Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Trojan?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Trojan?

Messaggioda babyloon » lun lug 19, 2004 10:58 am

Ciao. Stamattina accendo il computer e norton mi blocca l'avvio dicendo che c:windows1system escej.dll è infetta dal virus Backdoors.Trojan . Lo metto in quarantena. Si avvia Windows. La prima cosa che faccio è andare nel sito della symantec x scaricare il tool di rimozione, ne trovo uno simile, lo avvio e non trova nulla. Come ho aperto la pagina di I.E. si aprivano i pop-up. Cerco di aprire Spybot e non lo apre, cerco di aprire regseeker e non lo apre. Riavvio in mod. provvisoria e faccio partire ad-aware che trova 13 elementi (possibili troyan) e li cancello. Riavvio, pulisco il registro, pulisco i file temporanei, faccio la scansione con l'antivirus. Credo di aver fatto tutto. apro una pagina di explorer (pagina iniziale about blank) e appare questo http://www.zanezane.net/public/upload/Immagine.jpg
iniziano ad aprirsi pagine porno. Adesso non so più cosa fare, ogni volta che apro una pagina si aprono altre pagine.
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna

Messaggioda crazy.cat » lun lug 19, 2004 11:04 am

Prima usa questo programma che spiego qui
http://www.zanezane.net/articoli.asp?id=427
questo è il link giusto per scaricarlo
http://home.datacomm.ch/Windows/cwshredder.zip

Altrimenti dopo prova questo e manda qui il log della scansione
http://www.zanezane.net/articoli.asp?id=453

Intanto cerco altre info
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda babyloon » lun lug 19, 2004 11:32 am

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da crazy.cat</i>
<br />Prima usa questo programma che spiego qui
http://www.zanezane.net/articoli.asp?id=427
questo è il link giusto per scaricarlo
http://home.datacomm.ch/Windows/cwshredder.zip<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

ok, questa è la scansione con CwShredder.
Done!
Removed from your system:
- CWS.Searchx
- 6 infected IE registry values

Windows 98 (4.10.2222 A)
CWShredder v1.59.1
Written by Merijn - merijn@spywareinfo.com

For any additional help with this program or removing CWS, visit:
http://forums.spywareinfo.com/

For information and documentation on the Coolwebsearch
trojan and its variants, visit:
http://www.spywareinfo.com/~merijn/cwschronicles.html

For donations to help support CWShredder, visit:
http://www.spywareinfo.com/~merijn/donate.html


<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">Altrimenti dopo prova questo e manda qui il log della scansione
http://www.zanezane.net/articoli.asp?id=453

Intanto cerco altre info
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
e questo è la scansione con Hijackthis.
Logfile of HijackThis v1.97.7
Scan saved at 12.30.25, on 19/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:PROGRAMMIEXECUTIVE SOFTWAREDISKEEPERLITEDKSERVICE.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:POWER95VI_GRM.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:PROGRAMMINORTON ANTIVIRUSNAVAPW32.EXE
C:WINDOWSSYSTEMCNXDSLTB.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:PROGRAMMIHEWLETT-PACKARDDIGITAL IMAGINGBINHPOTDD01.EXE
C:PROGRAMMIHEWLETT-PACKARDDIGITAL IMAGINGBINHPOHMR08.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSWEBSHOTS.SCR
C:PROGRAMMIHEWLETT-PACKARDDIGITAL IMAGINGBINHPOEVM08.EXE
C:PROGRAMMIHEWLETT-PACKARDDIGITAL IMAGINGBINHPOSTS08.EXE
C:WINDOWSSYSTEMHPZIPM12.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSNOTEPAD.EXE
C:PROGRAMMIINTERNET EXPLORERIEXPLORE.EXE
C:PROGRAMMIUTILITIESHIJACKTHIS.EXE

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=C:POWER95vi_grm.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAMMIADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [TaskMonitor] C:WINDOWS askmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [NAV Agent] C:PROGRA~1NORTON~1NAVAPW32.EXE
O4 - HKLM..Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM..Run: [CnxDslTaskBar] C:WINDOWSSYSTEMCnxDslTb.exe
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMANTECLIVEUP~1SNDMON.EXE
O4 - HKLM..RunServices: [ScriptBlocking] "C:ProgrammiFile comuniSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] C:WINDOWSSYSTEMmstask.exe
O4 - HKLM..RunServices: [DkService] C:ProgrammiExecutive SoftwareDiskeeperLiteDkService.exe
O4 - Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOfficeOSA9.EXE
O4 - Startup: EPSON Controllo in background.lnk = C:ESM2STMS.exe
O4 - Startup: hpoddt01.exe.lnk = C:ProgrammiHewlett-PackardDigital Imaginginhpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:ProgrammiHewlett-PackardDigital Imaginginhpohmr08.exe
O4 - Startup: Webshots.lnk = C:ProgrammiWebshotsLauncher.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://it.f1.pg.photos.yahoo.com/ocx/us ... r1_9us.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna


Messaggioda crazy.cat » lun lug 19, 2004 12:31 pm

I log sembrano puliti.
Ti da ancora problemi?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » lun lug 19, 2004 2:07 pm

@ Mr.Asus
Non avevo postato questo link
http://www.ilsoftware.it/av.asp?ID=133
perché lei non sembra avere quella pagina iniziale sp.html che avevi anche tu.
Aspettiamo la sua risposta.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda babyloon » lun lug 19, 2004 7:32 pm

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da Mr.Asus</i>
<br />Ascolta, il primo consiglio che gli puoi dare per non avere più possibilità di scaricarsi altri trojan, cosa che avverrà e presto se usa molto la rete, è quella di togliere la chiave AppInitDlls dal registro.
Deve cancellarla.
Avevo spiegato bene bene come togliere la chiave nell'altro post...

Se lo vuoi cercare... almeno le spieghi intanto di togliere quella, che è responsabile di richiamare le variabili di sistema .dll che fanno aprire le pop-up, alcune delle quali scaricano trojan...

Se la vuoi aiutare senza dirle di formattare come dicesti a me...

Se hai bisogno, mi ricordo ancora bene tutte le cose...
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Sembra risolto, non la apre più. Non ho capito cosa dovrei fare Mr.Asus????

grazie crazy.cat e Mr.Asus [std]
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising