Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Trojan.Win32.RootKit.E

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Trojan.Win32.RootKit.E

Messaggioda natraninio » ven dic 08, 2006 3:50 am

Ho il pc che si e' rallentato molto e anche la navigazione in internet e' lenta forse ho un dialer che mi ciuccia banda.
potete per favore guardare le lastre allegate?
per non chiamarli sempre logfile ahahahahah.


Logfile of HijackThis v1.99.1
Scan saved at 2.44.27, on 08/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\Paltalk Messenger\palstart.exe
C:\Documents and Settings\TONY E ROSS\Desktop\programmi\PROGRAMMI\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: PalStart.lnk = C:\Programmi\Paltalk Messenger\palstart.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programmi\Paltalk Messenger\Paltalk.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.E
--------------------------------------------------------
14/10/2006 - 12:39:10

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.E

[SCANSIONE DEL REGISTRO]
{2ee25147-37d4-4640-832c-fccfac8b21d9} Infetto da BHO.Agent.AR
* * * RIMOSSO * * *

[F:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 1.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 6109.
Files Totali: 6109.
Chiavi Registro rimosse: 1.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.E
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
14/10/2006 - 12:46:47

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO

Messaggioda crazy.cat » ven dic 08, 2006 9:36 am

Sulle lastre devi eliminare questo
O20 - AppInit_DLLs:

Prova a rifare la scansione con virit dalla modalità provvisoria e vedi se ritrova ancora quel virus.

Non si vede altro nei log.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda natraninio » ven dic 08, 2006 4:02 pm

Ho provato a incollare su killbox quel file e mi dice che non esiste come mai?
Con cosa lo rimuovo?
La modalita' provvisoria non ricordo piu' con quale F si attiva. GRAZIE
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO


Messaggioda crazy.cat » ven dic 08, 2006 4:32 pm

Rifai la scansione con hijiackthis e mett il flag su quella riga e poi premi fix.

Con F8 all'avvio vai in provvisoria.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda natraninio » ven dic 08, 2006 6:34 pm

ok fatto scansione in modalita' provvisoria e ti allego il log poi ti allego anche un'ultima scansione con yachtis
Purtroppo pero' l'apertura delle pagine web e' senmpre molto lenta ho controllato ora tramite un test di banda e va bene.
sono nelle tue mani.
questa e' la provvisoria :
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.E
--------------------------------------------------------
14/10/2006 - 12:39:10

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.E

[SCANSIONE DEL REGISTRO]
{2ee25147-37d4-4640-832c-fccfac8b21d9} Infetto da BHO.Agent.AR
* * * RIMOSSO * * *

[F:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 1.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 6109.
Files Totali: 6109.

questa e' quella di jachtis:
Logfile of HijackThis v1.99.1
Scan saved at 16.16.09, on 08/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\Paltalk Messenger\palstart.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\TONY E ROSS\Desktop\programmi\PROGRAMMI\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: PalStart.lnk = C:\Programmi\Paltalk Messenger\palstart.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programmi\Paltalk Messenger\Paltalk.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

non me la hai chiesta ma ti allegol'immagine anche le impostazioni di rete locale lan
http://img483.imageshack.us/my.php?imag ... lelqv7.png
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO

Messaggioda BlueGene » sab dic 09, 2006 3:52 am

Per eliminare il rootkit ed il virus segui le istruzione che trovi nella seguente pagina http://www.viritpro.info/articoli/rootkit_d-e.htm
Avatar utente
BlueGene
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mer nov 29, 2006 10:21 pm

Messaggioda natraninio » sab dic 09, 2006 6:08 am

in considerazione del fatto che il testo consigliato mi dice di far passo passo certe cose ......mi sono blokkato dopo la fase 1 in quanto vedo delle cose diverse nel registro e quindi prima di far pasticci preferisco chiedere:
ho letto le istruzioni ed ho iniziato a cercare di fare il lavoro consigliato ,pero' ad un certo punto mi sono blokkato.
nella fase 1 mi dice:
Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita: ".\nome casuale".

io pero vedo connessioni di rete non connessioni come dice il testo
guarda l'immagine:
http://img220.imageshack.us/my.php?imag ... oninj9.png


nella fase 2 dopo aver disabilitato
le istruzioni scrivono il seguente testo:
1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

innanzitutto dopo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
io pero' dopo current Version vedo windows update no windows allego immagini:
http://img150.imageshack.us/my.php?imag ... ionjn5.png
http://img218.imageshack.us/my.php?imag ... atelj1.png

poi le istruzioni diconodi fare la seguente operazione
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)

questo non ho capito pero' come si fa?
potresti aiutarmi a capire come si fa a eseguire i file citati?da c:\VIRITEX non lo vedo
aspetto tue notizie non vorrei aver problemi nell'attesa dpoaver disabilitatoper aver disabilitato

insomma spero di aver guardato le istruzioni sbagliate perche' passo passo in relta' da me e' un pochino diverso
il mio sistema operativo e' xp
Grazie del tuo aiuto.
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO

Messaggioda Amantide » sab dic 09, 2006 11:14 am

BlueGene ha scritto:Per eliminare il rootkit ed il virus segui le istruzione che trovi nella seguente pagina http://www.viritpro.info/articoli/rootkit_d-e.htm

La guida sulla rimozione di Gromozon ce l'abbiamo anche noi.
http://www.MegaLab.it/2615

Visto che VirIT non è stato molto efficace nemmeno in modalità provvisoria, prova a fare la scansione con i tools della Prevx e Symantec che trovi nella guida e alla fine della scansione postaci i log.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda natraninio » sab dic 09, 2006 3:01 pm

Comincio ad avere un po di confusione, blu gene mi dice di fare una cosa sono stato 3 ore stanotte a cercare di fare quello che diceva la guida
poi ora amantide mi dice di fare altre cose che sinceramente
per la mia preparazione informatica sono forse un po difficili .
Ad esempio cosa vuo dire i Prevx ha rilasciato un tool .
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO

Messaggioda BlueGene » sab dic 09, 2006 3:04 pm

Achhh ! Scusa Amantide sono ancora nuovo della zona [:I] e poi quando ho postato era un po' tardi... [|)]
Avatar utente
BlueGene
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mer nov 29, 2006 10:21 pm

Messaggioda Amantide » sab dic 09, 2006 3:08 pm

Devi semplicemente trovare nella guida i links per scaricare i 2 tool, della Prevx e della Symantec, ci sono anche nell'archivio allegato all'articolo. Dopo averli scaricati lancia prima il tool della Prevx e ti chiederà di riavvia il computer per eseguire la scansione. A scansione avvenuta copia il contenuto del log che si trova in C:\gromozon_removal.log e postalo qui.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda natraninio » sab dic 09, 2006 3:20 pm

scusa amantide ma non capisco cosa devo fare e cosa devo scaricare.
Sono andato nel link ma non capisco da dove iniziare.
Potresti entrare un po piu' nel dettaglio grazie
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO

Messaggioda Amantide » sab dic 09, 2006 3:35 pm

Scarica l'allegato dal nome Tools Anti-Gromozon che è allegato all'articolo, il link del quale ti avevo postato prima, ciò è questo http://www.MegaLab.it/2615 ,lancia il file con il nome Tool della Prevx e segui le mie indicazioni di prima. Comunque c'è scritto tutto anche nella guida.

@ BlueGene
Potrei chiederti la cortesia di non scrivere più usando il testo colorato? E' molto faticoso da leggere, grazie.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda BlueGene » dom dic 10, 2006 6:26 pm

@Amantide
Obbedisco ! [cry]
Avatar utente
BlueGene
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mer nov 29, 2006 10:21 pm

Messaggioda natraninio » lun dic 11, 2006 2:54 am

ciao amantide
allora sono andato a scaricare nel link in arancione che ti allego immagine
http://img137.imageshack.us/my.php?image=tooljz0.png
spero di aver fatto bene la prima volta mi ha fatto un riavvio automatico all'avvio ho clikkato esegui sul programma e mi ha dato errore allora ho rifatto l'operazione mi ha chiesto salva su disco e poi mi si e' aperta una tendina che diceva salvato su disco poi mi sono trovato 2 exe di lancio sul dex che ti allego l'immagine.
http://img88.imageshack.us/my.php?image=exeda5.png
Io prima di fare l'operazione sopra citata ho disabilitato il ripristino spero di aver fatto giusto.
poi una cosa nella guda dice che chi ha il virus trova nei pogrammi in installazione applicazione leggi testo:
Si potrà riscontrare anche la presenza della voce LinkOptimizer (o anche ConnectionServices) nel pannello Installazione Applicazioni.

io non ho riscontrato questo

comunque no il pc sempre + lento specialmente in internet

attendo tue indicazioni per il dafarsi. Ciao
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO

Messaggioda Amantide » lun dic 11, 2006 9:39 am

natraninio ha scritto:ciao amantide
allora sono andato a scaricare nel link in arancione che ti allego immagine
http://img137.imageshack.us/my.php?image=tooljz0.png

Da questo link hai scaricato il tool della Prevx, lo potevi scaricare insieme agli altri anche dal questo link:
Immagine
spero di aver fatto bene la prima volta mi ha fatto un riavvio automatico all'avvio ho clikkato esegui sul programma e mi ha dato errore allora ho rifatto l'operazione mi ha chiesto salva su disco e poi mi si e' aperta una tendina che diceva salvato su disco poi mi sono trovato 2 exe di lancio sul dex che ti allego l'immagine.
http://img88.imageshack.us/my.php?image=exeda5.png

E' un po' strano questo comportamento. Dopo aver cliccato sul file avviato, ti avrebbe dovuto chiedere di cliccare Si per poter riavviare il computer e al riavvio doveva partire la scansione e la rimozione del Gromozon. Trovi i vari screenshot anche nella guida sopra citata. Controlla se in C:\ trovi il file gromozon_removal.log ed incolla qui il suo contenuto, sennò rifai la scansione. Fai anche una scansione dalla modalità provvisoria con il tool della Symantec.
Io prima di fare l'operazione sopra citata ho disabilitato il ripristino spero di aver fatto giusto.

Hai fatto benissimo.
poi una cosa nella guda dice che chi ha il virus trova nei pogrammi in installazione applicazione leggi testo:
Si potrà riscontrare anche la presenza della voce LinkOptimizer (o anche ConnectionServices) nel pannello Installazione Applicazioni.

io non ho riscontrato questo

La guida è stata scritta basandosi sulle prime versioni di Gromozon, da allora questo trojan si è mutato tantissimo, quindi non c'è nulla di strano che non trovi questa voce.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda natraninio » mar dic 12, 2006 1:22 am

ti incollo il contenuto del file in C
Removal tool loaded into memory
Removing ADS stream: C:\WINDOWS\system32:lzx32.sys:$DATA
Gromozon rootkit component not detected - searching for other components

poi non mi hai detto cosa devo fare con i 2 exe che ho sul dextop che ti ho incollato
Poi mi hai detto di rifare la scansione pero' non ho capito quale... in quanto fino a ora scansioni non ne ho fatte
Mi puoi per favore mettere il link e l'immagine di dove trovo i tool della symantech
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO

Messaggioda Amantide » mar dic 12, 2006 12:25 pm

natraninio ha scritto:ti incollo il contenuto del file in C
Removal tool loaded into memory
Removing ADS stream: C:\WINDOWS\system32:lzx32.sys:$DATA
Gromozon rootkit component not detected - searching for other components

Direi che ora ti trovi a buon punto, nel tuo caso era proprio il file lzx32.sys a causare i problemi maggiori. dal log sembra che il file sia stato eliminato, comunque faresti bene a ricontrollare. Apri una cartella qualsiasi, vai su Opzioni cartella--> Visualizzazione e seleziona Visualizza file e cartelle nascosti. Dopo vai in C:\WINDOWS\system32 e vedi se li c'è ancora il file lzx32.sys. Se lo trovi, eliminalo con aiuto di AGVPFIX, il link e la guida ci sono nell'articolo di prima.
Ora apri il regedit, vai su Start--> Esegui dove digiti regedit e premi OK. Vai su Modifica--> Trova, inserisci lzx32.sys e fai la ricerca nel registro. Se trovi un riferimento a questo file clicca sopra al valore con il tasto destro ed eliminalo.
Dopo clicca su uno di quel file exe che hai sul desktop ed avvia la scansione.

Alla fine fai la scansione con Gmer delle sezioni "Autostart" e "Rootkit" e posta qui il log. Come sempre il link e la guida si trovano nell'articolo.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda natraninio » mer dic 13, 2006 12:36 am

Ho fatto tutto ora vorrei fare scansione Gmer delle sezioni "Autostart" e "Rootkit"
Non ho trovato nell'articolo l'antivirus. Potresti postarmi il link per installarlo?
grazie
ti incollo il gromozon_removal. log:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Trojan.Gromozon does not exist - your system is clean.
il pc con explorer continua ad essere lentissimo.


ti allego altro log:
SpyHolesList Version:1.7
12.12.2006 22.42.36
WinDir=C:\WINDOWS
Startup=C:\Documents and Settings\TONY E ROSS\Menu Avvio\Programmi\Esecuzione automatica\
Common Startup=C:\Documents and Settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
Microsoft Windows XP Service Pack 2 (5.1.2600)
Internet Explorer 6.0.2900.2180
[In memory]
[Running Processes] C:\WINDOWS\SYSTEM32\SMSS.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\WINLOGON.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\SERVICES.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\LSASS.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\SVCHOST.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\SVCHOST.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
[Running Processes] C:\WINDOWS\EXPLORER.EXE
[Running Processes] C:\PROGRAMMI\ANALOG DEVICES\SOUNDMAX\SMTRAY.EXE
[Running Processes] C:\PROGRA~1\ALWILS~1\AVAST4\ASHDISP.EXE
[Running Processes] C:\VEXPLITE\MONLITE.EXE
[Running Processes] C:\PROGRAMMI\MESSENGER\MSMSGS.EXE
[Running Processes] C:\PROGRAMMI\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
[Running Processes] C:\PROGRAMMI\PALTALK MESSENGER\PALSTART.EXE
[Running Processes] C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
[Running Processes] C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
[Running Processes] C:\PROGRAMMI\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\SVCHOST.EXE
[Running Processes] C:\VEXPLITE\VIRITSVC.EXE
[Running Processes] C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
[Running Processes] C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
[Running Processes] C:\PROGRAMMI\SKYPE\PHONE\SKYPE.EXE
[Running Processes] C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
[Running Processes] C:\PROGRAMMI\YAHOO!\MESSENGER\YAHOOMESSENGER.EXE
[Running Processes] C:\WINDOWS\SYSTEM32\LVCOMSX.EXE
[Running Processes] C:\PROGRAMMI\MOZILLA FIREFOX\FIREFOX.EXE
[Running Processes] C:\PROGRAMMI\GREATIS\REGRUNSUITE\REGRUNCENTER.EXE
[Running Processes] C:\PROGRAMMI\GREATIS\REGRUNSUITE\WATCHDOG.EXE
[Running Processes] C:\PROGRAMMI\GREATIS\REGRUNSUITE\REGRUN2.EXE
Avatar utente
natraninio
Senior Member
Senior Member
 
Messaggi: 310
Iscritto il: sab lug 30, 2005 1:20 am
Località: TORINO

Messaggioda Amantide » mer dic 13, 2006 9:29 am

natraninio ha scritto:Ho fatto tutto ora vorrei fare scansione Gmer delle sezioni "Autostart" e "Rootkit"
Non ho trovato nell'articolo l'antivirus. Potresti postarmi il link per installarlo?

[sbigot] Come non hai trovato?
Prima pagina giù in fondo:
Immagine
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising