invio per far accettare... adesso... nella finestra che
ti compare... al prompt scrivi i seguenti comandi che ti indico di seguito:
cd\
(premi invio per fare accettare)
regdelnull hklm -s
(premi invio per fare accettare)
Se ti dovesse trovare valori da cancellare... alla domanda rispondi y
fino alla fine dello scan...
Adesso... vai nella cartella dove si trova avenger e cancella il file zip con
il backup dei file cancellati da avenger... (che sono infetti)
Fai partire Ccleaner e cancella i temporanei ... e scegli di cancellare anche
i files di prefetch... inoltre... controllo sempre che nelle impostazioni
sia impostato di cancellare anche i files non più vecchi di 48 ore...
Adesso... vai in start -> esegui... ed inserisci la seguente stringa nella
casellina:
%temp%
e premi invio per fare accettare...
Ti si aprirà la cartella temp... controlla che non ci sia il file abc123.pid
se c'è... cancellalo... e fai ripartire il pc...
Al riavvio... ricontrolla ancora nella cartella %temp% che non ci sia il file
abc123.pid... e se non c'è... significa che il trojan è stato eliminato...
Adesso ... scarica subito firefox... ed installalo... dal seguente link...
http://www.mozillaitalia.it/archive/index.html - http://www.mozillaitalia.it/archive/index.html
In pratica... ti conviene scegliere il link (che ti indico con la freccia blu):
Firefox 2.0.0.11
-> Installer Windows (5.55 MB)Lo installi... decidi se vuoi importare le impostazioni di Iexplorer... (pagina
di partenza... preferiti... ecc.ecc.). Dopo che il nuovo browser si è installato...
alla partenza... ti dirà che non è il browser impostato come browser
predefinito e ti chiederà se vuoi impostarlo come predefinito... e se vuoi che
faccia il controllo, ad ogni partenza..., che esso sia impostato come predefinito...
(per predefinito... si intende che ogni qual volta accedi ad un documento che
per default dovrebbe essere aperto dal browser... il browser che viene aperto
in automatico dal sistema operativo... è appunto il browser predefinito)
Se scegli di impostarlo come predefinito... verrà sempre usato Firefox...
ma potrai usare anche Iexplorer... facendo partire il link... che si trova nel
menù programmi...
Se scegli di non impostarlo come predefinito... allora ti conviene di scegliere
anche di non controllare ad ogni avvio... che lo sia... (predefinito) in modo
da evitare inutili domande alla partenza di Firefox... che potrai sempre far
partire dalla relativa icona... (tutti i link che aprirai da dentro Firefox...
apriranno sempre finestre di Firefox...)
Va beh... poi lo devi usare un po' per valutarne il comportamento...
(potrai sempre impostarlo come predefinito quando vorrai)
Ritornando al trojan...
Adesso... fai fare un log con Hijackthis (da modalità normale) per verifica... e postalo... ed infine... potrai riattivare ancora il ripristino configurazione
di sistema...
Spero di non essermi dimenticato nulla...
comunque... rileggo... e semmai... aggiungo...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 01/Febbraio/2008 alle 23:26
"fai partire Avenger... ed applica il seguente script" FATTO
scarica e clicca .... http://www.mvps.org/winhelp2002/DelDomains.inf - - regdelnull ...
FATTA tutta la procedura che mi hai indicato
nella cartella dove si trova avenger e cancella il file zip... FATTO
Fai partire Ccleaner e cancella i temporanei ... FATTO
.....%temp% FATTO mi dava sempre quel file abc123.zip lo cancellato manualmente e poi ho svuotato il cestino (non so se serve)
Al riavvio... NON L?HO PIU' TROVATO
scarica subito firefox.. ISTALLATO COME PREDEFINITO
***************************
Log di Hijackthis editato perchè pulito
***************************
Log di Hijackthis editato perchè pulito
***************************
Ah, domani dovrei fare una ricerca sul quel sito che ti ho indicato, ma prima dimmi se secondo te ora non corro il rischio di riprendere il trojan.
Grazie mille..sei veramente in gamba e soprattutto molto gentile.
Ciao.
-------------
Postato da: prgn
Postato in data: 02/Febbraio/2008 alle 10:55
Ok! 
Figurati... per me è stato un piacere...
Il log di Hijackthis è pulito...
Adesso dovresti poter fare le tue ricerche su quel sito...
senza avere problemi...
(non sei però protetto da tutti i trojan... sei solo protetto da quei
trojan che sfruttano le tecnologie di proprietà microsoft... che non sono
implementate nel browser che hai installato...)
Un ultimo consiglio è quello di far fare uno scan all'antivirus che hai installato...
impostando la scansione di tutti i tipi di files... a prescindere dalle estensioni...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Figurati... per me è stato un piacere...
Il log di Hijackthis è pulito...
Adesso dovresti poter fare le tue ricerche su quel sito...
senza avere problemi...
(non sei però protetto da tutti i trojan...
sei solo protetto da quei trojan che sfruttano le tecnologie di proprietà microsoft... che non sono
implementate nel browser che hai installato...)
Un ultimo consiglio è quello di far fare uno scan all'antivirus che hai installato...
impostando la scansione di tutti i tipi di files... a prescindere dalle estensioni...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 02/Febbraio/2008 alle 11:18
Off topic riguardo firefox:
Si... è leggermente più veloce... ma ha la pecca di richiedere molte risorse
se apri molte finestre contemporaneamente... (io arrivo a varie decine...
quindi la cosa mi pesa un po'... ma per un uso normale... stai tranquillo)
avrai notato l'utilizzo delle schede... (ti apre il link in una scheda della stessa
finestra...) puoi impostare in strumenti->opzioni->schede... nuova finestra...
qualora volessi avere un comportamento simile ad Iexplorer (cioè l'apertura
di una nuova finestra...)
Inltre... cambia anche l'uso dei preferiti... (Ctrl+D per inserirli... proprio come
Iexplorer) in Firefox vengono chiamati Segnalibri... e non sono link singoli
ma vengono salvati in un file... .html con dentro i link ai preferiti...
normalmente ci accedi direttamente dal browser..., se invece desideri
salvarteli... lo trovi al seguente percorso... (in xp):
%userprofile%\Dati applicazioni\Mozilla\Firefox\Profiles
Nella cartella profiles... troverai i vari profili (in altre cartelle con nome
casuale...) in ogni profilo è salvato il suo file con i preferiti... ed il file
si chiama:
bookmarks.html
(nella cartella del profilo.. e anche presente la cartella con i backups del
file segnalibro... qualora si danneggi... e fosse necessario il ripristino...)
Sono sicuro che ti troverai bene
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Si... è leggermente più veloce... ma ha la pecca di richiedere molte risorse
se apri molte finestre contemporaneamente... (io arrivo a varie decine...
quindi la cosa mi pesa un po'... ma per un uso normale... stai tranquillo)
avrai notato l'utilizzo delle schede... (ti apre il link in una scheda della stessa
finestra...) puoi impostare in strumenti->opzioni->schede... nuova finestra...
qualora volessi avere un comportamento simile ad Iexplorer (cioè l'apertura
di una nuova finestra...)
Inltre... cambia anche l'uso dei preferiti... (Ctrl+D per inserirli... proprio come
Iexplorer) in Firefox vengono chiamati Segnalibri... e non sono link singoli
ma vengono salvati in un file... .html con dentro i link ai preferiti...
normalmente ci accedi direttamente dal browser..., se invece desideri
salvarteli... lo trovi al seguente percorso... (in xp):
%userprofile%\Dati applicazioni\Mozilla\Firefox\Profiles
Nella cartella profiles... troverai i vari profili (in altre cartelle con nome
casuale...) in ogni profilo è salvato il suo file con i preferiti... ed il file
si chiama:
bookmarks.html
(nella cartella del profilo.. e anche presente la cartella con i backups del
file segnalibro... qualora si danneggi... e fosse necessario il ripristino...
)Sono sicuro che ti troverai bene
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 02/Febbraio/2008 alle 16:01
Dimenticavo una cosa importante... ricordati di aver impostato la protezione
da scrittura sul file Rasphone.pbk ...quindi... se dovrai impostare nuove
connessioni... dovrai prima togliere l'attributo di sola lettura dal
file Rasphone... altrimenti il sistema operativo non riuscirà a creare la connessione...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
da scrittura sul file Rasphone.pbk ...quindi... se dovrai impostare nuove
connessioni... dovrai prima togliere l'attributo di sola lettura dal
file Rasphone... altrimenti il sistema operativo non riuscirà a creare la connessione...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 02/Febbraio/2008 alle 19:43
Ho scansionato il pc con il Nod e non ha trovato nulla, ho navigato con firefox anche sul sito sospetto ed è andato tutto liscio..ho controllato in %temp% ma abc123.pid non c'è più ...sei troppo forte.
Firefox lo trovo migliore di Iexplorer: più rapido, sembra anche che le pagine sia aprano più "fluidamente", per i segnalibri mi trovo bene e poi posso salvarli facilmente mentre prima no.
Grazie per avermelo consigliato.
Senti un'ultima cosa: se non è troppo complicato vorrei capire come si fa a capire da un log se è qualche programma complicato e magari anche come si fa uno script per cancellare determinati file...così magari la prossima volta sono in grado di autodifendermi
.
Ciao.
.Firefox lo trovo migliore di Iexplorer: più rapido, sembra anche che le pagine sia aprano più "fluidamente", per i segnalibri mi trovo bene e poi posso salvarli facilmente mentre prima no.
Grazie per avermelo consigliato.
Senti un'ultima cosa: se non è troppo complicato vorrei capire come si fa a capire da un log se è qualche programma complicato e magari anche come si fa uno script per cancellare determinati file...così magari la prossima volta sono in grado di autodifendermi
.Ciao.
Postato da: prgn
Postato in data: 03/Febbraio/2008 alle 13:35
Quindi... l'abbiamo tolto da mezzo...
e con firefox... almeno per adesso... non entra... non ti preoccupare...
Mi fa piacere che con Firefox ti trovi bene... io da quando lo uso non ho avuto
tanti problemi... solo qualche blando spyware... che va via con qualche
pulitina... nulla di paragonabile a quello che entra con IExplorer...
ma tutto dipende anche da come e dove si naviga...
Sono sicuro che ti troverai benissimo...
Allora... per prima cosa... ti do un link... dove potrai inserire il log di Hijackthis
per un'analisi sommaria... il link è questo: http://www.hijackthis.de/index.php?langselect=italian - HijackThis Logfileauswertung
Lo incolli... e clicchi su analizza...
L'analisi automatica è un aiuto ... per inquadrare subito le cose qualora
ci sia un qualcosa di particolarmente evidente... ma non è efficace su tutti
i tipi di malware... ma spesso ti può individuare qualcosa che puo farti capire
che c'è qualcosa che non va...
Prendi il tuo caso... Il log... dall'analisi automatica non avrebbe dato particolari
segnali di file infetti... ma guardando i processi in esecuzione... si poteva notare
che c'era un processo... il cui file eseguibile non era nella posizione giusta...
e cosa principale... si trovava in una cartella bak e quindi... mi ha fatto pensare
ad un trojan ben preciso... e ti ho fatto usare FindAWF che cerca i file
duplicati nelle cartelle bak... ecc.ecc.
Ci sono anche malware... che non risultano proprio nel log di hijackthis...
tipo i contagi coperti da rootkit... che risultano essere invisibili... spesso
anche agli stessi antivirus...
Ogni cosa ha bisogno dello strumento giusto per la rimozione...
Hai visto gmer... ad esempio.. è uno strumento indispensabile contro i
rootkit... e riesce ad individuare anche i pericolosissimi boot rootkit...
che infettano Il master boot record del disco...
Hijackthis... è ottimo contro gli http://it.wikipedia.org/wiki/Hijacker - hijacker ... ti metto il link di una guida...:
http://www.ilsoftware.it/articoli.asp?ID=2459&pag=0 - Introduzione all'uso di HijackThis
E' uno strumento utile anche ad altre cose... ma non ti anticipo nulla...
(ti dico che ti permette di individuare... gli ADS... eliminare servizi... disinstallare
programmi... ecc.ecc....)
Poi abbiamo usato Avenger... che è un programma molto utile per
effettuare una serie di operazioni che possono essere racchiuse in uno script
che si da in "pasto" al programma... ed al riavvio... il programma lo esegue
effettuando tutte le operazioni indicate... (se è possibile eseguirle...)
ti metto il link per una guida... ma ne trovi parecchie in giro...:
http://alexsandra.wordpress.com/2007/04/25/90/ - http://alexsandra.wordpress.com/2007/04/25/90/
Comunque... alla fine... gli strumenti sono tanti... ma anche i malware sono vari...
ed è difficile avere una metodologia applicabile alla totalità dei casi...
Il tuo... si toglieva a questo modo... altri si toglieranno con altri programmi...
quindi mi sembra un po' difficile darti consigli precisi... per le future eliminazioni...
(Che spero non ci saranno...)
In generale... si parte da un paio di scansioni con antivirus/antispyware...
poi... potresti fare un po' di ricerche su quello che ti viene rilevato... e
muoverti di conseguenza... e principalmente seguire le discussioni sull'argomento...
Comunque, penso che noi ci saremo ... e se non io ... ci saranno altre persone
pronte a darti una mano... contaci.
Per me è stato un piacere averti aiutato... in bocca al lupo per il futuro...
e che sia libero da trojan... e malware vari...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
e con firefox... almeno per adesso... non entra... non ti preoccupare...
Mi fa piacere che con Firefox ti trovi bene... io da quando lo uso non ho avuto
tanti problemi... solo qualche blando spyware... che va via con qualche
pulitina... nulla di paragonabile a quello che entra con IExplorer...
ma tutto dipende anche da come e dove si naviga...
Sono sicuro che ti troverai benissimo...
Allora... per prima cosa... ti do un link... dove potrai inserire il log di Hijackthis
per un'analisi sommaria... il link è questo: http://www.hijackthis.de/index.php?langselect=italian - HijackThis Logfileauswertung
Lo incolli... e clicchi su analizza...
L'analisi automatica è un aiuto ... per inquadrare subito le cose qualora
ci sia un qualcosa di particolarmente evidente... ma non è efficace su tutti
i tipi di malware... ma spesso ti può individuare qualcosa che puo farti capire
che c'è qualcosa che non va...
Prendi il tuo caso... Il log... dall'analisi automatica non avrebbe dato particolari
segnali di file infetti... ma guardando i processi in esecuzione... si poteva notare
che c'era un processo... il cui file eseguibile non era nella posizione giusta...
e cosa principale... si trovava in una cartella bak e quindi... mi ha fatto pensare
ad un trojan ben preciso... e ti ho fatto usare FindAWF che cerca i file
duplicati nelle cartelle bak... ecc.ecc.
Ci sono anche malware... che non risultano proprio nel log di hijackthis...
tipo i contagi coperti da rootkit... che risultano essere invisibili... spesso
anche agli stessi antivirus...
Ogni cosa ha bisogno dello strumento giusto per la rimozione...
Hai visto gmer... ad esempio.. è uno strumento indispensabile contro i
rootkit... e riesce ad individuare anche i pericolosissimi boot rootkit...
che infettano Il master boot record del disco...
Hijackthis... è ottimo contro gli http://it.wikipedia.org/wiki/Hijacker - hijacker ... ti metto il link di una guida...:
http://www.ilsoftware.it/articoli.asp?ID=2459&pag=0 - Introduzione all'uso di HijackThis
E' uno strumento utile anche ad altre cose... ma non ti anticipo nulla...
(ti dico che ti permette di individuare... gli ADS... eliminare servizi... disinstallare
programmi... ecc.ecc....)
Poi abbiamo usato Avenger... che è un programma molto utile per
effettuare una serie di operazioni che possono essere racchiuse in uno script
che si da in "pasto" al programma... ed al riavvio... il programma lo esegue
effettuando tutte le operazioni indicate... (se è possibile eseguirle...)
ti metto il link per una guida... ma ne trovi parecchie in giro...:
http://alexsandra.wordpress.com/2007/04/25/90/ - http://alexsandra.wordpress.com/2007/04/25/90/
Comunque... alla fine... gli strumenti sono tanti... ma anche i malware sono vari...
ed è difficile avere una metodologia applicabile alla totalità dei casi...
Il tuo... si toglieva a questo modo... altri si toglieranno con altri programmi...
quindi mi sembra un po' difficile darti consigli precisi... per le future eliminazioni...
(Che spero non ci saranno...
)In generale... si parte da un paio di scansioni con antivirus/antispyware...
poi... potresti fare un po' di ricerche su quello che ti viene rilevato... e
muoverti di conseguenza... e principalmente seguire le discussioni sull'argomento...
Comunque, penso che noi ci saremo ... e se non io ... ci saranno altre persone
pronte a darti una mano... contaci.
Per me è stato un piacere averti aiutato... in bocca al lupo per il futuro...
e che sia libero da trojan... e malware vari...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 03/Febbraio/2008 alle 19:21
Crepi il lupo..e pure i trojan
.
Leggerò i link che mi hai postato, ma essendo l'eliminazione dei trojan da farsi caso per caso è più probabile che, se in futuro notassi file sospetti, venga a ritrovarvi
....anche perché qui trovo "fenomeni" dell'informatica come te 
.
Ah..senti l'ultimissima cosa, una delle ultime volte che ho usato Iexplorer, quando aprivo la cronologia c'era sempre la cartella "risorse del computer" e dentro la "e" di Iexplorer davanti a tutti i documenti di Word e le immagini aperte da me sul pc quell determinato giorno..è normale trovare la "e" di Iexplorer innanzi a questi file? Eppure non sono link.
Ciao.
.Leggerò i link che mi hai postato, ma essendo l'eliminazione dei trojan da farsi caso per caso è più probabile che, se in futuro notassi file sospetti, venga a ritrovarvi
....anche perché qui trovo "fenomeni" dell'informatica come te .Ah..senti l'ultimissima cosa, una delle ultime volte che ho usato Iexplorer, quando aprivo la cronologia c'era sempre la cartella "risorse del computer" e dentro la "e" di Iexplorer davanti a tutti i documenti di Word e le immagini aperte da me sul pc quell determinato giorno..è normale trovare la "e" di Iexplorer innanzi a questi file? Eppure non sono link.
Ciao.
Postato da: prgn
Postato in data: 03/Febbraio/2008 alle 22:58
Si... hai ragione... crepino tutti questi dannati trojan...
Riguardi i collegamenti in cronologia... sono normali... e penso che quell'icona...
gli venga associata... in quanto si tratta di un collegamento... interpretabile
comunque dal browser... (infatti... se copi l'indirizzo... nella casella indirizzo di
IExplorer... in pratica ti accederà al link...)
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Riguardi i collegamenti in cronologia... sono normali... e penso che quell'icona...
gli venga associata... in quanto si tratta di un collegamento... interpretabile
comunque dal browser... (infatti... se copi l'indirizzo... nella casella indirizzo di
IExplorer... in pratica ti accederà al link...)
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: gionnix
Postato in data: 04/Febbraio/2008 alle 19:32
O.k..ora è più chiaro.
Oggi ho nuovamente ricontrollato ma quel trojan è sparito per sempre.
Ti ringrazio ancora...alla prossiama.
CIAO.
Oggi ho nuovamente ricontrollato ma quel trojan è sparito per sempre
.Ti ringrazio ancora...alla prossiama.
CIAO
.Postato da: prgn
Postato in data: 04/Febbraio/2008 alle 20:16
Figurati... è stato un piacere...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />