<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao, a mali estremi....adesso dovrai avere le mani di un chirurgo.
Scarica
<b>Killbox</b>- dopo il download, decomprimi la cartella , avvia Killbox.exe e segui i 3 passaggi sotto:
- dove vedi scritto <b>Full Path of File to delete</b> clicca il pulsante a cartellina aperta che vedi a destra e cerca il file <b>samsung-speed.exe</b> (lo trovi seguendo il percorso <b> c:\windows\system32\samsung-speed.exe</b>).
- a questo punto seleziona la voce (a sinistra) <b>Delete on Reboot</b>;
- Clicca sulla <b>X</b> rossa in alto a destra. Il computer verrà riavviato.
Al riavvio vai nel registro:
Start )> Esegui,quindi digita regedit e dai l'ok.
- Poi vai in alto a sinistra ed espandi (clicca sul segno più) la chiave HKEY_LOCAL_MACHINE.
Poi, nell'ordine:
\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
- Nella finestra di destra trova e apri <b>Userinit</b>;
- Elimina la voce: <b>,c:\windows\system32\samsung-speed.exe"</b> con la procedura descritta sotto;
<font color=red>ATTENTA</font id=red>. Non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi. Devi eliminare solo la voce infetta, in questo modo:
- Fai doppio clic sul nome della chiave:
- Nella finestra che si apre evidenzia e cancella solo la voce <b>,"c:\windows\system32\samsung-speed.exe"</b>,(compresa la virgola iniziale)
- Dai l'ok e chiudi il registro.
Avvia hijackthis , con la procedura solita elimina queste righe:
<font color=red>F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,"c:\windows\system32\samsung-speed.exe",
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
</font id=red>
Pubblica un log aggiornato.
Carissimo P2..grazie.
Questo è il nuovo log dopo aver fatto tutto
(sappi però che samsung speed lo avevo già neutralizzato - rinominandolo - e poi vir it ha rilevato il nuovo nome e io lo killato)
non è più residente.
Logfile of HijackThis v1.99.1
Scan saved at 22.24.32, on 24/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programmi\Accessori\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.euro.dell.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.it/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://www.euro.dell.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR>\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
http://download.bitdefender.com/resources/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) -
http://www.symantec.com/techsupp/activedata/SymAData.cabO16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) -
http://www.symantec.com/techsupp/activedata/ActiveData.cabO23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas
www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
poi ho fatto passare VIR IT e...voilà!!!chi si rivede??
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B
grrr--
non è che per caso sia questa cosa qui?
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
e poi non sono normali nemmeno tutti quei file di hp..
moh..che faccio??
grazie e buona serata!
Francesca
Edited by - pidue on 02/23/2007 17:23:57
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>