Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

hijacker.Small.kj come lo elimino?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

hijacker.Small.kj come lo elimino?

Messaggioda brando125 » ven ott 06, 2006 8:20 pm

Salve il mio pc si blocca spesso, i programmi si impallano e poi viene il messaggio termina adesso, e poi invia la segnalazione..
Ho effettuato la scansione della memoria con Ewido mi rileva per 10 volte hijacker.Small.kj il rapporto è questo:

Risultati scansione:

[1556] VM_01352000 -> Hijacker.Small.kj : Errore durante la pulizia
[1888] VM_00BC2000 -> Hijacker.Small.kj : Errore durante la pulizia
[1924] VM_013A2000 -> Hijacker.Small.kj : Errore durante la pulizia
[184] VM_00D42000 -> Hijacker.Small.kj : Errore durante la pulizia
[188] VM_009F2000 -> Hijacker.Small.kj : Errore durante la pulizia
[200] VM_01242000 -> Hijacker.Small.kj : Errore durante la pulizia
[252] VM_011B2000 -> Hijacker.Small.kj : Errore durante la pulizia
[284] VM_009E2000 -> Hijacker.Small.kj : Errore durante la pulizia
[4024] VM_01F52000 -> Hijacker.Small.kj : Errore durante la pulizia
[2576] VM_03212000 -> Hijacker.Small.kj : Errore durante la pulizia


Come faccio ad eliminare il trojan?
grazie mille a tutti
Ultima modifica di brando125 il ven ott 06, 2006 8:36 pm, modificato 2 volte in totale.
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda Amantide » ven ott 06, 2006 8:25 pm

Visto che nel log di ewido non c'è riferimento a nessun file, è un po' difficile dire come combattere quel malware. Fai la scansione con Hijackthis e posta qui il log della scansione.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda brando125 » ven ott 06, 2006 8:26 pm

la nuova scansione:
Logfile of HijackThis v1.99.1
Scan saved at 12.37.26, on 06/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\ASUS\WLAN Card Utilities\Center.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\BearShare\BearShare.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Proprietario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Proprietario\1041199.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Control Center] C:\Programmi\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://brando125.spaces.live.com//Photo ... nPUpld.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
Ultima modifica di brando125 il ven ott 06, 2006 8:36 pm, modificato 1 volta in totale.
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm


Messaggioda brando125 » ven ott 06, 2006 8:30 pm

Non lo dice, so solamente che faccio la scansione della memoria e poi mi da solo i percorsi che ho scritto sopra ad es. [1556] VM_01352000 ...

ho appena rifatto la scansione, gli oggetti sono saliti a 12!
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda crazy.cat » ven ott 06, 2006 8:30 pm

Cambia versione di hijackthis ne esiste una più nuova e rifai il log.
Dopo cancelliamo quelli già postati
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda brando125 » ven ott 06, 2006 8:37 pm

ho inserito la scansione con il nuovo hijackthis nel post precedente
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda Amantide » ven ott 06, 2006 8:49 pm

Fixa queste voci:

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Proprietario\1041199.dll
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)

Poi disattiva ripristino configurazione di sistema ed abilita la visualizzazione dei file nascosti (Pannello di controllo--> Opzioni cartella--> Avanzate)ed elimina questi file:
C:\Documents and Settings\Proprietario\1041199.dll
C:\WINDOWS\system32\xmm13g.dll

Faresti bene a togliere BearShare perché è pieno zeppo di spyware ed in più ogni secondo file che scarichi contiene i virus vari e cambia anche il firewall, perché Sygate oramai è obsoleto e non viene più aggiornato.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda brando125 » ven ott 06, 2006 8:51 pm

come firewall stavo pensando a kerio o comodo, che mi consigli tra i due?oppure qualcos'altro? grazie
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda brando125 » ven ott 06, 2006 8:54 pm

scusa come faccio a disattivare il ripristino di config?
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda brando125 » ven ott 06, 2006 9:01 pm

Allora:
-ho disattivato il ripristino di configurazione
-ho fixato le voci

e fin qui tutto ok

ma: il file C:\Documents and Settings\Proprietario\1041199.dll non me lo fa eliminare perche mi dice che è in uso o protetto da scrittura
- il file C:\WINDOWS\system32\xmm13g.dll non c'è nella cartella system32.

comunque in C:\Documents and Settings\Proprietario c'è anche il file 925104426.dll

grazie
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda crazy.cat » ven ott 06, 2006 9:06 pm

Per questi due file 1041199.dll, 925104426.dll puoi usare Unlocker per sbloccarli e cancellarli

Usa il cerca di windows per vedere se il file xmm13g.dll è nel tuo pc, ma visto che sul log c'è missing potrebbe anche non esserci.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda brando125 » ven ott 06, 2006 9:20 pm

purtroppo brutte novità:
-ho usato unlocker ma mi dice che non ho i privilegi di debug
-ho usato allora start/esegui/ control userpasswords2
e ho trovato che c'è un administrator RPyn!!

forse è link optimizer?comunque ho controllato in pannello controllo installazione applicazioni e li non c'è link optimizer!

come posso fare?
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda crazy.cat » ven ott 06, 2006 9:23 pm

Fai girare i tools per il link optimizer.
Ormai ci sono tante di quelle varianti del virus che si fatica a capire come cambia ogni volta.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda brando125 » ven ott 06, 2006 9:32 pm

comunque non riesco nemmeno ad aggiornare adaware mi si blocca quando installo le definizioni nuove.

cosa intendi per tools del link-optimizer?scusa l'ignoranza
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda brando125 » ven ott 06, 2006 10:15 pm

ho seguito i passi per la rimozione manuale dalla vostra guida ma in myunistall non ho trovato linkoptimizer e anche al puntoi successivo non ho trovato i file verdi exe in file comuni.

ho solo cancellato l'administrator.
ma comunque unlocked mi si blocca, dicendo che non ho i privilegi di debug
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda brando125 » ven ott 06, 2006 11:04 pm

qui la situazione peggiora sempre piu!
ora appena avvio windows mi da subito l'errore: la memoria non poteva essere read.....
se avvio task manager mi da sempre lo stesso errore:la memori anon poteva essere read...

ora sto facendo una scansione avast in modalita provvisoria.
p.s. vi sto scrivendo da un altro pc!

help me!!!
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda Amantide » ven ott 06, 2006 11:08 pm

brando125 ha scritto:ho seguito i passi per la rimozione manuale dalla vostra guida ma in myunistall non ho trovato linkoptimizer e anche al puntoi successivo non ho trovato i file verdi exe in file comuni.

ho solo cancellato l'administrator.

Purtroppo ci sono tantissime varianti di LinkOptimizer e non tutti i passi di rimozione possono essere utili. Prova ad usare i 2 tools di rimozione della Prevx e della Symantec, i link trovi nella stessa quida di rimozione di LO.
brando125 ha scritto:ma comunque unlocked mi si blocca, dicendo che non ho i privilegi di debug

Sembrerebbe che sià proprio LO a creare questo problema, vedi se riesci a risolvere seguendo questa guida.
brando125 ha scritto:come firewall stavo pensando a kerio o comodo, che mi consigli tra i due?oppure qualcos'altro? grazie

Avendo scritto proprio io l'articolo su Comodo, non ti posso consigliare altro, ed anche gratuito rispetto al Kerio.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda brando125 » sab ott 07, 2006 12:18 am

allora grazie per tutti i consigli.
al momento ho eliminato i file:
925104426.dll e 1041199.dll
e la scansione con ewido della memoria nn mi trova piu nulla.

inoltre ho eliminato l'administrator ( RPyn) che mi si era inserito.

restano due problemi

non riesco nè ad aprire nè a disistallare prevx1
e quando voglio aprire il task manager mi dice:

"l'istruzione a "0x0100c8a8" ha fatto riferimento alla memoria a "0x00000041". La memoria non poteva essere "read".
Fare click su ok
fare click su annulla"

grazie per gli eventuali aiuti
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising