Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » ultima risorsa...

2 pages: 1 [2]
ultima risorsa... Opzioni
Topic Precedente · Topic Sucessivo
monsee
Inviato: Friday, August 04, 2006 4:47:04 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Non riesce a trovare la DLL incriminata (ossia, la <b>mljjkhi.dll</b>) attraverso il Registro di Sistema. Comunque, è pronto a rimuoverla ("ready to kill"! <img src=icon_smile_evil.gif border=0 align=middle> ) e sta aspettando che tu gli indichi manualmente dove sta nascosta per tagliarla a fette...
Tu indicagliela, dagli il via libera per "pastorizzarla" e il gioco dovrebbe essere fatto. (Speriamo!) <img src=icon_smile_tongue.gif border=0 align=middle>

Edited by - monsee on 08/04/2006 04:55:03
Torna in alto
 
micky627
Inviato: Saturday, August 05, 2006 6:42:07 PM
Rank: Member

Iscritto dal : 7/29/2006
Posts: 0
Fatto scanzione con Vundo Fix.exe
"senza" spuntare la casella Run VundoFix as a task.
Mi da i seguenti files:
1° C:\WINDOWS\SISTEM32\mljjkhi.dll
2° C:\WINDOWS\SISTEM32\xxwxy.dll
3° C:\WINDOWS\SISTEM32\yxwxx.dll
4° C:\WINDOWS\SISTEM32\yxwxx.bak2
5° C:\WINDOWS\SISTEM32\yxwxx.ini2
Ho proceduto così:
con AGCSCLEANER.exe ho selezionato manualmente il 1° file e riavviato
il 2° file e riavviato.
Fatto un'altra scansione con Vundo Fix e sono scomparsi tutti i files infetti.
Ora:
devo continuare a cercare i file 3° 4° 5° con AGCSCLEANER.exe e rimuoverli manualmente anche se Vundo Fix non li rileva?
Ho fatto un'ulteriore scansione con SYMANTEC trojan.Vundo RemovalTool 1.5.0 e Ewido risulta ok!
Se dovesse essere veramente a posto potreste darmi un link per aggiornare explorer (come da voi consigliato?)
Grazie di nuovo Michela
Torna in alto
 
monsee
Inviato: Saturday, August 05, 2006 9:26:37 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Se non ti vien più rilevato nulla, vuol dire che -alla fine e pur sudandotela- quel fetentone l'hai centrifugato.
Congratulazioni!
Adesso, se ancora non l'hai fatto, RIATTIVA il tuo "Ripristino configurazione di sistema" e creati immediatamente un "punto di ripristino" (tanto per metterti con le spalle al coperto).
Se files infetti non ne vengon rilevati (nemmeno tramite scansione online) significa che -almeno per adesso- di malware non ne hai. Complimenti!
Riguardo alla tua versione di Internet Explorer e al suo aggiornamento, dovresti riuscire ad ottenere la versione 6 tramite Windows Update, Provaci, almeno. Se non dovesse funzionare, vedremo di scaricar qualcosa "a mano" dal sito della Microsoft (ma -temo- la versione che concedono, lì, è quella con Service Pack 1 [obsoleta, anche se sempre meglio della 5], mentre quella attuale è "con Service Pack 2" [è proprio quest'ultima, difatti, che dovrebbe arrivarti, se aggiorni tramite Windows Update]).

Edited by - monsee on 08/05/2006 21:30:45
Torna in alto
 
micky627
Inviato: Saturday, August 05, 2006 10:55:55 PM
Rank: Member

Iscritto dal : 7/29/2006
Posts: 0
Allora mi consigli di attivare gli aggiornamenti automatici di windows update?
(sono riuscita ad istallare explorer 6)
Torna in alto
 
monsee
Inviato: Sunday, August 06, 2006 3:10:27 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Certo! Te lo consiglio <i>caldamente</i>!
Attiva SUBITO gli aggiornamenti automatici di Windows Update (credimi, non sono un <i>optional</i>: sono indispensabili). <img src=icon_smile.gif border=0 align=middle>
Torna in alto
 
spx
Inviato: Monday, January 15, 2007 11:38:42 PM
Rank: Member

Iscritto dal : 10/5/2006
Posts: 0
Anch'io ho bisogno del vostro aiuto, le ho provate tutte, anche quelle che avete scritto qui. Il virus mi viene individuato e apparentemente rimosso, ma poi ritorna...

Questo è il log di Hjiackthis

Logfile of HijackThis v1.99.1
Scan saved at 23.28.21, on 15/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\SYSTEM32\THOTKEY.EXE
C:\Programmi\TOSHIBA\TME2\Tmesrv2.exe
C:\WINNT\system\services.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\TPWRTRAY.EXE
C:\WINNT\system32\Promon.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programmi\TOSHIBA\TME2\TMESRV2.EXE /logon
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [5733-IC1/iseries] "C:\Programmi\IBM\Information\eclipse\IC_start.bat"
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft] iexplorer.exe
O4 - HKLM\..\RunServices: [Microsoft] iexplorer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://mail.gruppopro.it/iNotes.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gruppopro.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC517E86-CC9D-4F4B-8E0E-EAEA487DD596}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gruppopro.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gruppopro.it
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE
O23 - Service: Tmesrv2 (Tmesrv) - Toshiba - C:\Programmi\TOSHIBA\TME2\Tmesrv2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - C:\WINNT\system\services.exe

Arrivato a questo punto dà un messaggio d'errore ("Hjackthis ha provocato errori e verrà chiuso") e si chiude il pgm.

Ho tentato il software del nod32 e ho due problemi:

1-Unzippandolo mi crea un agcsclean.exe.sig, ma .sig che estensione è?

2- Mi dà lo stesso errore che dava a Micky (cioè che vuole la ricerca manuale) ma dove lo devo far cercare? Nel "cerca" di windows come mljjkhi.dll non mi trova niente... AIUTO!


Torna in alto
 
spx
Inviato: Wednesday, January 17, 2007 3:40:52 PM
Rank: Member

Iscritto dal : 10/5/2006
Posts: 0
UP <img src=icon_smile_big.gif border=0 align=middle>
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: 1 [2]

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » ultima risorsa...


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.