| Autore |
 Discussione  |
|
spybot
Senior Member
Città: palermo
101 Messaggi |
 Inserito il - 11/07/2007 : 01:41:05
|
|
salve a tutti, il mio problema sta in questi termini:mi sono accorto che aprendo il file host ho trovato dopo la riga 127.0.0.1 localhost la scritta 0.0.0.0shiptrop[.com]. dato che so' che dopo la riga 127 etc...non ci deve stare nulla ho provato a cancellare e poi salvare il nuovo file. niente non me lo permette, a questo punto cosa devo fare? mi aiutate a risolvere questo mio problema? attendo vostre nuove ciao...
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 11/07/2007 : 02:24:16
|
Fai una scansione con HiJackThis (lo trovi in download) e posta il log come indicato nella mia firma, vediamo se c'è qualcosa di "strano" nel puo PC.
Ciao. |
 |
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 11/07/2007 : 13:39:09
|
ecco qui il log:
htt*://freefilehosting.net/download/MTUy
ciao a presto... |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 11/07/2007 : 18:15:32
|
Il tuo log è polito e ha una connessione a libero.
Ti risulta? |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 11/07/2007 : 19:29:48
|
si ho la connessione con libero, allora non mi devo preoccupare di quello che c'è scritto dopo localhost?
poi un'altra cosa ho cercato di capire anch'io il log di hiackt..., anche se cosi' per sommi capi perchè non ho certo l'esperienza necessaria, ma mi ha colpito questo:
O24 - Desktop Component 0: (no name) - htt*://[www].babbonatale.biz/img/labirinto4.gif
tutti i log di hiack.. che ho vist fin ora arrivano a 023
questo che ho io che cosa è?
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 11/07/2007 : 20:20:11
|
giusto per stare sicuri:
fai una scansione antirootkit con il nostro tool:
htt*://[www].notrace.it/eliminare-linkoptimizer.htm
il sito shiptrop[.com] è uno dei siti sospetti a cui si collegava gromozon.
La voce 024, introdotta con la nuova versione di HJT, non è significativa
rileva ActiveX per desktop. |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 11/07/2007 : 21:57:28
|
| ho scaricato il primo tool, prevx gromozon,ma il secondo non ho capito, visto che il link mi ha portato nel sito della symantec se la scanzione la devo fare on line o devo scaricare qualcosa, non vedo nulla che mi riporta al tool. |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 12/07/2007 : 00:07:15
|
allora ho scaricato prevx gromozon, ho attuato tutte le precauzioni ma subito dopo che lo lancio mi appare una finestra di errore:
error: access violation at 0x0049049cb ( tried to read from 0x ffffffff), program terminated.
( avevi ragione ci vuole molto tempo e una buona conoscenza dell'inglese )
per quanto riguarda l'altro francamente non so' che fare .nella pagina in cui arrivo dal link che mi hai dato non capisco cosa devo scaricare.
dimmi che devo fare.....
aspetto tue nuove
ciao |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 12/07/2007 : 07:34:23
|
scansiona con questi anti-rootkit:
- rootkitbuster (htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip)
se ti trova problemi li evidenzi e clicca su remove selected items
- panda antirootkit (htt*://research.pandasoftware[.com]/blogs/images/AntiRootkit.zip) |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 12/07/2007 : 14:43:11
|
Citazione:
Messaggio inserito da Leleago
scansiona con questi anti-rootkit:
- rootkitbuster (htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip)
se ti trova problemi li evidenzi e clicca su remove selected items
- panda antirootkit (htt*://research.pandasoftware[.com]/blogs/images/AntiRootkit.zip)
faccio un passo indietro, a quando michal mi chiede di fare una scansione antirootkit.a quel punto mi cerco di documentare e cercando di capire se il mio computer è infetto scopro che nella chiave hkey_local_machine.....etc. c'è il valore appinit_dlls.
a questo punto mi scarico prevx gromozon , ma mi da errore e dell'altro della symantec non so' come fare.faccio fare a questo punto una scansione con bit defender, il quale mi trova 3 infezioni,e qui vi posto il file htt*://freefilehosting.net/download/NDcy
poi con virit, ma non mi trova nulla e poi con ewido che mi trova anch'esso 3 infezioni.adesso mi sono collegato col vostro forum e ho visto la tua risposta. ho scaricato i due programmi ho fatto fare la scansione e non è risultato nulla.per curiosita' sono andato a vedere la chiave di registro di cui sopra e quel valore non c'è piu' .a questo punto cosa devo fare devo ritenermi libero o devo approfondire ancora le ricerche.aspetto notizie.ciao e sempre grazie |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 12/07/2007 : 20:42:25
|
tanto per essere sicuri effettua tutta la procedura per la rimozione malware che abbiamo in firma  |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 13/07/2007 : 02:28:26
|
Citazione:
Messaggio inserito da spybot
Citazione:
Messaggio inserito da Leleago
scansiona con questi anti-rootkit:
- rootkitbuster (htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip)
se ti trova problemi li evidenzi e clicca su remove selected items
- panda antirootkit (htt*://research.pandasoftware[.com]/blogs/images/AntiRootkit.zip)
faccio un passo indietro, a quando michal mi chiede di fare una scansione antirootkit.a quel punto mi cerco di documentare e cercando di capire se il mio computer è infetto scopro che nella chiave hkey_local_machine.....etc. c'è il valore appinit_dlls.
a questo punto mi scarico prevx gromozon , ma mi da errore e dell'altro della symantec non so' come fare.faccio fare a questo punto una scansione con bit defender, il quale mi trova 3 infezioni,e qui vi posto il file htt*://freefilehosting.net/download/NDcy
poi con virit, ma non mi trova nulla e poi con ewido che mi trova anch'esso 3 infezioni.adesso mi sono collegato col vostro forum e ho visto la tua risposta. ho scaricato i due programmi ho fatto fare la scansione e non è risultato nulla.per curiosita' sono andato a vedere la chiave di registro di cui sopra e quel valore non c'è piu' .a questo punto cosa devo fare devo ritenermi libero o devo approfondire ancora le ricerche.aspetto notizie.ciao e sempre grazie
Appinit_dlls è uno dei sintomi di Link Optimizer.
Link Optimizer, alias Gromozon, abitualmente mette 2 valori nelle seguenti chiavi di registro, quindi per capire se hai proprio lui, come parrebbe ma non è chiaro perchè LO non permette l'utilizzo di HJT e neppure l'installazione di programmi che lo rilevano, devi vedere qui:
Apri l'editor del registro: Start--->Esegui--->digiti regedit, dai invio, si apre l'editor del registro, poi clicchi sul segno + accanto alle singole voci (in pratica espandi le varie voci in una specie di menu ad albero) e vai in
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Image file execution options,
dopo il click sul segno + di quest'ultima voce, controlla se tra le varie sottovoci è presente explorer.exe
Se presente, click sulla voce e riporta che cosa trovi al suo interno.
Se c'è, e c'è qualcosa, è quasi certo che hai LO.
Inoltre, verifica anche questa voce:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Winlogon
click su quest'ultima voce e tra le varie voci all'interno portati su userinit e riporta che cosa è scritto sulla parte destra di tale voce (normalmente si trova: C:\Windows\system32\userinit.exe,).
Se oltre a quella stringa c'è dell'altro, o la stringa non ha userinit.exe, è certo che hai LO.
Per il file HOSTS vai in C:\Windows\System32\drivers\etc\Hosts doppio click per aprirlo.
T'apparirà la schermata Apri con, scegli notepad e bada di levare il flag che dice apri sempre con, poi lo modifichi cancellando tutto quanto segue a ciò che troverai qui sotto scritto in grassetto,
in pratica alla fine delle righe contrassegnate da # deve esserci solo questo:
127.0.0.1 localhost
salvi e chiudi, poi ritorni in C:\Windows\System32\drivers\etc\Hosts e gli levi l'estensione txt messa da notepad, quando windows ti da il messaggio d'avviso di cambiamento gli dai l'ok.
Facci sapere cosa hai trovato in quelle 2 chiavi di registro.
Ciao.
|
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 14/07/2007 : 22:04:02
|
| ciao, in questo momento sto quasi finendo la procedura di bonifica del sistema consigliatami da leleago, e nello specifico per quanto riguarda la scansione con il mio antivirus ( avast ) non ha trovato nulla, nulla anche con virit, mentre gli antispyware mi hanno tolto tutta una serie di infezioni.per precauzione ho rifatto la scansione con gli antispyware e stavolta tutto liscio.stavo cominciando quella on line con panda ma stranamente non mi partiva. sto invece effettuando quella con bit defender e quanto prima vi faro' sapere i risultati.per quanto riguarda killbill (ciao ) ho controllato le due chiavi di registro e non c'è nulla di anomalo. ho ricontrollato invece il file hosts che mi da' sempre lo stesso problema.ho cercato di cancellare il superfluo dopo 127.0.0.1 localhost, ma il risultato è il seguente: "impossibile creare il file c:\windows\system32\drivers\etc\hosts verificare che il percorso e il nome file siano corretti. a questo punto mi domando come faccio a riportare alla sua origine questo benedetto file ? so che esiste un programma che si chiama hoster si puo' usare quello? appena finisco la mia bonifica vi faccio sapere ciao a presto.... |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 14/07/2007 : 22:11:24
|
Citazione:
Messaggio inserito da spybot
ciao, in questo momento sto quasi finendo la procedura di bonifica del sistema consigliatami da leleago, e nello specifico per quanto riguarda la scansione con il mio antivirus ( avast ) non ha trovato nulla, nulla anche con virit, mentre gli antispyware mi hanno tolto tutta una serie di infezioni.per precauzione ho rifatto la scansione con gli antispyware e stavolta tutto liscio.stavo cominciando quella on line con panda ma stranamente non mi partiva. sto invece effettuando quella con bit defender e quanto prima vi faro' sapere i risultati.per quanto riguarda killbill (ciao ) ho controllato le due chiavi di registro e non c'è nulla di anomalo. ho ricontrollato invece il file hosts che mi da' sempre lo stesso problema.ho cercato di cancellare il superfluo dopo 127.0.0.1 localhost, ma il risultato è il seguente: "impossibile creare il file c:\windows\system32\drivers\etc\hosts verificare che il percorso e il nome file siano corretti. a questo punto mi domando come faccio a riportare alla sua origine questo benedetto file ? so che esiste un programma che si chiama hoster si puo' usare quello? appena finisco la mia bonifica vi faccio sapere ciao a presto....
Dato che non hai LO... .
Sostituire Avast con AVS di AOL powered by kapsersky htt ://sicurezza.html.it/articoli/leggi/2313/active-virus-shield-lantivirus-gratuito-di-aol-e-k/? 
E risolvere tutto in poco tempo con poco sbattimento?
ERRATA CORRIGE! 
Hai una vecchia versione di LinkOptimizer.
Leggi qui: htt ://[www].alground[.com]/virus/schedaVirus.php?cod_virus=231
In fondo alla pagina del link c'è l'indirizzo per il tool di rimozione, questo: htt ://info.prevx[.com]/gromozon.asp |
Modificato da - killbill in data 14/07/2007 22:47:56 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 15/07/2007 : 00:01:11
|
per killbill:
nel nostro tool antirootkit Citazione:
ai una scansione antirootkit con il nostro tool:
htt*://[www].notrace.it/eliminare-linkoptimizer.htm
c'è gia questo programma proprio perchè il sito in questione fa riferimento alla prima infezione di linkoptimizer.
ti faccio notare che l'utente ha avuto problemi nel farlo girare. Citazione:
allora ho scaricato prevx gromozon, ho attuato tutte le precauzioni ma subito dopo che lo lancio mi appare una finestra di errore:
error: access violation at 0x0049049cb ( tried to read from 0x ffffffff), program terminated.
per Spybot:
prova il pc per qualche giorno e vedi come va se tutto ok provvederemo al ripristino del file Host in altra maniera. |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 15/07/2007 : 00:12:50
|
Citazione:
Messaggio inserito da michal
per killbill:
nel nostro tool antirootkit Citazione:
ai una scansione antirootkit con il nostro tool:
htt*://[www].notrace.it/eliminare-linkoptimizer.htm
c'è gia questo programma proprio perchè il sito in questione fa riferimento alla prima infezione di linkoptimizer.
ti faccio notare che l'utente ha avuto problemi nel farlo girare. Citazione:
allora ho scaricato prevx gromozon, ho attuato tutte le precauzioni ma subito dopo che lo lancio mi appare una finestra di errore:
error: access violation at 0x0049049cb ( tried to read from 0x ffffffff), program terminated.
per Spybot:
prova il pc per qualche giorno e vedi come va se tutto ok provvederemo al ripristino del file Host in altra maniera.
Avevo dimenticato, capita, nota annotata. 
Spybot senti, cosa ne dici di staccare l'hard disk ed attaccarlo a un'altro pc, poi lo accendi, bootti dall'altro HD con l'altro sistema operativo, così lo scanni dall'altro hard disk con sta utility mentre il virus non è attivo perchè non hai boottato col sistema infetto, o meglio ancora lo scanni dall'altro sistema con AVS?
Oppure d'usare un PC pulito, installarci la suite KIS6 del kaspersky htt ://[www].kasperskystore.it/eval.html?change_os=ALL, installarci BurtPE htt ://[www].nu2.nu/pebuilder/, attivare l'utility Disco di Emergenza del KIS6 e con quel wizard farti un bel CD di boot con dentro il KIS6, masterizzarlo e poi inserirlo nel pc infetto boottando da CD e spazzando via LO in questo modo?
Perchè il fatto che non ti faccia accedere al file Hosts indica che hai ancora LO bello attivo nel pc, e pure come utente nascosto di livello administrator, e tu sei utente con privilegi ridotti rispetto al virus.
E' stranissimo che in quelle 2 chiavi di registro non hai trovato nulla, veramente strano, la prima chiave, quella di explorer.exe, è la chiave con cui LO si aggancia al kernel di windows per bloccare i programmi che lo rilevano o rimuovono.
La seconda chiave è quella con cui lancia l'utente nascosto administrator agganciadosi o sostituendosi a userinit, (con la virgola sennò il pc non parte +).
Hai un LO che non ho mai visto.
Esci dal sistema e puliscilo in modalità esterna, è + semplice a sto punto. |
Modificato da - killbill in data 15/07/2007 00:23:57 |
|
|
|
Discussione |
|
problema con il file host
Forum Bloccato
