www.MegaLab.it

[babyloon]

Ciao. Stamattina accendo il computer e norton mi blocca l'avvio dicendo che c:windows1system escej.dll è infetta dal virus Backdoors.Trojan . Lo metto in quarantena. Si avvia Windows. La prima cosa che faccio è andare nel sito della symantec x scaricare il tool di rimozione, ne trovo uno simile, lo avvio e non trova nulla. Come ho aperto la pagina di I.E. si aprivano i pop-up. Cerco di aprire Spybot e non lo apre, cerco di aprire regseeker e non lo apre. Riavvio in mod. provvisoria e faccio partire ad-aware che trova 13 elementi (possibili troyan) e li cancello. Riavvio, pulisco il registro, pulisco i file temporanei, faccio la scansione con l'antivirus. Credo di aver fatto tutto. apro una pagina di explorer (pagina iniziale about blank) e appare questo http://www.zanezane.net/public/upload/Immagine.jpg
iniziano ad aprirsi pagine porno. Adesso non so più cosa fare, ogni volta che apro una pagina si aprono altre pagine.

[crazy.cat]

Prima usa questo programma che spiego qui
http://www.zanezane.net/articoli.asp?id=427
questo è il link giusto per scaricarlo
http://home.datacomm.ch/Windows/cwshredder.zip

Altrimenti dopo prova questo e manda qui il log della scansione
http://www.zanezane.net/articoli.asp?id=453

Intanto cerco altre info

[babyloon]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da crazy.cat</i>
<br />Prima usa questo programma che spiego qui
http://www.zanezane.net/articoli.asp?id=427
questo è il link giusto per scaricarlo
http://home.datacomm.ch/Windows/cwshredder.zip<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

ok, questa è la scansione con CwShredder.
Done!
Removed from your system:
- CWS.Searchx
- 6 infected IE registry values

Windows 98 (4.10.2222 A)
CWShredder v1.59.1
Written by Merijn - merijn@spywareinfo.com

For any additional help with this program or removing CWS, visit:
http://forums.spywareinfo.com/

For information and documentation on the Coolwebsearch
trojan and its variants, visit:
http://www.spywareinfo.com/~merijn/cwschronicles.html

For donations to help support CWShredder, visit:
http://www.spywareinfo.com/~merijn/donate.html


<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">Altrimenti dopo prova questo e manda qui il log della scansione
http://www.zanezane.net/articoli.asp?id=453

Intanto cerco altre info
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
e questo è la scansione con Hijackthis.
Logfile of HijackThis v1.97.7
Scan saved at 12.30.25, on 19/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:PROGRAMMIEXECUTIVE SOFTWAREDISKEEPERLITEDKSERVICE.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:POWER95VI_GRM.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:PROGRAMMINORTON ANTIVIRUSNAVAPW32.EXE
C:WINDOWSSYSTEMCNXDSLTB.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:PROGRAMMIHEWLETT-PACKARDDIGITAL IMAGINGBINHPOTDD01.EXE
C:PROGRAMMIHEWLETT-PACKARDDIGITAL IMAGINGBINHPOHMR08.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSWEBSHOTS.SCR
C:PROGRAMMIHEWLETT-PACKARDDIGITAL IMAGINGBINHPOEVM08.EXE
C:PROGRAMMIHEWLETT-PACKARDDIGITAL IMAGINGBINHPOSTS08.EXE
C:WINDOWSSYSTEMHPZIPM12.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSNOTEPAD.EXE
C:PROGRAMMIINTERNET EXPLORERIEXPLORE.EXE
C:PROGRAMMIUTILITIESHIJACKTHIS.EXE

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=C:POWER95vi_grm.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAMMIADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [TaskMonitor] C:WINDOWS askmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [NAV Agent] C:PROGRA~1NORTON~1NAVAPW32.EXE
O4 - HKLM..Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM..Run: [CnxDslTaskBar] C:WINDOWSSYSTEMCnxDslTb.exe
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMANTECLIVEUP~1SNDMON.EXE
O4 - HKLM..RunServices: [ScriptBlocking] "C:ProgrammiFile comuniSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] C:WINDOWSSYSTEMmstask.exe
O4 - HKLM..RunServices: [DkService] C:ProgrammiExecutive SoftwareDiskeeperLiteDkService.exe
O4 - Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOfficeOSA9.EXE
O4 - Startup: EPSON Controllo in background.lnk = C:ESM2STMS.exe
O4 - Startup: hpoddt01.exe.lnk = C:ProgrammiHewlett-PackardDigital Imaginginhpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:ProgrammiHewlett-PackardDigital Imaginginhpohmr08.exe
O4 - Startup: Webshots.lnk = C:ProgrammiWebshotsLauncher.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://it.f1.pg.photos.yahoo.com/ocx/us ... r1_9us.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

[crazy.cat]

I log sembrano puliti.
Ti da ancora problemi?

[crazy.cat]

@ Mr.Asus
Non avevo postato questo link
http://www.ilsoftware.it/av.asp?ID=133
perché lei non sembra avere quella pagina iniziale sp.html che avevi anche tu.
Aspettiamo la sua risposta.

[babyloon]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da Mr.Asus</i>
<br />Ascolta, il primo consiglio che gli puoi dare per non avere più possibilità di scaricarsi altri trojan, cosa che avverrà e presto se usa molto la rete, è quella di togliere la chiave AppInitDlls dal registro.
Deve cancellarla.
Avevo spiegato bene bene come togliere la chiave nell'altro post...

Se lo vuoi cercare... almeno le spieghi intanto di togliere quella, che è responsabile di richiamare le variabili di sistema .dll che fanno aprire le pop-up, alcune delle quali scaricano trojan...

Se la vuoi aiutare senza dirle di formattare come dicesti a me...

Se hai bisogno, mi ricordo ancora bene tutte le cose...
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Sembra risolto, non la apre più. Non ho capito cosa dovrei fare Mr.Asus????

grazie crazy.cat e Mr.Asus