• A
    User Attivo

    Rieccomi qua dopo un pò di tempo perso (ancora )dietro a questo virus.
    In un attimo di smarrimento dello stesso sono riuscito in modalità provvisoria a

    1. non so come lanciare Hi-jack-this e crearmi il file di log:

    Logfile of HijackThis v1.99.1
    Scan saved at 18.18.36, on 15/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\laviadellacroce\HijackThis.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\system32\regsvr32.exe
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\system32\regsvr32.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amadeusonline.it/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [3D Clipboard] C:\Documents and Settings\antony\Menu Avvio\Programmi\3dClip.exe
    O4 - HKCU..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    Sempre im modalità provvisoria mi sono scaricato la lista dei processi in esecuzione

    Nome immagine PID Nome sessione Sessione Utilizzo mem
    ========================= ====== ================ ======== ============
    System Idle Process 0 0 16 K
    System 4 0 36 K
    smss.exe 200 0 64 K
    csrss.exe 252 0 1.776 K
    winlogon.exe 276 0 612 K
    services.exe 324 0 1.292 K
    lsass.exe 336 0 1.208 K
    svchost.exe 496 0 1.504 K
    svchost.exe 564 0 1.560 K
    svchost.exe 636 0 4.748 K
    explorer.exe 848 0 6.252 K
    cmd.exe 1100 0 2.520 K
    tasklist.exe 1116 0 4.076 K
    wmiprvse.exe 1160 0 5.484 K

    e sempre in modalita provvisoria a vedere negli eventi quando lancio hi-jack-this che erorre mi esce, ed esce questa scritta:

    DCOM ha ricevuto l'errore "Questo servizio non può essere avviato in modalità provvisoria " durante il tentativo di avviare il servizio StiSvc con gli argomenti "" per eseguire il server
    {A1F4E726-8CF1-11D1-BF92-0060081ED811}

    Ora so che sto rompendo....ma vi ringrazio tantissimo per l'interessamento...Ci riesco o no a toglierlo...siete di grande aiuto
    Antony

    0
  • K
    User Attivo

    Ciao.

    Non ti preoccupare, non rompi... siamo quì per questo 😉

    Allora, da tutto questo, non si vede nulla di anomalo, purtroppo (almeno io non vedo niente).

    puoi verificare se explorer.exe parte dalla cartella C:\Windows ?

    Se sì è ok. (E' solo una precauzione, ma quello è sicuro).

    Hai provato a verificare sul registro di sistema, come indicato da Wolf?

    hai provato ad installare Antivir PE? Tanto visto tutto ciò che hai sul PC, peggio che con NOD32 non ti può andare 🙂

    Scarica e installa anche questo:
    http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan-Downloader.Win32.Pakes&threatid=49165

    Almeno uno dei troyan, dovrebbe toglierlo 😉

    Facci sapere...

    0
  • V
    User

    Ciao a tutti mi sono appena registrato , sto avendo lo stesso problema di Amadeusorrento, un virus che mi chiude hi-jack-this ma nn riesco a fare la scansione kon kaspersky online e nn riesco a installare la versione trial avendo norton, inoltre ogni volta che accendo il pc mi appare una finestra di svchost.exe che dice "L'istruzione a "0x745f2780" ha fatto riferimento alla memoria "0x00000000". la memoria nn poteva essere "read". sia se metto ok sia se annullo nn mi va + niente quindi devo lasciarla sul dekstop. avete qualche consiglio?

    0
  • A
    User Attivo

    Ciao
    Io ho risolto il problema.
    sono andato con esegui>regedit nella chiave
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    Il virus, che dovrebbe essere una variante di LINKOPTMIZER nel mio caso si è creato una chiave explorer tra le cartelle a sinistra (che non doveva esserci). Se la selezioni e vedi a destra, nel valore delle cartelle, troverai nella chiave debugger un nome di un file (probabilmente casuale) a me era uan cosa del genere un file jvjjrv.dat
    Ricorda il percorso del registro è
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Dunque io ho fatto cosi, sono entrato in modalità provvisoria,
    con un programma che mi consigliarono (mi sembra si chiamava Regassassin, che scaricai free da internet), ho pulito la chiave del registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer
    (lo puoi fare anche manualmente, ma a me capitava che poi all'accensione la ritrovavo se lo facevo a mano)

    poi ho rinominato il file casuale che a me era sotto system32 (l'ho rinominato perchè se l'operazione non dovesse andare a buon fine sembra che il virus senza il file non ti faccia vedere più le icone sul desktopo, per tanto se mi sarebbe capitato questo, mi bastava rimettere il nome giusto al file per rivedere le icone).
    Ora non so se è lo stesso virus o la stessa variante che ho avuto io...Io ci ho perso almeno 15 giorni prima di toglierlo...spero di poterti essere stato d'aiuto con questo topic...

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    "potrebbe" trattarsi del virus gromozon/variante, dai sintomi descritti... Effettua uno scan con questo tool di rimozione! Vediamo un po' cosa trova!!

    Per quanto riguarda il problema legato al file svchost.exe, "aggiornamenti automatici di windows" leggi http://support.microsoft.com/kb/932494/it!!

    :ciauz:

    0
  • V
    User

    su sto pc è un fango...il prob. dell'errore sembrerebbe risolto.. ma adesso nn so xkè kon task manager ho utilizzo pc ke varia da 5% a 98% di colpo .. mi va lentissimo, in+ nn mi prende + lettere tastiera.. kosa posso aver pigiato/fatto? ah cmq nn si tratta di gromozon

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    tra i processi del task manager, c'è per caso "hldrrr.exe"???
    Che Anti-Virus usi???

    0
  • V
    User

    sto usando kaspersky in trial..possibile ke sia antivirus ke x sbaglio ho negato qualke processo e non fa andare tastiera? xkè inn modalità provvisoria mi va.. cmq nn ho qel processo

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    scarica la versione trial di Virit; aggiornalo ed avvia uno scan "in modalita' provvisoria". Al termine posta nel forum "il log"!

    Ti consiglio anche uno scan con Ad-Aware e SuperAntispyware ovviamente "aggiornati"!

    Al termine delle scansioni prova ad avviare hijackthis! 🙂

    0
  • V
    User

    Ciao, nn ho + postato da qualche giorno a causa di un altro problema... adesso quando avvio il pc nn appare niente sul dekstop e neanke la barra delle applicazioni, avete qualche idea sul daffarsi?

    0
  • A
    User Attivo

    ciao allora il virus è quello che avevo preso io...
    il file infetto probabilmente da qualche programma tipo virit o dalla scansione online che hai fatto è stato eliminato.
    il problema ora è pulire la chiave del registro, come ti ho spiegato qualche post fa, nella stessa discussione
    con cntrl alt canc apri task manager e fai partire regassassin (che trovi free dal web).
    Le chiavi da cancellare te le ho scritte sopra
    una volta fatto ciò quando rifarai ripartire il pc il tuo descktop sarà dinuovo disponibile e il virus eliminato.
    Ricorda la chiave da cancellare è questa

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer

    Dai che è quasi fatta.
    Buona fortuna

    0
  • A
    User Attivo

    ahh...dimenticavo (io non lo sapevo)
    Puoi far partire il programma dal task manager
    cntrl-alt-canc poi sulla tendina file
    con nuova operazione fai partire il programma esegui.
    Io reg assassin lo tenevo su una pen drive per cui nel mio caso è bastato scrivere
    g:\regassassin.exe per far partire il programma e cancellare la chiave del registro

    0
  • wolf.otakar
    Consiglio Direttivo

    @Vivy90 said:

    Ciao, nn ho + postato da qualche giorno a causa di un altro problema... adesso quando avvio il pc nn appare niente sul dekstop e neanke la barra delle applicazioni, avete qualche idea sul daffarsi?

    Ciao Vivy90,
    Virit ha rilevato/rimosso qualcosa?? :mmm:

    0
  • V
    User

    Ciao, con Virit adesso non trova niente ma la prima volta che lo ho fatto qualche giorno fa mi ha trovato un po di roba e la ho levata, cmq ho provato a levare quel registro kon regedit .. melo leva ma anche riavviando non vedo niente sul dekstop.. ogni volta che riavvio torna quel registro..

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    vai nel registro di sistema ----> Start ---> esegui ---> digita regedit

    Trova questa chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    Cerca e apri la voce "Userinit"; dovresti trovare qualcosa del genere: ```
    C:\WINDOWS\system32\userinit.exe,

    

p.s **non modificare nulla nel registro!!!!**
    0
  • V
    User

    nella voce Userinit c'è C:\WINDOWS\system32\userinit.exe soltanto! :arrabbiato: :arrabbiato:

    0
  • wolf.otakar
    Consiglio Direttivo

    @Vivy90 said:

    nella voce Userinit c'è C:\WINDOWS\system32\userinit.exe soltanto! :arrabbiato: :arrabbiato:

    Ciao Vivy90,
    scarica gmer! Avvia la scansione "Rootkit" ---> Scan ---> al termine, allega nel forum il suo log; clicca su "copy" ---> Apri il blocco note ---> salva!!

    0
  • V
    User

    sta facendo scansione te fino a che ore 6 al pc? (se nn tene fossi gia andato 😃 )

    0
  • V
    User

    ekko qua: GMER 1.0.12.12244 - http://www.gmer.net
    Rootkit scan 2007-04-23 20:14:51
    Windows 5.1.2600 Service Pack 2

    ---- System - GMER 1.0.12 ----
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
    SSDT kl1.sys ZwOpenFile
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
    SSDT ??\C:\WINDOWS\system32\drivers\klif.sys

    0
  • wolf.otakar
    Consiglio Direttivo

    @Vivy90 said:

    sta facendo scansione te fino a che ore 6 al pc? (se nn tene fossi gia andato 😃 )

    Allega anche la lista dei processi nel task manager:

    Start---> Programmi ---> Accessori ---> Prompt dei comandi ---> *scrivi ----> tasklist -v >processi-attivi.txt

    *Allega tutti e due i log nel forum!!! A dopo, "ora stacco"! 🙂

    0
Effettua l'accesso per rispondere