Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

trojan clicker small kj e clicker agent hz help

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

trojan clicker small kj e clicker agent hz help

Messaggioda arrigò » gio dic 07, 2006 8:09 pm

salve a tutti, sono nuovo di queste parti, spero di trovarmi bene..venendo al dunque, ho un problema (ma va)

ho almeno questi 3 virus:
trojan clicker small kj (associato a spoolsv32.dll)

trojan clicker agent hz (associato a seriedinumeri.dll -immagino sia questo a compromettere i risultati su google)

agent VP (associato a zdfsnf.exe)

ho windows xp pro, sp2, uso nod32, ed ho il firewall di windows.
in particolare, se può esservi di aiuto, se con google cerco programmi tipo gmer, hijackthis e the avenger, la pagina si chiude..inoltre, gmer non viene avviato; sono riuscito a visualizzare per un istante l'interfaccia grafica, ma subito scompare..spero in un vostro aiuto

p.s
scusate ma starò via fino a lunedì, scusatemi sin d'ora se non potrò replicare.
p.p.s
sono bianco e non ne capisco nulla quindi vi prego di utilizzare un linguaggio terra terra [:-D]

saluti e grazie ancora
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda aris73 » gio dic 07, 2006 8:18 pm

posta un log di Hijackthis http://www.merijn.org/files/hijackthis.zip
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
http://a98124.wix.com/aris-kyoshi

Aris Muscolino
Avatar utente
aris73
Aficionado
Aficionado
 
Messaggi: 110
Iscritto il: gio set 14, 2006 6:44 pm

Messaggioda Amantide » gio dic 07, 2006 9:38 pm

Abbiamo anche un articolo su questo trojan.clicker http://www.MegaLab.it/2624

Comunque si, per poterti indicare come devi agire e cosa e come devi eliminare, ci serve il log della scansione con Hijackthis.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Messaggioda BilloKenobi » ven dic 08, 2006 9:37 am

credo che hijackthis non funzionerà... scarica questo bel pacco (3 MB, spero tu abbia l'adsl)

http://www.mytempdir.com/1082740

estraine il contenuto e poi esegui, dalla modalità provvisoria, il tool symantec. poi riavvia e posta il suo log che trovi in C:\FicLinkOpt.log. dopo di che scarica questo

http://www.mytempdir.com/1088004

e quando lo apri, premi scan... aspetti qualche minuto, poi posti il log qui sul forum (magari come allegato, perché è lunghetto)

senti, potresti passarmi il file riconosciuto come agent.vp? magari me lo hosti su un sito tipo www.mytempdir.com ... grrrazzzie
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda arrigò » ven dic 08, 2006 6:37 pm

come previsto hijack non viene avviato..addirittura anche se apro lo zip me lo chiude (ho dovuto estrarlo col comando extract to di winrar)..inoltre billo non riesco ad uppare il file..dal sito che mi hai dato mi da errore perché è di 0kb (quando invece è 148kb)..non posso nemmeno zipparlo perché win rar mi dà acceso negato (da cui deduco che sia protetto da scrittura), neanche in modalità provvisoria. idem con uploadhut, dopo aver tolto l'estensione perché non carica gli exe, che lo uppa ma non mi fà aprire nulla ( mi dà i seguenti link: http://uploadhut.com/view.php/240478

http://www.uploadhut.com/upload/240478??

http://www.uploadhut.com/upload/240478).
megaupload dopo un po' ci riesce, ma non mi fà scaricare il file (mi dice: nessuno slot per il vostro PAESE)..boh..adesso provo quei prog che mi hai dato


p.s
son tornato prima [:-D]

edit:
alla fine ho provato una furbata..ho cambiato l'estensione in rar per allegarlo qui sul forum (sperando di non aver corroto il file o creato danno al sito)

edit:
sono un cojon, il file si è corrotto XD (comunque puoi provare scaricarlo e vedere se può servirti)
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda BilloKenobi » ven dic 08, 2006 6:57 pm

allora ci proveremo in seguito... usa quell'altro programma che ti ho linkato
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda arrigò » ven dic 08, 2006 7:03 pm

ecco il primo log del tool di symantec (era nella cartella in cui era presente il tool, non in C:\ : [:-D] ):

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

C:\WINDOWS\ldlhh1.dll: (deleted)

C:\WINDOWS:hpdj3fn0.his: (will be deleted on next reboot)

The Trojan.Linkoptimizer removal was successful.
The system will delete 1 Trojan.Linkoptimizer files from your PC on next reboot.

Here is the report:

1 file(s) could not be deleted.
They will be deleted on next reboot.

The total number of the scanned files: 45938
The number of deleted threat files: 1
The number of threat processes terminated: 0
The number of threat threads terminated: 0
The number of registry entries fixed: 0

The tool initiated a system reboot.

registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (cleared)

pensavo peggio
ora faccio partire l'altro
stay tuned [8D] (o come si scrive [:-D] )
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda BilloKenobi » ven dic 08, 2006 7:06 pm

arrigò ha scritto:era nella cartella in cui era presente il tool, non in C:\ : [:-D]


uh! sorry [:-D]

fra un dieci minuti massimo il log di system scan dovrebbe essere finito
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda arrigò » ven dic 08, 2006 11:06 pm

ecco il log mamma mia 82kb XD ci sarà lo schifo..a voi la parola
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda BilloKenobi » sab dic 09, 2006 9:58 am

Ora estrai e avvia Avenger.exe (dal pacco di prima)

disattiva antivirus, firewall, eventuali moduli hips

Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | jmKAXvMlYhEhZJtrZ

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696}

Files to delete:
C:\WINDOWS\service32.exe
C:\Windows\spoolsv32.V00dll
C:\Windows\spoolsv32.V01dll
C:\Windows\spoolsv32.V02dll
C:\Windows\spoolsv32.V03dll
C:\Windows\spoolsv32.V04dll
C:\Windows\spoolsv32.V05dll
C:\Windows\spoolsv32.V06dll
C:\Windows\spoolsv32.Vdll
C:\Windows\spoolsv32.dll
C:\Documents and Settings\Windows XP\102463916.dll
C:\WINDOWS\ldlhh1.upd
C:\WINDOWS\ldlhh1.dll

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Folders to delete:
C:\Documents and Setting\jmKAXvMlYhEhZJtrZ


Dopo di che, clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Allegami il log di Avenger (che si trova in C:/avenger.txt) con l´esito dello script.

poi già che ci sei riprova a postare il log autostart di gmer, che ora potrebbe funzionare... non sono proprio sicuro di aver eliminato tutto, ma per sicurezza mi serve una conferma in più... comunque il pc dovrebbe andare già notevolmente meglio
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda arrigò » sab dic 09, 2006 12:39 pm

non parte nè avenger nè gmer [:I] (come al solito si aprono ma scompaiono subito) che faccio?? mi sa che conviene riuscire a togliere manualmente la fonte di questo disturbo, perché sembra bloccare tutti i tools in questione..non posso nemmeno fare una ricerca su nessun motore con parola chiave una di quei programmi.. devo prima disabilitare il nod? no perché non capisco come si disattiva..i moduli hips cosa sarebbero?

che ne dite se faccio una scansione con spysweeper o avg antispyware ewido?? sto virus è un apiaga uff
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda BilloKenobi » sab dic 09, 2006 1:31 pm

non servirebbero. estrai dal file zip il tool della prevx e fallo girare (è quello dal nome alfanumerico). poi riprova con avenger
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda arrigò » sab dic 09, 2006 1:42 pm

ok proverò grazie..ti faccio sapere lunedi che adesso non ci arrivo..grazie ancora, a lunedi
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda arrigò » sab dic 09, 2006 2:13 pm

evvai il gromozon forse l'ho ucciso XD ecco il log di prevx1:

Removal tool loaded into memory
Removing ADS stream: C:\WINDOWS:hpdj3fn0.his:$DATA
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: C:\WINDOWS:hpdj3fn0.his
Resetting file permissions...
Clearing attributes...
Impossibile trovare il file - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\zdFnsF.exe
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\system32\vcedit.dll
Removed!


Trojan.Gromozon Removed!

ha tolto anche zdFnsF.exe ora mi fa aprire i prog
ci sentiamo lunedi grazie
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda Amantide » sab dic 09, 2006 2:49 pm

Ottimo yyy
Ora prova anche ad eseguire lo script per Avenger per eliminare il resto. [;)]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda arrigò » lun dic 11, 2006 12:22 am

we ragassi, rieccomi..ho eseguito lo script con avenger..sembra che non sia riuscito ad eseguire tutte le operazioni però..boh, ditemi voi. vi allego il log

adesso faccio partire gmer

ps.
è necessario fare il tutto in modalità provvisoria??
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda arrigò » lun dic 11, 2006 12:28 am

ecco gmer, sempre dalla modalità normale (non in provvisoria)
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda BilloKenobi » lun dic 11, 2006 12:33 am

nuovo script (mi erano sfuggite alcune cosuccie e c'ho messo pure un errore di sintassi)

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\LogPow

folders to delete:
C:\Documents and Settings\jmKAXvMlYhEhZJtrZ

files to delete:
C:\Programmi\File comuni\System\zdFnsF.exe
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda arrigò » lun dic 11, 2006 12:47 am

ecco il log di avenger adesso (comunque credo che il file zdFnsF.exe sia già stato cancellato dal tool di rimozione per i gromozon..ricordo di averlo esplicitamente letto..non lo trovo nemmeno utilizzando il cerca di windows)..subito dopo ho rifatto la procedura con gmer, ti posto il log anche di quello..inoltre, ho dei file che nod ha in quarantena, è un problema? posto l'immagine anche di questo
Avatar utente
arrigò
Neo Iscritto
Neo Iscritto
 
Messaggi: 17
Iscritto il: gio dic 07, 2006 7:41 pm

Messaggioda BilloKenobi » lun dic 11, 2006 5:56 pm

mi sento un imbecille perché mi accorgo delle cose log per log, quando sarebbe bastato il primo. scusami [boxed]. allora, apri il menù start, poi esegui. digita regedit e dai l'invio. A sinistra noterai una serie di cartelle (simili e esplora risorse). cliccando sui vari +, spostati fino a raggiungere questa cartella (chiave in gergo tecnico)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

noterai la presenza di un valore sulla destra

Userinit = C:\windows\system32\userinit.exe,"c:\windows\compaqchecker.exe"

cliccaci sul destro e premi "modifica". ora stai molto attento... se sbagli il pc non si riavvierà più [!!!]. devi cancellare la seconda parte della stringa ("c:\windows\compaqchecker.exe"). deve rimanere solo C:\windows\system32\userinit.exe, (virgola inclusa). poi scarichi questo piccolo tool della nod32 (AgentVPFix) e con quello elimini il file C:\Windows\compaqchecker.exe.
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising