• A
    User Attivo

    virus contro hi-jack-this

    Buongiorno a tutti.
    Ho beccato un bel virus (con emule probabilmente). Ogni volta che apro hi-jack-this per fare una scansione si chiude il programma, idem se faccio una ricerca con la parola hi-jack-this su google o altro motore, mi si chiude explorer, se solo vado nella cartella dove è contenuto il programma mi si chiude la stessa. (Scrivo la parola con i trattini proprio per evitare che mi si chiudail browser)
    La cosa bella è che anche in modalità provvisoria ho lo stesso problema, Nod32 dice che non ho niente, idem per VIRIT e SPYBOT.
    Inoltre i processi in memoria che ho sembrano tutti regolari.
    Qualcuno ha avuto lo stesso mio problema?
    Grazie in anticipo a tutti quelli che mi risponderanno

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao amadeusorrento,
    prima di effettuare scansioni con Anti-Virus o tool di rimozione disattiva il "ripristino configurazione di sistema".

    Vai nel pannello di controllo --> Sistema --> Ripristino configurazione di sistema --> Spunta "Disattiva Ripristino configurazione di sistema su tutte le unità".

    Abilita' la visualizzazione dei file nascosti da "strumenti" ---> opzione cartella --> visualizzazione --> visualizza cartelle e file nascosti; poi vai in C:\Documents and Settings!
    Vedi qualche nome utente di troppo, con nomi "casuali"??

    0
  • A
    User Attivo

    Ciao e grazie di avermi risposto.
    Allora oltre alla cartella mia antoy, trovo ADMINISTRATOR, ALL USERS, DEFAULT USER, poi più opache, per cui credo sono di sistema, LocalService e NetworkService.
    Queste ultime due non so...ci devono essere?

    0
  • A
    User Attivo

    Chiedo scusa per la firma dei messaggi precedenti...ero sicuro di averla cambiata.....
    Anzi......ho appena cambiato la firma per essere in regola con il forum....ma anche se mi da l'ok poi mi rimette i 3 link...ora riprovo

    0
  • K
    User Attivo

    Ciao, amadeussorrento.

    Ti consiglio, intanto, di fare una bella scansione con un antivirus online.

    prova questo:

    Kaspersky

    Cartella ADMINISTRATOR... mmm mai vista... meglio assicurarsi che sia dannosa, però...

    Oltre alla scansione online, mi dici per favore il contenuto di quella cartella?
    prima di aprirla, segui le indicazioni di Wolf Otakar per visualizzare i files nascosti.
    Inoltre, se riesci ad aprire il Task Manager, e direi di sì, visto che hai esaminato i provessi in memoria, postacene l'elenco.
    A volte, i virus o simili si spacciano per processi normali modificando solo una lettera del file, oppure utilizzandola maiuscola anzichè minuscola (per esempio, Explorer.exe >>> explorer.exe)

    :ciauz:

    0
  • A
    User Attivo

    Ciao
    Ti ringrazio per l'interessamento.
    Allroa ho fatto la scansione online con Kaspersky
    Ti allego il file report che mi ha tirato fuori...Lo trovi al seguente link

    http://www.amadeusonline.it/download/report.html
    Ha trovato più virus ( ma mi chiedo il mio nod a che serve se non trova niente).

    Dando uno sguardo al report ho trovato un file abbastanza sospetto (che per di più nn mi fa cancellare) sotto system32. In passato mi trovavo questo processo in esecuzione che non mi permetteva di accedere a Hi-jack-This.
    Il file ha cambiato nome però è in esecuzione in quanto non me lo fa cancellare e si chiama
    Philips-pad-cancellato.exe e il percorso è
    C:\WINDOWS\system32\Philips-Pad-cancellato.exe

    Per quanto riguarda i processi in memoria, non mi ricordo bene come si fa a crearsi il file con la lista...mi ricordavo che il comando era task > C:\task.txt
    con il prompt ma mi da errore
    Grazie per l'aiuto

    0
  • K
    User Attivo

    :arrabbiato:
    più virus??? Dai, di la verità.... fai la collezione, oppure li programmi tu? :D:D
    Scherzo 😉

    Per prima cosa, se proprio non vuoi spendere 50 €/anno per un buon antivirus, come Kaspesky o Pc-Cillin, scarica Antivir PE (è in inglese, ma è secondo me il migliore FREE). Fai una scansione anche con quello.

    Veniamo a te. Un caso analogo mi è capitato solo una volta. Avevo formattato, per risolvere. Uno o due virus insieme si riesce a domarli, ma una nidiata come la tua, è much complicated. Comunque, vediamo cosa si può fare.

    Intanto, cosa c'è nella cartella programmi\ESET? E' un tuo software installato?
    Se no, dalla modalità provvisoria, o dal prompt del dos ancora meglio (premi F8 prima dell'avvio di win), cancella tutta la cartella. Come vedi, quello è una specie di "Cavallo di Trojan" 😄 pieno di omonimi.
    Già che ci sei, vedi se hai questo file: C/windows/system32/mssearchnet.exe
    Se sì, elimina anche quello, dal dos.

    Intanto, vedi cosa puoi fare, con Antivir PE e riguardo questa cartella, fammi sapere, poi vediamo il resto.

    0
  • A
    User Attivo

    Ciao...ma io ho nod32 licenziato 62.00euro l'anno...perciò mi fa un pò rabbia..
    Cmq la cartella ESET è quella dell'antivirus e tutti queli file infetti sono quelli in quarantena dell'antivirus...sono già innoqui...
    Credimi vorrei proprio evitare di formattare in quanto ho così tanti programmi che reistallarli sarebbe davvero stressante più di togliere il virus.
    di quel file che mi hai detto niente....secondo me è qualche programma che si è annidato nei processi di sistema
    Grazie per adesso comunque

    0
  • K
    User Attivo

    Ok. come non detto.

    Vedi se riesci a ripulire completamente questa cartella:

    C:\Documents and Settings\antony\Impostazioni locali\Temp\Temporary Internet Files\Content.IE5\

    Ti consiglio di farlo da mod provvisoria, altrimenti, fallo a gruppi di pochi files, perchè alcuni di quelli non riuscirai a rimuoverli perchè in esecuzione.
    Almeno, lascerai solo quelli in esecuzione e non gli altri. Saranno quelli dannosi, ma almeno non facciamo confusione.

    Idem per la cartella: C:\Documents and Settings\antony\Impostazioni locali\Temp
    Elimina i files: IH1A2.tmp
    IH23DE.tmp
    IH4F2.tmp

    Se riesci ad installare Antivir PE ed a fare una scansione, sarebbe meglio. poi lo disinstallerai, per evitare contrasti.

    Fatto questo, riavvia, apri il Task manager e fai uno screenshot dei processi attivi, comprimilo in JPG e mandamelo via mail. La mail la trovi sul mio profilo 😉
    Altrimenti, posta Almeno riesco a vedere cosa c'è che blocca Hijack, sennò è un problema...
    :ciauz:

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao amadeusorrento,
    dopo aver fatto tutto cio' che ti suggerisci kru,
    avvia il tuo pc in modalita' provvisoria; poi avvia il "regedit" ---> Start ---> Esegui ---> Regedit

    Cerca la chiave " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"; a destra troverai elencate delle voci, tra cui "Userinit" che dovrebbe contenere "solo questa voce" "C:\WINDOWS\system32\userinit.exe,"!!

    Oltre C:\WINDOWS\system32\userinit.exe, compare altro??

    p.s. per salvare i processi del task manager avvia il prompt dei comandi DoS e digita --->
    tasklist -v>log.txt

    Troverai il log salvato nella tua cartella in C:\Documents and Settings. Postalo qui nel forum! 🙂

    0
  • A
    User Attivo

    Rieccomi qua dopo un pò di tempo perso (ancora )dietro a questo virus.
    In un attimo di smarrimento dello stesso sono riuscito in modalità provvisoria a

    1. non so come lanciare Hi-jack-this e crearmi il file di log:

    Logfile of HijackThis v1.99.1
    Scan saved at 18.18.36, on 15/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\laviadellacroce\HijackThis.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\system32\regsvr32.exe
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\system32\regsvr32.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amadeusonline.it/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [3D Clipboard] C:\Documents and Settings\antony\Menu Avvio\Programmi\3dClip.exe
    O4 - HKCU..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    Sempre im modalità provvisoria mi sono scaricato la lista dei processi in esecuzione

    Nome immagine PID Nome sessione Sessione Utilizzo mem
    ========================= ====== ================ ======== ============
    System Idle Process 0 0 16 K
    System 4 0 36 K
    smss.exe 200 0 64 K
    csrss.exe 252 0 1.776 K
    winlogon.exe 276 0 612 K
    services.exe 324 0 1.292 K
    lsass.exe 336 0 1.208 K
    svchost.exe 496 0 1.504 K
    svchost.exe 564 0 1.560 K
    svchost.exe 636 0 4.748 K
    explorer.exe 848 0 6.252 K
    cmd.exe 1100 0 2.520 K
    tasklist.exe 1116 0 4.076 K
    wmiprvse.exe 1160 0 5.484 K

    e sempre in modalita provvisoria a vedere negli eventi quando lancio hi-jack-this che erorre mi esce, ed esce questa scritta:

    DCOM ha ricevuto l'errore "Questo servizio non può essere avviato in modalità provvisoria " durante il tentativo di avviare il servizio StiSvc con gli argomenti "" per eseguire il server
    {A1F4E726-8CF1-11D1-BF92-0060081ED811}

    Ora so che sto rompendo....ma vi ringrazio tantissimo per l'interessamento...Ci riesco o no a toglierlo...siete di grande aiuto
    Antony

    0
  • K
    User Attivo

    Ciao.

    Non ti preoccupare, non rompi... siamo quì per questo 😉

    Allora, da tutto questo, non si vede nulla di anomalo, purtroppo (almeno io non vedo niente).

    puoi verificare se explorer.exe parte dalla cartella C:\Windows ?

    Se sì è ok. (E' solo una precauzione, ma quello è sicuro).

    Hai provato a verificare sul registro di sistema, come indicato da Wolf?

    hai provato ad installare Antivir PE? Tanto visto tutto ciò che hai sul PC, peggio che con NOD32 non ti può andare 🙂

    Scarica e installa anche questo:
    http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan-Downloader.Win32.Pakes&threatid=49165

    Almeno uno dei troyan, dovrebbe toglierlo 😉

    Facci sapere...

    0
  • V
    User

    Ciao a tutti mi sono appena registrato , sto avendo lo stesso problema di Amadeusorrento, un virus che mi chiude hi-jack-this ma nn riesco a fare la scansione kon kaspersky online e nn riesco a installare la versione trial avendo norton, inoltre ogni volta che accendo il pc mi appare una finestra di svchost.exe che dice "L'istruzione a "0x745f2780" ha fatto riferimento alla memoria "0x00000000". la memoria nn poteva essere "read". sia se metto ok sia se annullo nn mi va + niente quindi devo lasciarla sul dekstop. avete qualche consiglio?

    0
  • A
    User Attivo

    Ciao
    Io ho risolto il problema.
    sono andato con esegui>regedit nella chiave
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    Il virus, che dovrebbe essere una variante di LINKOPTMIZER nel mio caso si è creato una chiave explorer tra le cartelle a sinistra (che non doveva esserci). Se la selezioni e vedi a destra, nel valore delle cartelle, troverai nella chiave debugger un nome di un file (probabilmente casuale) a me era uan cosa del genere un file jvjjrv.dat
    Ricorda il percorso del registro è
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Dunque io ho fatto cosi, sono entrato in modalità provvisoria,
    con un programma che mi consigliarono (mi sembra si chiamava Regassassin, che scaricai free da internet), ho pulito la chiave del registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer
    (lo puoi fare anche manualmente, ma a me capitava che poi all'accensione la ritrovavo se lo facevo a mano)

    poi ho rinominato il file casuale che a me era sotto system32 (l'ho rinominato perchè se l'operazione non dovesse andare a buon fine sembra che il virus senza il file non ti faccia vedere più le icone sul desktopo, per tanto se mi sarebbe capitato questo, mi bastava rimettere il nome giusto al file per rivedere le icone).
    Ora non so se è lo stesso virus o la stessa variante che ho avuto io...Io ci ho perso almeno 15 giorni prima di toglierlo...spero di poterti essere stato d'aiuto con questo topic...

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    "potrebbe" trattarsi del virus gromozon/variante, dai sintomi descritti... Effettua uno scan con questo tool di rimozione! Vediamo un po' cosa trova!!

    Per quanto riguarda il problema legato al file svchost.exe, "aggiornamenti automatici di windows" leggi http://support.microsoft.com/kb/932494/it!!

    :ciauz:

    0
  • V
    User

    su sto pc è un fango...il prob. dell'errore sembrerebbe risolto.. ma adesso nn so xkè kon task manager ho utilizzo pc ke varia da 5% a 98% di colpo .. mi va lentissimo, in+ nn mi prende + lettere tastiera.. kosa posso aver pigiato/fatto? ah cmq nn si tratta di gromozon

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    tra i processi del task manager, c'è per caso "hldrrr.exe"???
    Che Anti-Virus usi???

    0
  • V
    User

    sto usando kaspersky in trial..possibile ke sia antivirus ke x sbaglio ho negato qualke processo e non fa andare tastiera? xkè inn modalità provvisoria mi va.. cmq nn ho qel processo

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Vivy90,
    scarica la versione trial di Virit; aggiornalo ed avvia uno scan "in modalita' provvisoria". Al termine posta nel forum "il log"!

    Ti consiglio anche uno scan con Ad-Aware e SuperAntispyware ovviamente "aggiornati"!

    Al termine delle scansioni prova ad avviare hijackthis! 🙂

    0
  • V
    User

    Ciao, nn ho + postato da qualche giorno a causa di un altro problema... adesso quando avvio il pc nn appare niente sul dekstop e neanke la barra delle applicazioni, avete qualche idea sul daffarsi?

    0
Effettua l'accesso per rispondere