Oggetto del messaggio:

Inviato: ven 30 mar, 2007 10:08 am 

ho provato anche con la funzione trova del Regedit, ma quella chive non la vedo.
Possibile che sia relativa alla toolbar di yahoo, ma del Palmare con il quale ha la sincronia? In effetti anche sul mio non sono riuscito a togliere l' impostazione per cui la prima pagina è automaticamente yahoo, nonostante dalle opzioni del browser io l'abbia modificata. (Ultimamente non è mai stato collegato, ma in tal caso, non dovrei lasciare quella? E perchè si ricrea ogni volta anche senza collegare il palmare e con l'active sync disabilitato?
Vabbè se è solo un impostazione della toolbar no problem, spero che dal log di kaspersky arrivino buone notizie. Così non ti disturbo più.

 Oggetto del messaggio:

Inviato: sab 31 mar, 2007 2:40 pm 

Purtroppo non è ancora finita.
Collegandom con il modem , è subito partiro l'alert di av che m segnala il solito Trojan Horse BackDoor.Generic3.YUZ in c:Windows\system\cmh.exe e dopo la teorica rimozione, propone di riavviare il pc; purtroppo l'alert ricompare ancor prima che il pc si sia spento. e altrettanto dopo il riavvio, con la successiva conessione.
In genere ne comparivano anche altri, ma per ora ho visto solo quello di virus. Non vorrei che quello portasse dentro altra robaccia.

 Oggetto del messaggio:

Inviato: sab 31 mar, 2007 9:03 pm 

qui la scheda del file che hai inviato:
www.suspectfile.com/forum/viewtopic.php?t=1062

E' un trojan downloader. PrevX lo riconosce, prova a scaricarlo, installarlo e a fare una scansione dalla modalità provvisoria.
www.prevx.com

 Oggetto del messaggio:

Inviato: lun 02 apr, 2007 1:59 pm 

sono senza speranza.
Scaricato prevx1 e installato.
Per avviarlo in modalità trial ( se ho ben capito permette solo di rilevare un virus, ma non di eliminarlo o mi sbaglio?!?), mi dice che qualcosa ne blocca l'attivazione. Disinstallati antivirus e firewall vari, siamo d capo.
Sono senza speranza.

 Oggetto del messaggio:

Inviato: lun 02 apr, 2007 2:21 pm 

dovrebbe rimuovere anche per il periodo trial
Quale file infetto ti trova e cosa ti segnala?

Scarica GMER www.gmer.net/index.php

Avvialo, clicca sul tab AUTOSTART e fai un log. Poi copialo con il pulsante COPY e incollalo sul forum. Fai lo stesso anche con il tab ROOTKIT

 Oggetto del messaggio:

Inviato: lun 02 apr, 2007 4:43 pm 

Purtroppo Prevx nopn segnala nulla perchè non riesco ad attivarlo, anche se ho disinstallato i programmi che pensavo gli dessero fastidio, rileva la connessione , ma non riesce ad avviare l'attivazione. Tra l'altro riavviando mi ha addirittura piantato tutto con schermata blu. ora riesco ad andare solo iun modalità pèrovvisoria.

 Oggetto del messaggio:

Inviato: mar 03 apr, 2007 9:23 am 

Disinstallato e reinstallato Prevx1, sono riuscito ad attivarlo, ma appena lo ceco di aprire, mi manda una schermeta blu.
Sto decidendo di reinstallare windows, nella sperzanza di non perdere i driver o di averli tutti a disposizione sul sito della casa madre.

 Oggetto del messaggio:

Inviato: mar 03 apr, 2007 12:41 pm 

mi dispiace per l'inconveniente di PrevX. Chiederemo anche il parere di una persona che collabora con PrevX per capire se l'inconveniente può essere dovuto ad un malware che ne ha impedito la corretta installazione

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 10:31 am 

Ti ringrazio per l'interessamento e per tutti i consigli. Non ti dispiacere se il consiglio di prevx non ha funzionato. Sinceramente speravo che fosse la soluzione giusta ( a quanto capisco prevx è specifico x rootkit!?! Se non erro lo usai per rimuovere linkoptimizer la scorsa estate ), dunque i problemi nel rimuoverlo sono detttati dal fatto che i rootkit si installano ad un livello inferiore e quindi mi serve uno strumento specifico, vero?!?
Ho chiesto ad un centro assistenza per la formattazione, ma neppure loro mi garantiscono che dopo il notebook possa funzionare pienamente, perchè su internet potrebbero non essere disponibili tutti i driver.
Non so cosa fare

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 10:47 am 

Mi sono dimenticato una cosa.
Nei giorni scorsi avevo trovato questo forum con inglese con un utente nelle mie condizioni : aumha.net/viewtopic.php?p=145110 ... d974bb2ba9
IAppena mi collego ad internet le cose cambiano e arriva altra robaccia, qualcosa poi la cancello, ma alcune rimangono, e quelle che sembrano persistere sono le seguenti condizioni, appunto simili a quelle di quest' utente.
Nel suo caso come nel mio c'è un Trojan Horse Backdoor.Generic3.YUZ
Nel suo caso compare anche un Trojan Horse IRC/BackDoor/SdBot2.SCM , che per me è invece Trojan Horse IRC/BackDoor/SdBot2.USE.
I file in cui si trovano i problemi sono purtroppo diversi e quindi ho cercato di riadattare la cura (non credo di averla fatta bene, tant' è che non è riuscita ), ma quello che mi sembra di capire è che hanno usato un approccio diverso dal nostro e che forse potrebbe funzionare?
Non conosco i parametri che hanno usato sotto cmd e il mio inglese fa un po' di bizze, ma credo di aver capito che gli ha fatto creare una cartella al posto del file che era infetto ( credo che sia per fare in modo che la reinstallazione del virus non vada a buon fine una volta cancellato ?!?!? ) Purtroppo quel tecnico è andato in vacanza
ma credo che tu possa capire il sistema che ha usato ( per gli strumenti credo che kilbox sia simile ad avenger, ma anche quello mi crea dei problemi, mnetre avenger è ok)
Puoi assistermi in questo tentatvo?

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 12:57 pm 

Da quello che ho capito è stato chiesto all'utente di verificare i processi schedulati, ovvero l'elenco dei file in cd \windows\tasks

Questi processi sono già considerati in systemscan e non c'era niente di sospetto. Comunque se vuoi guardare puoi fare allo stesso modo:
- premi START> ESEGUI
- digita CMD e premi INVIO
- digita CD \windows\tasks per portarti nella cartella c:\windows\tasks
- digita attrib -r -h -s -a *.* per cambiare gli attributi ai file eventualmente presenti
- digita dir /a > \junk.txt per creare il file junk.txt contenete l'elenco di quei file
- digita notepad \junk.txt per aprire quel file

Poi posta qui il contenuto della finestra che si apre

Un'altra cosa che gli ha fatto verificare, che però non era servita, era la firma digitale dei file di sistema. Possiamo verificarlo anche noi:
- premi START> ESEGUI
- digita sigverif e premi invio
- premi AVVIA e poi posta qui il risultato


Io però avevo capito che il PC era inutilizzabile: non lo avevi formattato? Altrimenti resta sempre valida l'opzione di mandare i log di GMER, come ti avevo chiesto prima

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 2:50 pm 

Il pc era piantato , ma riavviandolo in modalità provvisoria e disinstallando da li prevx è tornato a posto; ho anche riprovato , ma il problema si è ripresentato e ho rifatto la disinstallazione di prevx.
Pesavo che gmer non ti servisse se prima non facevo la scansione con prevx.
Eccoci qui i risultati di gmer; rileva attivita rootkit, dl messaggio che ha mandato.

w12.easy-share.com/968026.html

w11.easy-share.com/968027.html

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 3:39 pm 

Accidenti, ma che è successo al portatile? E' super impestato

Usa Avenger come prima, con questo script:

Files to delete:
C:\WINDOWS\System32\qomnkhg.dll
C:\WINDOWS\System32\mljgg.dll
C:\WINDOWS\System32\updatees.exe
C:\WINDOWS\updatees.exe
C:\WINDOWS\windowsupdats.exe
C:\WINDOWS\System32\windowsupdats.exe
C:\WINDOWS\System32\firewall.exe
C:\WINDOWS\System32\livemsgr.exe
C:\WINDOWS\livemsgr.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\utxgdwj.exe
C:\WINDOWS\System32\xiiyjy.exe
C:\WINDOWS\System32\qomnkhg.dll
C:\Programmi\File comuni\System\MSIWA32.exe
C:\WINDOWS\system32\srsvc.exe

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E1DAC82B-1C81-41B2-AC1B-6AE2653965E0}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED08E916-BEC6-4FFA-9B5C-93076F1665F9}
HKLM\SYSTEM\CurrentControlSet\Services\Integrated Windows Authentication
HKLM\SYSTEM\CurrentControlSet\Services\srsvc

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|Windows Firewall Updater
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|Windows Update
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|Live Messanger
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Network Firewall
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Live Messanger
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows DLL Loader
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Firewall Updater
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Update
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Logon Application
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Advanced DHTML Enable
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{E1DAC82B-1C81-41B2-AC1B-6AE2653965E0}

Al riavvio, elimina manualmente dal registro (o con Hijackthis) il valore Live Messanger da questa chiave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|

poi copia qui il contenuto del log di avenger (avenger.txt) e posta:
- log di Hijackthis
- log di systemscan

Spero di non farti cancellare troppa roba ...

 Oggetto del messaggio:

Inviato: gio 05 apr, 2007 12:00 am 

w12.easy-share.com/968987.html
avenger
w11.easy-share.com/968989.html
hjt
w11.easy-share.com/968990.html
systemscan

ma cosa succede?
Adesso i messaggi di infezione si