| Autore |
 Discussione  |
|
|
Artemisia
Average Member
74 Messaggi |
 Inserito il - 07/10/2007 : 13:42:27
|
Salve a tutti,mi ritrovo alle prese con dei trojan(almeno così pare) e stavolta sembra anche abbastanza grave...
Ho fatto una scansione con spybot search and destroy e mi ha trovato e segnalato in rosso questi due malevoli ospiti:
PremiumSearch (in)
Impostazioni
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Image File Execution Options\explorer.exe\Debugger
e
Win32.Agent.afy (in)
Eseguibile
C:\WINDOWS\sistem32\hlpiytib.exe
Voi direte:se te li trova nessun problema,vorrà dire che li elimina...e invece no,quando provo ad avviare l'eliminazione appare un schermata blu al cento del pc e po il pc si spegne,si riavvia,e fa il controllo di coerenze sul disco C. Ho provato 2 volte,poi ho fatto una scansione con superanti spyware e non mi trova nulla,ne ho fatta una profnda con Nod32 e niente,ne ho fatta un'altra con Rogue Remover Free e nulla,allora ho fatto una scansione con Panda anti rootkit e ancora niente...
Ho cercato qualcosa on line ma non sono riuscita ad individuare soluzione,per cui....siete rimasti la mia ultima speranza!!!
Vi posto il log hijack sperando che qualcuno di voi dei del software possa aiutarmi.
Ringrazio anticipatamente per l'attenzione e....confido in voi 
P.S. Ho trovato una pagina che parla di PremiumSearch come di un adware,ma spybot me lo da come trojan...sarà un omonimo???
htt*://[www].freefilehosting.net/download/Mjc0ODE=
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/10/2007 : 14:01:53
|
Dimenticavo,se può essere utile,il mio pc è un acer aspire 1650Z,ho windows xp con service pack 2,e una connessione alice adsl 20 mega,col nuovo router alice gate2 plus wi-fi.
Inoltre,credo di averli beccati ieri i due ospiti indesiderati,un mio amico ha controllato un paio di cose dal mio pc,il Premium credo l'abbia preso da una chat,mentre l'altro credo dal suo account msn,tanto che ora quando riapro la sessione dopo che il pc va in screen saver,sotto il mio account mi segnala ancora un messaggio di posta elettronica non letto...ma l'indirizzo è quello del mio amico!!! Sono anche riandata nella sua mail per cencellare tutto ma nulla è cambiato....
Spero tanto che possiate aiutarmi....  |
 |
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/10/2007 : 15:42:29
|
segui questa procedura:
htt*://[www].notrace.it/eliminare-malware.htm |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/10/2007 : 18:17:40
|
| Ho letto la procedura e scaricato quasii tuti i prograami,ma avrei una domanda:come mi comporto riguardo alla questione della compatibilità tra i vari programmi? In particolare vorrei sapere innanzitutto come disattivare il nod32,e poi se dopo aver fatto la scansione con virit devo disattivare o disinstallare quest'ultimo per poter riattivare il nod32(visto che virit scadrebbe tra 30 giorni e mi ritroverei senza protezione). Poi vorrei sapere se tutti gli antispyware che mi hai consigliato sono compatibili tra loro, ho dato uno sguardo alla lista di compatibilità di avg antispyware,e mi pare non siano tutti elencati...Perdonatemi, ma credo sia meglio chiederle prima certe cose... Grazie. |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 07/10/2007 : 20:55:37
|
prima della procedura indicata devi fare un'operazione preliminare molto importante:
richiamare il TaskManager (ctrl + alt + canc), terminare explorer.exe
Start/esegui digita regedit
aiutandoti con il tasto + segui il persorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\rimuovere la chiave explorer.exe\debugger (dopo aver ripristinato il full control ad Everyone nelle autorizzazioni di accesso alla chiave, selezionando Autorizzazioni dal menu contestuale aperto con click dx del mouse e puntatore sul nome della chiave)
Adesso dal task manager devi far ripartire explorer.exe
File/nuova operazione esegui explorer.exe.
Fatto ciò devi eliminare (da provvisoria)
C:\WINDOWS\sistem32\hlpiytib.exe.
Dopo posta un log di Hijackthis.
stampa questo post, l'operazione è delicata e da eseguire con calma.
Per Lele
questo argomento lo abbiamo già afforntato in precedenza con altro utente, forse lo hai dimenticato.
Se non si elimina manualmente la chiave non è possbile utilizzare i tool, il file ad essa associato contiene un blocco all'esecuzione di moltissimi software e tool di rimozione.
Suspectfile lo ha battezzato Linkoptimizer B
|
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/10/2007 : 21:43:58
|
 Grazie Michael,stasera sono distrutta per cui seguirò la procedura domattina, se hai altre precisazioni da farmi prima lasciami un altro post, te lo dico per sicurezza perchè come hai detto tu è evidente che la procedura è molto delicata ....spero che funzioni, perchè ho fatto un po' di scansioni in provvisoria e ancora nulla...spybot mi ha dato speranze e delusa per ben 4 volte tra scansioni in provisoria e non (sapete la funzione di ripetizione della scansione al riavvio?). In ogni caso....a domani e grazie ancora!!! |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 08/10/2007 : 09:56:36
|
Buongiorno. Prima di mettere in pratica i consigli di Michael vorrei dare un aggiornamento e chiedere un paio di precisazioni.
Aggiornamento: ieri sera, tra una scansione con sybot e un'altra (entrambe fatte in provvisoria) il win32 con relativo file in C:\WINDOWS\system32\hlpiytib.exe è scomparso dai risultati della scansione...sarà stato eliminato o si sarà nascosto da qualche altra parte???
Chiarimenti:
1)Nel mio task manager "explorer.exe" è scritto tutto maiuscolo...fa differenza? e quando lo farò ripartire,dite che è meglio riscriverlo tutto maiuscolo(EXPLORER.EXE) o minuscolo (explorer.exe)?
2)Per rimuovere la chiave devo agire in modalità normale o provvisoria?
Perdonatemi se queste domandine posono apparire stupide, ma visto che è una questione delicata non vorrei fare casini...
Attendo conferme prima di iniziare, datemi un segno al più presto please...
Ancora grazie per l'assistenza! |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 08/10/2007 : 10:27:36
|
Scusate...ho terminato explorer.exe dal task manaer...ma così facendo scompaiono tutte le icone e anche lo start...[.com]e faccio poi ad aprire il registro??? Se digito regedit da file del task manager me lo apre da lì?
Per ora ho fatto ripartire explorer.exe....fatemi sapere please. |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 08/10/2007 : 10:57:29
|
Non ho capito una cosa.....devo eliminare solo debugger o proprio explorer.exe con entrambe le sottochiavi(oltre a debugger ce ne è un'altra)??? Per ora ho provato eliminando solo debugger,ora sono in provvisoria,il file con win32 agent.afy non si vede più da ieri sera.Ora sto riprovando a fare una scansione con spybot per vedere se riesce a togliere il premium search...
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 08/10/2007 : 13:07:54
|
me lo ero dimenticato michal  |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 08/10/2007 : 13:19:51
|
Visto che c'è qualcuno on line ne approfitto per dare agggiornamenti...
pare che non mi si rilevi più neanche il premium search dopo aver tolto e rimesso explorer.exe...ma c'è una cosa che proprio non vuole cambiare
Sotto il mio account del pc,appare la notifica di un messaggio di posta non letto,il problema è che l'indirizzo non è il mio,ma quello del mio amico incriminato...
ho visto dalle scansioni che in una qualche cartella di msn ho memorizzato questo indirizzo,non si toglie nonostante le varie scansioni e pulizie con ccleaner...
Mi sapreste dire da dove toglierlo manualmente? Per inenderci...dove sono memorizzati gli indirizzi e i profili msn nel pc?
In alternativa avrei pensato di eliminare il mio acount e rifarlo daccapo...ma implicherebbe risistemare il desktop e le impostazioni,se funzionasse non sarebbe poi così grave,ma vorrei sentire qualche parere...
Grazie ragazzi! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/10/2007 : 18:46:04
|
ciao Artemisia,
attiva visualizzazione file nascosti e cerca il suo indirizzo completo. A me lo da in tre posizioni:
C:\documents and settings\TUO USER\Impostazioni locali\dati applicazioni\microsoft\messenger\
C:\documents and settings\TUO USER\Impostazioni locali\dati applicazioni\microsoft\windows live contacts\
C:\documents and settings\TUO USER\contacts\
(ad ogni modo, nelle cartelle risultanti troverai sempre il tuo e il suo indirizzo e basta, non puoi sbagliarti)
Poi, per pulire il registro fai questa prova:
start => esegui => regedit => modifica => trova => SUO indirizzo mail completo.
Ho fatto la prova con il mio e sono usciti un valore ed una chiave:
[HKEY_USERS\S-1-5-21-3726829713-163382854-3447128900-1006\Software\Patchou\Messenger Plus! Live] => "DefaultUser"="indirizzo"
[HKEY_USERS\S-1-5-21-3726829713-163382854-3447128900-1006\Software\Patchou\Messenger Plus! Live\"indirizzo"]
Ho poi controllato qualche mio contatto: avendo discovery li ho trovati sotto una diversa cartella dedicata "discovery". Facendo la ricerca, anche in questo caso dove c'è il SUO indirizzo dovresti trovare anche il tuo e non quello degli altri contatti.
Comunque te ne rendi conto usando la funzione TROVA.
Non cancellare nulla per ora.. ;) a breve ti diranno se va bene.
Se procedi, ricordati di disattivare il ripristino conf. sistema (e di riattivarlo alla fine).
[OT] edit: ho riletto per bene tutto quello che hai fatto "passo passo" :) davvero brava.. :) |
Modificato da - Sibilla in data 08/10/2007 19:48:54 |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 09/10/2007 : 16:07:44
|
Grazie Sibilla sei stata gentilissima, ma visto che oramai dopo tutti gli attacchi subiti e sventati il mio pc è diventato davvero molto instabile a livello di sistema, ho preso la fatale decisione.....oggi formatto. Per fortuna ho ritrovato un amico che lavora e studia nel campo, cercheremo di mettere un sistema più stabile e soprattutto di proteggerlo meglio dall'inizio...ad essere sincera sto meditando addirittura di comprare kaspersky, mettendo sul piatto della bilancia le ansie e i contrattempi quasi quasi...
Comunque sono certa che avrebbe funzionato, è solo che pare non ne valga più la pena, i dati li ho tutti salvati per cui...Auguratemi buona fortuna!!! 
Grazie ancora per tutto l'aiuto e speriamo di risentirci solo per informazioni e aggiornamenti |
|
|
| |
Discussione |
|
PrmiumSearch e Win32.Agent.afy
Forum Bloccato
