| Autore |
 Discussione  |
|
teo_tux
Senior Member
103 Messaggi |
 Inserito il - 19/11/2006 : 21:17:53
|
buonasera...
da oggi pomeriggio il computer è impazzito:
- il norton rileva i seguenti virus: "backdoor.rustock.B", "trojan jackposh", "hacktool.rootkit".
- sempre norton mi fa comparire, sul lato destro dello schermo, una miriade di finestre piccole, con il testo "scansione dei messaggi 1 di 1", inoltre mi apre tantissimi avvisi in cui dice di non aver potuto inviare e-mail a diversi indirizzi (che, ovviamente, non conosco) con diversi oggetti (idem).
Dopo un po' di lavoro ho, in realtà, "contenuto" la cosa, nel senso che le finestre di avviso non compaiono più e il computer sembra funzionare normalmente...l'unica cosa è che il norton continua a rilevare questi file, a dirmi "eliminato automaticamente" per poi ridarmi l'avviso al riavvio successivo... la questione è: ho ancora i virus, ma sono "silenziosi" o è un eccesso di zelo di norton? i virus erano rilevati tutti nel file
c:\docume~1\utente\impost~1\temp\winsyst32.exe
Io ho accuratamente ripulito la cartella, in cui peraltro, almeno in dos, non c'era nessun file con quel nome... posso pensare di essere libero dal virus, oppure no? grazie mille
P.S: windows XP, vi prego di non dirmi di buttare via norton, ci sono affezionato e lo ottengo gratis (mi passano il cd) quindi...
ciaoX
|
|
|
Cartesio
Advanced Member
Città: Alcatraz
Nota:
252 Messaggi |
Inserito il - 19/11/2006 : 21:21:59
|
| per essere sicuro che tu non abbia virus fai una scansione in modalità provvisoria con più antivirus (io ti consiglio ewido). |
 |
|
|
teo_tux
Senior Member
103 Messaggi |
Inserito il - 19/11/2006 : 21:25:01
|
per il momento ho fatto con Hijackthis, qui c'è il log (scusate, ma non so perchè non riesco ad allegarlo...)
ori: log rimosso
a me sembra tutto normale... che mi dite voi?
|
Modificato da - ori in data 20/11/2006 09:28:55 |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 19/11/2006 : 21:35:27
|
La prox volta posta un log secondo le regole: htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 
Cmq normale sembra ma sotto sotto
Fixa:
O4 - HKLM\..\Run: [sysvx.exe] C:\WINDOWS\system32\sysvx.exe > (Trojan delle e-mail)
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe
Accendi in modalità provvisoria il pc premendo f8 nella fase di boot poi:
Vai in C:\WINDOWS\system32 ed elimina sysvx.exe e service.exe
Sempre in provvisoria fai una scansione con avg anti spyware (lo trovi su [www].ewido.net)
Fammi sapere
|
|
|
|
teo_tux
Senior Member
103 Messaggi |
Inserito il - 19/11/2006 : 21:39:29
|
| ok, grazie mille, provo subito (se non scrivo altro, vuol dire che ha funzionato) e chiedo scusa per il log, ma non sapevo ci fossero dei siti per deposito file;) quel service.exe, infatti, sembrava abbastanza maligno...grazie mille;)!! |
|
|
|
teo_tux
Senior Member
103 Messaggi |
Inserito il - 19/11/2006 : 23:41:53
|
purtroppo non ha funzionato...ho eliminato i file da modalità provvisoria, ma al riavvio ha ricominciato a darmi l'errore, e in più sono ricomparse le odiose finestrelle che mi intasano lo schermo...che fare? è più che ovvio che ora i virus ci sono, ma come li rimuovo? ho provato i metodi trovatisu internet, ma nessuno funziona, mi viene sempre detto di eliminare una chiave di registro o un file che però, nel mio computer, non ci sono...
aggiungo che il problema si è presentato quando mio fratello ha installato i-Tunes sul computer...iTunes ha dato un "errore - inviare o non inviare informazioni" ed è successo tutto... altri consigli?
grazie mille |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 20/11/2006 : 00:09:58
|
posta un nuovo log secondo le regole.
controlla se hai uno di questi file:
syst32.dll
syshost.dll
mdm32.dll
winsmgr32.dll
iexplore32.dll
scrss32.dll
spoolsv32.dll
svchost32.dll |
|
|
|
teo_tux
Senior Member
103 Messaggi |
Inserito il - 20/11/2006 : 00:26:48
|
allora, ecco qui un nuovo logfile di Hijackthis... non c'è nessuno dei file che hai detto tu...ora sto provando con una scansione da internet di bitdefender e anche un tool di symantec per un trojan che sembra corrispondere... mah!
htt*://freefilehosting.net/?id=rdj1laza8g==
il tool symantec ha finito, e non ha trovato nulla...
ho tentato anche con un Anti-rootkit della Sophos, dato che uno dei virus era un rootkit, ma non è servito..[.com]incio a disperare... aiuto!!! |
Modificato da - teo_tux in data 20/11/2006 00:33:34 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 20/11/2006 : 00:50:59
|
Fixa:
O2 - BHO: ASP.NET Helper - {42031715-09B2-3B51-A93F-56C308E48F38} - C:\WINDOWS\system\ctlvxd32.dll
O4 - HKLM\..\Run: [sysvx.exe] C:\WINDOWS\system32\sysvx.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe
Poi elimina da provvisoria:
C:\WINDOWS\service32.exe
C:\Documents and Settings\utente\Impostazioni locali\Temporary Internet Files\Content.IE5\KPU3WTUR\FxNetsky[1].exe
Consiglio: quando scade la licenza manda Norton in pensione  |
Modificato da - Floatman in data 20/11/2006 00:53:16 |
|
|
|
teo_tux
Senior Member
103 Messaggi |
Inserito il - 20/11/2006 : 01:23:22
|
| dunque...fatto tutto, fixato con hijack ed eliminato i file... anche se quel "service32" l'avevo già eliminato prima, in seguito a qualche consiglio... per ora, windows è attivo da 10 minuti e non è comparso nessun messaggio....speriamo!! vi farò sapere nel caso ci siano ancora problemi, buona notte! |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 20/11/2006 : 14:09:54
|
Nel caso nn funzionasse fai quello ke ce scritto qui :
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=7540 |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 20/11/2006 : 14:12:16
|
Nel caso nn funzionasse fai quello ke ce scritto qui :
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=7540 |
|
|
|
teo_tux
Senior Member
103 Messaggi |
Inserito il - 21/11/2006 : 22:24:22
|
niente da fare.... fatto tutto quello che avete consigliato (il tool di symantec dice che il mio computer non ha quel "linkoptimizer"), ma ad ogni avvio, il norton continua ad avvisarmi che il file c:\docume~1\utente\impost~1\temp\winsyst32.exe è infettato con "backdoor.rustock.b" e "trojan.jackposh". In aggiunta, sembra che anche il file c:\windows\sys32exploer.dll (è proprio exploer, non explorer) sia infettato da "hacktool.rootkit"... sarà quest'ultimo file il problema? lo elimino? perchè, di nuovo, l'altro file, winsyst32, non riesco nemmeno a trovarlo, sembra che sul mio pc non c'è.... e ogni "tool" che cerca un trojan o simili nel mio pc fallisce miseramente, e dice che il mio computer è pulito...anche i vari scan antivirus da internet han detto la stessa cosa...che fare?
grazie
ciaoX |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 22/11/2006 : 00:38:17
|
per alunno floatman:
C:\Documents and Settings\utente\Impostazioni locali\Temporary Internet Files\Content.IE5\KPU3WTUR\FxNetsky[1].exe
questo è il tool di rimozione della Symatec utilizzato da Teo.
Voci da fixare:
O2 - BHO: ASP.NET Helper - {42031715-09B2-3B51-A93F-56C308E48F38} - C:\WINDOWS\system\ctlvxd32.dll
O4 - HKLM\..\Run: [sysvx.exe] C:\WINDOWS\system32\sysvx.exe
O21 - SSODL: IEFilter - {F99F5645-ECEE-456F-9241-4C9AB77CBCA9} - C:\WINDOWS\system32\IEFilter.dll
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe
POI
carica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco, copia e incolla
files to delete;
C:\WINDOWS\system\ctlvxd32.dll
C:\WINDOWS\system32\sysvx.exe
C:\WINDOWS\system32\IEFilter.dll
C:\WINDOWS\system32\Service.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
postaci i log di avenger e di HJT
|
Modificato da - michal in data 22/11/2006 00:39:48 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 22/11/2006 : 00:54:06
|
 Oops, ho visto il file in "Temporary Internet Files" e sono andato tranquillissimo...
Ho fatto danni?  |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 22/11/2006 : 00:59:19
|
nessun danno in quanto il programma è stato già utilizzato da teo.
|
|
|
|
Discussione |
|
Winsyst32.exe pieno di virus
Forum Bloccato
