| Autore |
 Discussione  |
|
|
Lillo74
New Member
Città: Varese
46 Messaggi |
 Inserito il - 02/04/2007 : 10:27:37
|
Ciao a tutti,
vi prego aiutatemi, ho un dialer/trojan/virus che mi tormenta e ne Norton, ne AntiVir Guard, ne AVG riescono ad eliminarli.
I messaggi di allert che ho ricevuto son stati per questi dialer/trojan/virus:
1) TR/Vundo.Gen;
2) Dialer.iDialer;
3) Infostealer;
4) Trojan.Linkoptimizer.B
5) ecc.
Il log del mio PC con HijackThis è qui:
htt*://freefilehosting.net/download/MTY3NzYy
Vi prego aiutatemi!!!
Grazie mille in anticipo,
Lillo
|
Modificato da - Lillo74 in Data 04/04/2007 02:58:33
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 02/04/2007 : 13:02:46
|
Hai problematiche diverse, inizia con questa procedura e posta i log relativi alle scansioni
htt*://[www].notrace.it/eliminare-linkoptimizer.htm
a fine procedura rifai il log con HJT. |
 |
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 02/04/2007 : 23:47:41
|
Seconda fase:
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
|
|
|
Lillo74
New Member
Città: Varese
46 Messaggi |
Inserito il - 03/04/2007 : 09:33:54
|
OK fatto come hai detto e i tools dicono che il PC non risulta infetto da Linkoptimizer ma continuano gli allert e sembra infestato solo da TR/Vundo.Gen
Procedo con il secondo passo ed ecco i log che mi hai chiesto:
1) Gmer_rootkit:
htt*://freefilehosting.net/download/MTY3NzY1
2) Gmer _autostart:
htt*://freefilehosting.net/download/MTY3NzY0
...grazie per l'aiuto preziosissimo che mi state dando! |
Modificato da - Lillo74 in data 04/04/2007 03:06:35 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 03/04/2007 : 15:16:30
|
ciao, solo un paio di domande, hai già effettuato le varie scansioni con i software che hai aggiornati e da provvisoria..? tipo virit e a-squared..?? se sì cosa t'hanno rilevato..? mi servono anche i dettagli. hai fatto pulizia delle chiavi di registro e file temporanei con CCleaner..?
grazie |
|
|
|
Lillo74
New Member
Città: Varese
46 Messaggi |
Inserito il - 03/04/2007 : 15:59:17
|
Ciao Aris73,
dunque ho seguito le procedure trovate qui htt*://[www].notrace.it/eliminare-linkoptimizer.htm
Poi Ho lanciato a-squared e mi ha messo in quarantena e rimosso due Dll pericolose e mi ha fatto qs. report:
htt*://freefilehosting.net/download/MTY2ODc5
Poi ho lanciato CCleaner per pulire i registri e l'ho fatto lavorare in autoamtico.
Purtroppo non ho salvato i log, ma dimmi cosa posso fare ora o se vuoi che rieseguo e ti riposto i log.
Quellisopra sono i log fatti già dopo tutte le operazioni sopra elencate.
Grazie mille,
|
Modificato da - Lillo74 in data 04/04/2007 02:55:32 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 03/04/2007 : 18:12:07
|
Ciao Lillo.
Il Vundo è un trojan estremamente aggressivo ed inoltre ha parecchie varietà.
Symantec propone un tool apposito:
htt*://[www].symantec[.com]/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe
Prima di farlo girare disabilita il ripristino di configurazione.
A presto, ciao
[edit] Ovviamente dopo riposta un log di HijackThis |
Modificato da - Floatman in data 03/04/2007 18:14:20 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 03/04/2007 : 22:17:05
|
perfetto, grazie per le risposte, quindi direi che puoi far girare tranquillamente il tool indicatoti da floatman, però fai girare anche questo htt*://[www].atribune.org/ccount/click.php?id=4
proprio perché ha diverse varianti
Mettilo sul desktop e avvialo.
Quando ti si apre premi su Scan for Vundo.
Quando ha finito la scansione premi su Remove Vundo.
Ti chiederà se vuoi rimuovere i files, tu rispondi YES
Quando cliccherai yes il desktop diventerà bianco perchè il VundoFix inizierà a rimuovere i files.
Quando avrà finito ti chiederà se può riavviare il pc, premi OK.
dopodiché oltre il log di hijack riposta anche quelli di gmer, sempre seguendo le regole,
così sistemiamo tutto il rimanente
ciao |
|
|
|
Lillo74
New Member
Città: Varese
46 Messaggi |
Inserito il - 04/04/2007 : 02:35:24
|
Eccomi qui con tutti i LOG dei programmi fatti girare poco fa:
1) Symantec tool FixVundo:
htt*://freefilehosting.net/download/MTY3NzQ3
htt*://freefilehosting.net/show/MTY3NzQ4
2) Tool VundoFix:
htt*://freefilehosting.net/show/MTY3NzQ5
3) Il log di HijackThis:
htt*://freefilehosting.net/download/MTY3NzYw
4) I log di GMER:
a. Rootkik: htt*://freefilehosting.net/download/MTY3NzU5
b. Autostart: htt*://freefilehosting.net/download/MTY3NzU4
Ora attendo fiducioso il vostro aiuto!
Ciao e grazie,
|
Modificato da - Lillo74 in data 04/04/2007 03:11:29 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 04/04/2007 : 21:53:24
|
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhfc
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprn32
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvurp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NDSTray.exe
files to delete:
C:\WINDOWS\system32\jkhfc.dll
C:\WINDOWS\system32\winprn32.dll
C:\WINDOWS\system32\xxyvurp.dll
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
e riposta il log di hijack grazie
ciao
|
|
|
|
Lillo74
New Member
Città: Varese
46 Messaggi |
Inserito il - 05/04/2007 : 09:29:34
|
Ciao ARIS,
Ok ho fatto tutto come hai detto tu, ma mi da degli errori AVANGER:
Errorlog:
htt*://freefilehosting.net/download/MTcwMDgz
Avangerlog:
htt*://freefilehosting.net/download/MTcwMDg0
HiJacklog:
htt*://freefilehosting.net/download/MTcwMDg1
Attendo tuo aiuto...per sapere come procedere.
Grazieeee |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 05/04/2007 : 09:49:34
|
apri hijack e fixa:
O2 - BHO: (no name) - {222AB1EB-7890-4CEE-B551-C0C46AF539C6} - (no file)
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - (no file)
O2 - BHO: (no name) - {7835DC53-C6D7-4875-B36D-08241F2143E6} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B64E0731-F0C6-40C8-9CDA-330A7E5C8027} - (no file)
O2 - BHO: (no name) - {CF085A3C-BD73-4C5E-BE9E-D6B7B0F3C564} - (no file)
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = YanIT.IT
O17 - HKLM\Software\..\Telephony: DomainName = YanIT.IT
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F23F748-484A-434B-A9A6-70A498119EE5}: NameServer =
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = YanIT.IT
O20 - Winlogon Notify: awvvw - C:\WINDOWS\
O20 - Winlogon Notify: jkhfc - C:\WINDOWS\system32\jkhfc.dll (file missing)
O20 - Winlogon Notify: vtsqr - C:\WINDOWS\
O20 - Winlogon Notify: winprn32 - winprn32.dll (file missing)
O20 - Winlogon Notify: xxyvurp - xxyvurp.dll (file missing)
NB: disinstalla i prodotti symantec e installati cm antivirus antivir che è gratis e mille volte meglio del norton ([www].free-av[.com]) mentre cm firewall zone alarm free (htt*://[www].ilsoftware.it/querydl.asp?ID=412) |
Modificato da - Leleago in data 05/04/2007 09:52:15 |
|
|
|
Lillo74
New Member
Città: Varese
46 Messaggi |
Inserito il - 05/04/2007 : 15:28:14
|
OK graziee,
ho fatto...ora edvo far altro?
Per i software li conoco e seguirò il tuo consiglio installandoli al più presto. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 06/04/2007 : 21:03:46
|
con CCleaner lancia il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Esegui: problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato provvedendo a farne una copia di backup.
e dovrebbe essere tutto ok
|
|
|
|
Lillo74
New Member
Città: Varese
46 Messaggi |
 Inserito il - 10/04/2007 : 10:57:23
|
PERFETTO, fatto tutto e funziona alla grande!!!
Grazie mille ragazzi mi avete salvato!!!! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 10/04/2007 : 11:09:48
|
di nulla quando vuoi siamo quà
ciao |
|
|
| |
Discussione |
|
'TR/Vundo.Gen' questo trojan mi TORMENTA!
Forum Bloccato
