| Autore |
 Discussione  |
|
|
Aulin
New Member
39 Messaggi |
 Inserito il - 28/05/2007 : 16:53:51
|
Salve, sono nuovo del forum, saluto tutti e vi chiedo aiuto per risolvere un problema : AntivirPE (aggiornatissimo) continua a rilevare file trojan con nomi tipo TR/ .... (sempre diverso), li rimuove ma continuano a riapparire.
Nella directory temp di windows sono pieno di file (nr).tmp e sygate mi segnala continuamente tentativi di accesso da diversi programmi all'url [htt*: //65.243.103.80] (anche da Hijack quando ho fatto la scansione)
Questo è il log di hijack
hijackthis.log.txt
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 28/05/2007 : 17:23:42
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hiajck e spunta:
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: [No-Spam]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
Sconosciuto
O16 - DPF: ppctlcab - htt*://69.44.122.156/scanner/ppctlcab .cab
O16 - DPF: {BF683EF6-A484-437B-A47C-42622EFA8A2E} (PriMus_net_ocx Control) - htt*://[www].acca.it/PriMus-net/Setup/PriMus-EP-netWebSetup.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{737EF598-8DBD-4594-9B11-301815D8A368}: NameServer = 1.253.128.30,213.156.54.81
Sconosciuto
O17 - HKLM\System\CS1\Services\Tcpip\..\{737EF598-8DBD-4594-9B11-301815D8A368}: NameServer = 1.253.128.30,213.156.54.81
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - (no file)
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)
alla fine clicca su FIX CHECKED
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\DOCUME~1\2\IMPOST~1\Temp\AdskCleanup.0001
C:\WINDOWS\system32\scagent.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
posta un altro log di hijack cosi vedo se è tutto ok |
 |
|
|
Aulin
New Member
39 Messaggi |
Inserito il - 28/05/2007 : 18:00:51
|
Ho seguito le tue istruzioni ... la voce relativa a Primus non l'ho tolta perche è un programma di contabilità che lavora anche con database online ... non penso sia il responsabile.
ecco il log hijack :hijackthis.log_2.txt
Avenger non ha cancellato il file scagent, ecco il log:avenger.txt
Dopo il riavvio non riuscivo più a connettermi... ho visto che erano cancellati i dns sulle proprietà della connessione di rete, li ho immessi di nuovo e appena collegato sygate mi ha dato due avvisi :Sygate_1.txt
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 28/05/2007 : 18:30:43
|
vai su start, esegui e digita: sc delete scagent
scaricati virit (htt*://[www].tgsoft.it/italy/download.htm) lo aggiorni e scansiona
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
fa un'altra scansione cn hijack e dimmi se ti rileva ancora scagent.exe
|
Modificato da - Leleago in data 28/05/2007 18:59:34 |
|
|
|
Aulin
New Member
39 Messaggi |
Inserito il - 29/05/2007 : 10:42:05
|
Ho seguito le istruzioni ... dopo aver installato virit sygate mi ha segnalato un tentativo di accesso al solito sito da parte di virit monitor
Dopo ccleaner ho fatto una scansione con hijack e scagent c'è ancora
ecco il log :hijackthis.log_3.txt
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 29/05/2007 : 11:41:25
|
Troj/Dload-LV carica i file da un sito web e si installa nella cartella di sistema di Win con questi due file:
windrv.dll
scagent.exe
riprova con avenger usando questo script:
files to delete:
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\system32\windrv.dll
|
|
|
|
Aulin
New Member
39 Messaggi |
 Inserito il - 29/05/2007 : 12:18:53
|
Nulla da fare avenger non trova i files e non riesce a cancellarli.
Ho visto che scagent si attiva come servizio e sono riuscito ad impostarlo come "disabilitato", ma non riesco a trovare in che modo viene caricato per rimuoverlo
forse è una variante del Troj/Dload-LV |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 29/05/2007 : 21:50:40
|
esegui questa procedura
htt*://[www].megalab.it/articoli.php?id=187 |
|
|
| |
Discussione |
|
Trojan TR/....etc. etc.
Forum Bloccato
