| Autore |
 Discussione  |
|
|
Diavoletto77
Senior Member
102 Messaggi |
 Inserito il - 13/12/2006 : 10:57:18
|
Ragazzi ho il computer incasinato.
Mesi fa grazie al VS aiuto ho tolto link optimizer e inserito la patch.
Da qualche settimana invece, ogni volta che accendo il PC mi dice installare nuovo Hardware: fa riferimento ad un certo Controller Raid.
Forse questo non c'entra nulla.
Da qualche giorno invece ho visto che il computer è rallentato, si impalla e ogni volta che avvio il Pc mi si apre la finestra di connessione adsl: e se la voglio chiudere non ci riesco devo fare ctrl+alt+canc e chiudere l'applicazione. Il pc allora mi dice che c'è un problema con c:\Windows\9129837.EXE che oltretutto non vedo dentro la cartella.
Anche ogni volta che apro la posta di outlook, mi si apre la connessione. E qualche volta vedo anche i televisorini di connessione accesi anche se io in quel momento nonostante sia connesso non navigo affatto. Ogni tanto si sente anche il suono del vecchio modem (io perà navigo con modem adsl quindi dovrei stare tranquillo no?).
Mi sono preso un bel rootkit e qualcuno mi spia?!?!
Ho letto vari suggerimenti ed ho provato con adsr, gmer, gromozon rootkit, ads adware remover, super antyspyware. Ora va un po' meglio nel senso che non mi si apre più la connessione quando avvio il sistema, ma Virit mi dice:
Inizialmente:
File Sospetti LITE - Key: 5 Valore: ttool Dato: C:\WINDOWS\9129837.EXE
Poi ho rifatto la scansione sulla cartella Windows:
SCANSIONE DEL REGISTRO]
OK
[C:\WINDOWS]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\WINDOWS\ctfmon32.dll Infetto da Trojan.Win32.Small.NE
C:\WINDOWS\sndman.exe Infetto da Backdoor.Webdor.I
C:\WINDOWS\system32\sescmgr.exe Infetto da Trojan.Win32.Agent.AGA
Chiavi Registro infette: 0.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 10500.
Files Totali: 10500.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
Come li elimino?
Questo invece è il file log
htt*://freefilehosting.net/download/MjU4OTI=
Non riesco a fixare la voce 015 anche in modalità provvisioria. Penso che quella mi crei qualche casino no?
Grazie mille
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 13/12/2006 : 14:18:42
|
Apri hijackthis, fai "do a system scan" e spunta:
O4 - HKLM\..\Run: [SoundMan] C:\WINDOWS\sndman.exe -i
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\sescmgr.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O15 - Trusted Zone: *.realsearc
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli:
File to delete:
C:\WINDOWS\sndman.exe
C:\WINDOWS\system32\sescmgr.exe
C:\WINDOWS\9129837.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
postaci il log
(grazie a michael lo ho copiato da te per fare prima  )
alla fine dimmi se e riuscita l'operazione  |
Modificato da - burrito in data 13/12/2006 14:23:49 |
 |
|
|
Diavoletto77
Senior Member
102 Messaggi |
 Inserito il - 13/12/2006 : 22:02:46
|
Ecco il nuovo log:
htt*://freefilehosting.net/download/MjY0ODQ=
Ho fatto come hai detto! sono entrato in modalità provvisoria e ho fixato quelle voci.
Poi ho aperto avenger e incollato le voci (dovevo inserire anche "file delete" no?) ma quando ho dato l'ok con il semaforo mi ha dato questi errori:
- Error: select file does not appear to be a valid script.
- Press ok to log error and continue or cancel to abort
- Error code: 1813
Scusa l'ignoranza ma manualmente non me li fa cancellare? mi sa di no è? nella cartella windows c'è anche un file ctfmon32.dll: questo è tranquillo?
Io vedo ancora quei file nelle relative cartelle e virit me li segnala ancora ma non me li rimuove forse perchè è scaduto il mese di prova.
Grazie
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 14/12/2006 : 00:28:54
|
riprova con
Files to delete:
C:\WINDOWS\sndman.exe
C:\WINDOWS\system32\sescmgr.exe
C:\WINDOWS\9129837.exe
|
|
|
|
Diavoletto77
Senior Member
102 Messaggi |
Inserito il - 14/12/2006 : 21:58:16
|
Ragazzi mio fratello si è messo al PC e mi ha rovinato i piani:
ha aperto Avast e gli ha fatto fare la scansione: mi ha o spostato o rinominato i file.
sndman.exe Non lo trovo più!
Cmq con avenger ho tolto
C:\WINDOWS\system32\sescmgr.exe
C:\WINDOWS\9129837.exe
e sembra sia andato ok!
Ora però virit mi dice:
C:\WINDOWS\ctfmon32.dll.vir (rinominato da Avast) Infetto da Trojan.Win32.Small.NE
Che faccio la stessa operazione sempre con avenger?
Cmq questi sono i nuovi log di Avenger e Hajacktis:
htt*://freefilehosting.net/download/MjczOTg=
htt*://freefilehosting.net/download/MjczOTk=
Ancora grazie
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 16/12/2006 : 00:14:37
|
File C:\WINDOWS\9129837.exe not found!
Deletion of file C:\WINDOWS\9129837.exe failed!
questo non è stato eliminato, dai una controllata in c\windows se per caso ha cambiato la numerazione.
per C:\WINDOWS\ctfmon32.dll.vir puoi utilizzare la stessa procedura con avenger o eliminarlo con virit.
il log di HJT a questo punto non è significativo.
C'è una cosa fondamentale da capire: se si utilizza uno strumento di rimozione manuale come HJT e non si porta a termine la procedura, diventa molto difficile mettere ripari al danno in quanto con il fix si modificano alcune funzionalità del maleware ben visibili nel log e ritrovarne le tracce è molto arduo.
|
|
|
|
Diavoletto77
Senior Member
102 Messaggi |
Inserito il - 16/12/2006 : 16:54:32
|
Ops.. scusa l'imbranataggine: non avevo letto che la rimozione di 9129837.exe era fallita. Ma con HJT io l'avevo fixato! ma quando fixo non cancella quel file? lo rimuove solo dall'avvio?
Cmq non vedo altri file strani numerati nella cartella c:\Windows.
Forse l'ho rimosso con qualche altro programma che ho utilizzato, tipo gmer o adsr? boo non ricordo neanche più tutto quello che ho utilizzato 
Per l'altro file invece dovrebbe essere andato tutto ok!
htt*://freefilehosting.net/download/Mjk0MzI=
Ho rifatto la scansione con virit e mi ha dato:
C:\Programmi\Avast4\DATA\moved\[Upack].vir infetto da Beckdoor.Webdor.I
quindi ho riproceduto con Avenger!
Cmq ora ho fatto una scansione con Virit e non mi da più nulla di anomalo, vuol dire che è andato tutto a buon fine?
E' possibile che avendo usato Virit mesi fa e poi disintallandolo ora che l'ho installato nuovamente non mi fa più rimuovere i virus perchè sono scaduti i 30gg?
Grazie |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 16/12/2006 : 19:01:07
|
Allora ad ogni avviso che l'antivirus ti da di un file, tu eliminalo sempre con lo steso metodo
Virit dopo 30 giorni perde la protezione real-time, ma comunque si aggiorna automaticamente e ti consiglio di farci fare una scansione alla settimana |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/12/2006 : 20:33:40
|
unico dettaglio da utilizzare metti SEMPRE il plurale nel comando dello script anche se devi aliminare un solo file
ciao |
|
|
|
Diavoletto77
Senior Member
102 Messaggi |
Inserito il - 17/12/2006 : 19:40:17
|
Allora ragazzi!
Oggi mio frate è entrato nella sua utenza e pensavo che fosse tutto ok e invece virit ha rilevato un trojan nel registro!
e avast un problema con getflash.exe -P dentro la cartella plugins di mozilla firefox.
Ma come è possibile che sulla mia utenza (che oltretutto sono amministratore) non rilevava nulla! Mah
Allora getflash.exe l'ho cancellato, il file del registro l'ho tolto con HJT ed ora lo devo togliere con RegSeeker? ho fatto lo scan del registro: mi avrà dato un migliaio di voci; le cancello tutte?sia quelli in rosso che verdi? oppure potrei fare qualche casino?
Mucias gracias
Mi consigliate un buon antivirus free? avast non mi blocca nulla mi sembra e poi è lentissimo nella scansione! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 17/12/2006 : 20:02:44
|
elimina solo quelle in verde... ad avast puoi affiancare avg free
ciao |
|
|
|
Diavoletto77
Senior Member
102 Messaggi |
Inserito il - 17/12/2006 : 20:57:41
|
Log virit:
[SCANSIONE DEL REGISTRO]
{01E69986-A054-4C52-ABE8-EF63DF1C5211} Infetto da Trojan.Win32.Softomate.B
[C:\RECYCLER]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 1.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 178.
Files Totali: 178.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
Ho trovato con regseeker questo file che si trova dentro la cartella
Software\microsoft\internet explorer\toolbar\webBrowser
La posso cancellare tranquillamente!
Grazie mille ragazzi |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 18/12/2006 : 19:01:04
|
|
sì... |
|
|
| |
Discussione |
|
9129837.EXE?
Forum Bloccato
