| Autore |
 Discussione  |
|
n/a
deleted
1470 Messaggi |
Inserito il - 02/01/2006 : 16:55:59
|
Finita la scansione dammi conferma di avvenuta cancellazione.
In altri forum ci sono tantissimi utenti che hanno il tuo stesso problema e se con questo sistema riesci a pulire il sistema pubblico il link a questa discussione che sicuramente aiuterà tanti altri
PS. finita la scansione anche se Virit ti pulisce il regedit fai una scansione con regseeker(solo per vedere se trova chiavi residue del virus,così avremmo la conferma della validità di Virit) |
 |
|
|
n/a
deleted
1470 Messaggi |
 Inserito il - 02/01/2006 : 17:07:39
|
La chiave di attivazione del virus CLICKER BOMKA è questa dll msx.dll
Si può togliere il virus anche cancellando la dll (se non te lo permette avviate in provvisoria),fate un backup di regedit e cancellate la relativa chiave .
Poi lanciate HJK dalla provvisoria e fixate le chiavi BHO
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\System32\gtrack.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\System32\kaboom.dll
per sicurezza controllate che questo file C:\WINDOWS\System32\iewatch.exe non ci sia,se è presente cancellatelo. |
|
|
|
mok
Senior Member
161 Messaggi |
Inserito il - 02/01/2006 : 18:06:04
|
Citazione:
Messaggio inserito da Alexsandra
La chiave di attivazione del virus CLICKER BOMKA è questa dll msx.dll
Si può togliere il virus anche cancellando la dll (se non te lo permette avviate in provvisoria),fate un backup di regedit e cancellate la relativa chiave .
Poi lanciate HJK dalla provvisoria e fixate le chiavi BHO
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\System32\gtrack.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\System32\kaboom.dll
per sicurezza controllate che questo file C:\WINDOWS\System32\iewatch.exe non ci sia,se è presente cancellatelo.
Ok, allora provo in questo modo. Ho cancellato msx.dll in provvisoria e adesso sto facendo una scansione con Kaspersky... (ora sono sul fisso mentre il problema è nel portatile).
Ti chiedo di dirmi cosa devo fare esattamente dopo sul registro, imbranata come sono ho paura di fare danni!!! 
In particolare vorrei sapere come devo procedere per cancellare le chiavi giuste e come fare il backup... fixare vuol dire eliminare, vero???
Grazie e... scusate se sono così 'gnurante...
Monica |
Modificato da - mok in data 02/01/2006 18:07:11 |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 02/01/2006 : 19:21:30
|
Io credo di averlo levato alla collega di mia mamma perche' ora kaspersky non le trova piu' nulla, posto un log di hiject, se vedete qkosa da levare....
Logfile of HijackThis v1.99.1
Scan saved at 18.55.00, on 02/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\adriano maggi\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SpywareCleanerService - Secure Computer, LLC - C:\Programmi\Spyware Cleaner\SCService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
|
|
|
|
mok
Senior Member
161 Messaggi |
Inserito il - 02/01/2006 : 19:37:04
|
Ciao Mara! 
Anch'io credo di essere riuscita a eliminare il vigliacco... msx.dll è stata l'illuminazione fortunata di Alexsandra che ha risolto tutto!
Ho seguito la procedura del suo ultimo post (solo che io non ho trovato la chiave BHO di g.track ma ne avevo una di msx che ho fixato insieme a quella di kaboom)...
Ora sembra tutto a posto, ho fatto scansioni con Kaspersky e Spybot e non hanno trovato niente. E soprattutto quando mi collego a Internet non succede niente!
Grazie del tuo aiuto e di avermi indicato questo sito.
Grazie ad Alexsandra, molto gentile e competente... vi farò pubblicità!!! |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 02/01/2006 : 19:40:18
|
Ma vedi ho postato il log della Clara, e lei non ha sto msx....che sia questo Alexsandra:
C:\WINDOWS\system32\msiexec.exe
Puo' essere lui il cattivone? Ale aspetto notizie grazie baci |
|
|
|
G12
New Member
Città: Palermo
39 Messaggi |
Inserito il - 02/01/2006 : 20:11:04
|
Citazione:
Messaggio inserito da Alexsandra
La chiave di attivazione del virus CLICKER BOMKA è questa dll msx.dll
Si può togliere il virus anche cancellando la dll (se non te lo permette avviate in provvisoria),fate un backup di regedit e cancellate la relativa chiave .
Poi lanciate HJK dalla provvisoria e fixate le chiavi BHO
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\System32\gtrack.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\System32\kaboom.dll
per sicurezza controllate che questo file C:\WINDOWS\System32\iewatch.exe non ci sia,se è presente cancellatelo.
Virit aveva eliminato qualcosa dal registro, ma il file msx.dll c'era ancora e non si cancellava in modalità normale...
L'ho cancellato in provvisoria...
Ciao
Gianni |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 02/01/2006 : 20:16:02
|
X Monica ----> si fixare significa eliminare.
Ale quando hai tempo mi butti un occhio al log che ho postato? A me non sembra contenga questo Msx, contiene pero' un C:\WINDOWS\system32\msiexec.exe
Fammi sapere quando hai tempo se il log lo vedi pulito:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\adriano maggi\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SpywareCleanerService - Secure Computer, LLC - C:\Programmi\Spyware Cleaner\SCService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Grazie baci :)
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 02/01/2006 : 20:24:15
|
msiexec.exe è relativo a Windows installer. non credo che abbia a che fare con il virus.
questo errore si può verificare se Windows Installer non è installato correttamente oppure corrotto
Start - esegui - digita cmd
nel Prompt del dos digita msiexec /unregister e premi INVIO
riavvia e controlla che tutto funzioni dopo
nel Prompt del dos digita msiexec /regserver e premi INVIO
Comunque quello che avete postato è già più che sufficiente per il vostro pc e per mè.
problema risolto......ciao a tutte e due.
PS. adesso io penserei a liberare l'avvio del Vs. pc togliendo i processi inutili e a pulire il registro.
Poi creare un punto di ripristino e dopo a proteggere il pc.
Infine inviate un capuccino con briosh virtuali......
rimanete quì con noi,teniamo alta la presenza femminile..
ciao e ....a presto |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 02/01/2006 : 20:33:23
|
Citazione:
Messaggio inserito da mara
...Ale quando hai tempo mi butti un occhio al log che ho postato? A me non sembra contenga questo Msx, contiene pero' un C:\WINDOWS\system32\msiexec.exe
Ho visto ora il tuo post che avevo già postato il mio,segui queste istruzioni
Il log è pulito,per msiexec.exe vai in
Star-programmi-strumenti di amministrazione-servizi e cerca il servizio
"windows installer" (è verso la fine) fai doppio clik sopra e nella finestra che ti appare trovi un box centrale con scritto "Tipo avvio" fai clik sulla freccia del box e seleziona "Manuale".
riavvia e msiexec.exe sparisce. |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 02/01/2006 : 20:37:06
|
per Mara.
Tanto per fare la pignola,disinstalla Zone Alarm,pulisci il registro con Regseeker e riavvia.
Dopo reinstallalo |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 02/01/2006 : 21:57:23
|
ok Ale grazie! Ma di dove sei? cosa hai fatto a capodanno?
Ma si puo' che per rispondere ai pvt devo farlo col portatile xke' il mio pc si blocca? Non risponde piu' la pagina del forum notrace se ricevo un pvt..[.com]'e' possibile kez? |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 03/01/2006 : 13:44:41
|
Citazione:
Messaggio inserito da mara
ok Ale grazie! Ma di dove sei? cosa hai fatto a capodanno?
Ma si puo' che per rispondere ai pvt devo farlo col portatile xke' il mio pc si blocca? Non risponde piu' la pagina del forum notrace se ricevo un pvt..[.com]'e' possibile kez?
Io abito ad Atlantide e ho fatto un capodanno normale in compagnia di amici.
Per il resto,guarda i cookies,devi accettarli |
|
|
|
mok
Senior Member
161 Messaggi |
Inserito il - 03/01/2006 : 13:58:56
|
Citazione:
Messaggio inserito da Alexsandra
(...)
Comunque quello che avete postato è già più che sufficiente per il vostro pc e per mè.
problema risolto......ciao a tutte e due.
PS. adesso io penserei a liberare l'avvio del Vs. pc togliendo i processi inutili e a pulire il registro.
Poi creare un punto di ripristino e dopo a proteggere il pc.
Infine inviate un capuccino con briosh virtuali......
rimanete quì con noi,teniamo alta la presenza femminile..
ciao e ....a presto
Alexsandra, innanzitutto grazie ancora per l'aiuto determinante che mi hai dato. Secondo, certo che rimango! Sono contenta di avere scoperto questo sito, anche perché mi sono resa conto in questa circostanza che, pur usando molto il pc, devo migliorare le mie competenze in fatto di sicurezza.
A questo proposito due quesiti:
1) Mi dici che c'è qualcosa da sistemare nel mio registro. Ti invio il log di HJT fatto oggi: mi dici per cortesia cosa devo ancora eliminare?
Logfile of HijackThis v1.99.1
Scan saved at 13.13.48, on 03/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\standard\IMPOST~1\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programmi\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [rusto] "C:\DOCUME~1\standard\IMPOST~1\Temp\s3m4.2.exe"
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [HWSetup] C:\Programmi\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - htt*://[www].kaspersky[.com]/downloads/kws/kavwebscan_unicode .cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htt*://go.microsoft[.com]/fwlink/?linkid=39204
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
2) Vorrei sapere come sono messa in fatto di sicurezza e cosa posso fare di più. Ho Windows XP SP2; come antivirus ho Kaspersky (non ricordo che versione ho scaricato…); poi ho messo Spybot e ho il firewall di Windows… commenti? suggerimenti?
Grazzzzzzie!
Monica
|
Modificato da - mok in data 03/01/2006 14:03:17 |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 03/01/2006 : 14:10:35
|
Il log è incompleto Mok,lo hai fatto dalla provvisoria o hai copiato male dal txt ??
Il log và fatto sempre con avvio normale per analizzare il sistema e in provvisoria per fixare le voci da togliere.
Se hai solo il FW di XP SP 2 sei messa maluccio come sicurezza,ma è meglio parlarne dopo aver visto il log giusto |
|
|
|
Discussione |
|
VIRUS CLICKER BOMKA
Forum Bloccato
