• K
    User Attivo

    Ciao.

    Non ti preoccupare, non rompi... siamo quì per questo 😉

    Allora, da tutto questo, non si vede nulla di anomalo, purtroppo (almeno io non vedo niente).

    puoi verificare se explorer.exe parte dalla cartella C:\Windows ?

    Se sì è ok. (E' solo una precauzione, ma quello è sicuro).

    Hai provato a verificare sul registro di sistema, come indicato da Wolf?

    hai provato ad installare Antivir PE? Tanto visto tutto ciò che hai sul PC, peggio che con NOD32 non ti può andare 🙂

    Scarica e installa anche questo:
    http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan-Downloader.Win32.Pakes&threatid=49165

    Almeno uno dei troyan, dovrebbe toglierlo 😉

    Facci sapere...

    0
  • V
    User

    Ciao a tutti mi sono appena registrato , sto avendo lo stesso problema di Amadeusorrento, un virus che mi chiude hi-jack-this ma nn riesco a fare la scansione kon kaspersky online e nn riesco a installare la versione trial avendo norton, inoltre ogni volta che accendo il pc mi appare una finestra di svchost.exe che dice "L'istruzione a "0x745f2780" ha fatto riferimento alla memoria "0x00000000". la memoria nn poteva essere "read". sia se metto ok sia se annullo nn mi va + niente quindi devo lasciarla sul dekstop. avete qualche consiglio?

    0
  • A
    User Attivo

    Ciao
    Io ho risolto il problema.
    sono andato con esegui>regedit nella chiave
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    Il virus, che dovrebbe essere una variante di LINKOPTMIZER nel mio caso si è creato una chiave explorer tra le cartelle a sinistra (che non doveva esserci). Se la selezioni e vedi a destra, nel valore delle cartelle, troverai nella chiave debugger un nome di un file (probabilmente casuale) a me era uan cosa del genere un file jvjjrv.dat
    Ricorda il percorso del registro è
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Dunque io ho fatto cosi, sono entrato in modalità provvisoria,
    con un programma che mi consigliarono (mi sembra si chiamava Regassassin, che scaricai free da internet), ho pulito la chiave del registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer
    (lo puoi fare anche manualmente, ma a me capitava che poi all'accensione la ritrovavo se lo facevo a mano)

    poi ho rinominato il file casuale che a me era sotto system32 (l'ho rinominato perchè se l'operazione non dovesse andare a buon fine sembra che il virus senza il file non ti faccia vedere più le icone sul desktopo, per tanto se mi sarebbe capitato questo, mi bastava rimettere il nome giusto al file per rivedere le icone).
    Ora non so se è lo stesso virus o la stessa variante che ho avuto io...Io ci ho perso almeno 15 giorni prima di toglierlo...spero di poterti essere stato d'aiuto con questo topic...

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    "potrebbe" trattarsi del virus gromozon/variante, dai sintomi descritti... Effettua uno scan con questo tool di rimozione! Vediamo un po' cosa trova!!

    Per quanto riguarda il problema legato al file svchost.exe, "aggiornamenti automatici di windows" leggi http://support.microsoft.com/kb/932494/it!!

    :ciauz:

    0
  • V
    User

    su sto pc è un fango...il prob. dell'errore sembrerebbe risolto.. ma adesso nn so xkè kon task manager ho utilizzo pc ke varia da 5% a 98% di colpo .. mi va lentissimo, in+ nn mi prende + lettere tastiera.. kosa posso aver pigiato/fatto? ah cmq nn si tratta di gromozon

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    tra i processi del task manager, c'è per caso "hldrrr.exe"???
    Che Anti-Virus usi???

    0
  • V
    User

    sto usando kaspersky in trial..possibile ke sia antivirus ke x sbaglio ho negato qualke processo e non fa andare tastiera? xkè inn modalità provvisoria mi va.. cmq nn ho qel processo

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    scarica la versione trial di Virit; aggiornalo ed avvia uno scan "in modalita' provvisoria". Al termine posta nel forum "il log"!

    Ti consiglio anche uno scan con Ad-Aware e SuperAntispyware ovviamente "aggiornati"!

    Al termine delle scansioni prova ad avviare hijackthis! 🙂

    0
  • V
    User

    Ciao, nn ho + postato da qualche giorno a causa di un altro problema... adesso quando avvio il pc nn appare niente sul dekstop e neanke la barra delle applicazioni, avete qualche idea sul daffarsi?

    0
  • A
    User Attivo

    ciao allora il virus è quello che avevo preso io...
    il file infetto probabilmente da qualche programma tipo virit o dalla scansione online che hai fatto è stato eliminato.
    il problema ora è pulire la chiave del registro, come ti ho spiegato qualche post fa, nella stessa discussione
    con cntrl alt canc apri task manager e fai partire regassassin (che trovi free dal web).
    Le chiavi da cancellare te le ho scritte sopra
    una volta fatto ciò quando rifarai ripartire il pc il tuo descktop sarà dinuovo disponibile e il virus eliminato.
    Ricorda la chiave da cancellare è questa

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer

    Dai che è quasi fatta.
    Buona fortuna

    0
  • A
    User Attivo

    ahh...dimenticavo (io non lo sapevo)
    Puoi far partire il programma dal task manager
    cntrl-alt-canc poi sulla tendina file
    con nuova operazione fai partire il programma esegui.
    Io reg assassin lo tenevo su una pen drive per cui nel mio caso è bastato scrivere
    g:\regassassin.exe per far partire il programma e cancellare la chiave del registro

    0
  • wolf.otakar
    Consiglio Direttivo

    @Vivy90 said:

    Ciao, nn ho + postato da qualche giorno a causa di un altro problema... adesso quando avvio il pc nn appare niente sul dekstop e neanke la barra delle applicazioni, avete qualche idea sul daffarsi?

    Ciao Vivy90,
    Virit ha rilevato/rimosso qualcosa?? :mmm:

    0
  • V
    User

    Ciao, con Virit adesso non trova niente ma la prima volta che lo ho fatto qualche giorno fa mi ha trovato un po di roba e la ho levata, cmq ho provato a levare quel registro kon regedit .. melo leva ma anche riavviando non vedo niente sul dekstop.. ogni volta che riavvio torna quel registro..

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    vai nel registro di sistema ----> Start ---> esegui ---> digita regedit

    Trova questa chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    Cerca e apri la voce "Userinit"; dovresti trovare qualcosa del genere: ```
    C:\WINDOWS\system32\userinit.exe,

    

p.s **non modificare nulla nel registro!!!!**
    0
  • V
    User

    nella voce Userinit c'è C:\WINDOWS\system32\userinit.exe soltanto! :arrabbiato: :arrabbiato:

    0
  • wolf.otakar
    Consiglio Direttivo

    @Vivy90 said:

    nella voce Userinit c'è C:\WINDOWS\system32\userinit.exe soltanto! :arrabbiato: :arrabbiato:

    Ciao Vivy90,
    scarica gmer! Avvia la scansione "Rootkit" ---> Scan ---> al termine, allega nel forum il suo log; clicca su "copy" ---> Apri il blocco note ---> salva!!

    0
  • V
    User

    sta facendo scansione te fino a che ore 6 al pc? (se nn tene fossi gia andato 😃 )

    0
  • V
    User

    ekko qua: GMER 1.0.12.12244 - http://www.gmer.net
    Rootkit scan 2007-04-23 20:14:51
    Windows 5.1.2600 Service Pack 2

    ---- System - GMER 1.0.12 ----
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
    SSDT kl1.sys ZwOpenFile
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys

    0
  • wolf.otakar
    Consiglio Direttivo

    @Vivy90 said:

    sta facendo scansione te fino a che ore 6 al pc? (se nn tene fossi gia andato 😃 )

    Allega anche la lista dei processi nel task manager:

    Start---> Programmi ---> Accessori ---> Prompt dei comandi ---> *scrivi ----> tasklist -v >processi-attivi.txt

    *Allega tutti e due i log nel forum!!! A dopo, "ora stacco"! 🙂

    0
  • V
    User

    ZwResumeThread
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295]
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296]
    Code ??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
    Code ??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous
    ---- Kernel code sections - GMER 1.0.12 ----
    .text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF3E 5 Bytes JMP AA851F00 ??\C:\WINDOWS\system32\drivers\klif.sys
    .text ntkrnlpa.exe!IoIsOperationSynchronous 804EF8E6 5 Bytes JMP AA852400 ??\C:\WINDOWS\system32\drivers\klif.sys
    .text ntkrnlpa.exe!ZwCallbackReturn + 2D66 80503C42 2 Bytes [ 19, F7 ]
    .text ntkrnlpa.exe!KiDispatchInterrupt + 100 80544E40 7 Bytes JMP AA8553C0 ??\C:\WINDOWS\system32\drivers\klif.sys
    ? C:\WINDOWS\system32\DRIVERS\update.sys
    ---- User code sections - GMER 1.0.12 ----
    .text C:\Programmi\Internet Explorer\iexplore.exe[2628] USER32.dll!DialogBoxParamW 7E3A5F8F 5 Bytes JMP 00BBF205 C:\WINDOWS\system32\IEFRAME.dll
    .text C:\Programmi\Internet Explorer\iexplore.exe[2628] USER32.dll!DialogBoxIndirectParamW 7E3B2062 5 Bytes JMP 00D4FEBF C:\WINDOWS\system32\IEFRAME.dll
    .text C:\Programmi\Internet Explorer\iexplore.exe[2628] USER32.dll!MessageBoxIndirectA 7E3BA06A 5 Bytes JMP 00D4FE40 C:\WINDOWS\system32\IEFRAME.dll
    .text C:\Programmi\Internet Explorer\iexplore.exe[2628] USER32.dll!DialogBoxParamA 7E3BB12C 5 Bytes JMP 00D4FE84 C:\WINDOWS\system32\IEFRAME.dll
    .text C:\Programmi\Internet Explorer\iexplore.exe[2628] USER32.dll!MessageBoxExW 7E3D0750 5 Bytes JMP 00D4FDCC C:\WINDOWS\system32\IEFRAME.dll
    .text C:\Programmi\Internet Explorer\iexplore.exe[2628] USER32.dll!MessageBoxExA 7E3D0774 5 Bytes JMP 00D4FE06 C:\WINDOWS\system32\IEFRAME.dll
    .text C:\Programmi\Internet Explorer\iexplore.exe[2628] USER32.dll!DialogBoxIndirectParamA 7E3D6CD0 5 Bytes JMP 00D4FEFA C:\WINDOWS\system32\IEFRAME.dll
    .text C:\Programmi\Internet Explorer\iexplore.exe[2628] USER32.dll!MessageBoxIndirectW 7E3E6425 5 Bytes JMP 00BE15DA C:\WINDOWS\system32\IEFRAME.dll
    .text C:\Programmi\MSN Messenger\msnmsgr.exe[3492] kernel32.dll!LoadResource 7C809FB5 7 Bytes JMP 27001B60 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
    .text C:\Programmi\MSN Messenger\msnmsgr.exe[3492] kernel32.dll!FindResourceExW 7C80AC88 7 Bytes JMP 27001AD0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
    .text C:\Programmi\MSN Messenger\msnmsgr.exe[3492] kernel32.dll!FindResourceW 7C80BBCE 7 Bytes JMP 27001A50 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
    .text C:\Programmi\MSN Messenger\msnmsgr.exe[3492] kernel32.dll!

    0
Effettua l'accesso per rispondere