| Autore |
 Discussione  |
|
|
Daisy
New Member
49 Messaggi |
 Inserito il - 13/08/2006 : 11:54:36
|
Da qualche giorno sono alle prese con un trojan (Win32:Agent-gen) che Avast mi ha rilevato in C:\WINDOWS\jxxey.dll e che ho momentaneamente spostato nel cestino dell'antivirus.
Sono forse collegati a questo trojan altri avvisi quasi quotidiani di Avast, che mi segnala sempre nella stessa cartella C:\WINDOWS la presenza di altri Win32:Agent-gen[Trj] (che puntualmente cancello tramite Avast) ogni volta con nome diverso ma sempre con estensione .tmp?
Per eliminare il file jxxey.dll dal cestino di Avast procedo nella stessa maniera? Datemi qualche dritta... non sono pratica ed ho un pò timore di combinare pasticci!
Questo è il log di hijackthis: htt*://freefilehosting.net/?id=rdnxlKvd8w==
P.S: Può essere collegato alla presenza di questo trojan un problema che rilevo da qualche giorno con IncrediMail ad ogni apertura del programma, il quale si chiude da solo dopo circa 20 secondi?
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 13/08/2006 : 21:02:33
|
devi installare un firewall, jetico nella mia firma va benissimo
fixa questi
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {CFF645FB-AEC4-C523-09AF-5D8300808937} - C:\WINDOWS\jxxey1.dll (file missing)
O4 - HKLM\..\Run: [jyrn1.exe] C:\WINDOWS\TEMP\jyrn1.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
e scansiona con virit aggiornato alla fine.. |
 |
|
|
Daisy
New Member
49 Messaggi |
Inserito il - 13/08/2006 : 21:23:46
|
Si, sul firewall mi stavo attrezzando...
Fino a poco tempo fa utlizzavo Zone Alarm (lo trovavo abbastanza semplice e non mi dispiaceva la versione in italiano...), ma poi ho avuto dei problemi (forse per dei conflitti con Avast) e l'ho disinstallato. Stavo prendendo in considerazione Outpost, anche se in inglese mi sembra che imposti automaticamente alcuni settaggi per i programmi più diffusi. Che giudizio mi date su questo firewall? Anche se ho letto da qualche parte che la versione free non verrà più aggiornata può andare bene lo stesso? Non è mica un antivirus...
Per quanto riguarda i fixaggi non ho capito a cosa servono... Cancella i files dal sistema?
Installando virit potrei avere dei conflitti con Avast? Con questo antivirus mi trovo molto bene e non ho intenzione di rinunciarci!!! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 13/08/2006 : 21:57:07
|
| nessun conflitto di virit, hijack non cancella nulla, e jetico é il migliore che c'é anche perché free.... |
|
|
|
Daisy
New Member
49 Messaggi |
Inserito il - 13/08/2006 : 22:20:11
|
Sapevo che tenere 2 antivirus contemporaneamente crea problemi... Invece posso tenerli tutti e due? E comunque virit è uno shareware o sbaglio?
Cortesemente mi puoi spiegare a cosa serve fixare quei files con hijack? 
|
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
 Inserito il - 13/08/2006 : 22:30:46
|
Citazione:
Messaggio inserito da aris73
e jetico é il migliore che c'é
Perchè? |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 14/08/2006 : 10:19:05
|
per ped, ha superato 9/10 del dei lake test, e poi é gratis......
per daisy, puoi anche tenere due antivirus, virit ha un periodo di prova scaduto il quale alcune funzioni si disattivano ma lo puoi tenere sempre per scansionare, con hijack fixando interrompi i processi |
|
|
|
Daisy
New Member
49 Messaggi |
Inserito il - 16/08/2006 : 14:28:16
|
Ok Aris, grazie!
Stamattina ho proceduto secondo le tue indicazioni e mi sembra che tutto sia a posto (magari è un pò presto per dirlo, ma spero di avere risolto). Anche l'antivirus non mi segnala nulla...
Per quanto riguarda IncrediMail ho risolto con una riparazione, seguendo la procedura di "installazione applicazioni" dal pannello di controllo. Magari non c'entrava nulla con il trojan...
Un'ultima domanda (magari banale): posso ora cancellare definitivamente il trojan dal cestino dell'antivirus ed i files fixati con hijack dalla lista dei backups? |
|
|
|
Ohm
Moderatore
Città: Nazza lo sa...
810 Messaggi |
Inserito il - 16/08/2006 : 16:54:34
|
Ti rimando alla lettura sul mio post in questa sezione "LinkOptimizer".
Dai un occhio a questo link:
htt ://[www].viritpro.info/articoli/rootkit_d-e.htm
C:\WINDOWS\jxxey.dll
C:\Windows\temp\jyrn1.exe [guarda che forse ne hai un altro però nascosto]
Controlla la chiave [start-->esegui-->regedit] hkey_local_machine-->software-->microsoft-->windows-->current version-->Run se sia presente la stringa jyrn1.exe.
Controlla se in Installazione applicazioni trovi la voce Linkoptimizer.
Vai in pannello di controllo strumenti di amministrazione-->Gestione computer-->Utenti e Gruppi Locali-->Users e guarda se trovi una cosa del tipo .\XXXXXXXX (dove xxxxxxx sono caratteri alfanumerici)
In questo caso ti rinnovo il consiglio di visitare il link sopra citato
Ciao
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/08/2006 : 18:00:19
|
| fai come detto da omega tanto per essere sicuri, se rilevi qualcosa ce lo fai sapere e vedremo il da farsi... |
|
|
|
Daisy
New Member
49 Messaggi |
Inserito il - 17/08/2006 : 17:15:00
|
Ahimè!!! 
Ieri sembrava tutto ok, ma oggi, poco dopo l'aggiornamento di Avast, ho eseguito un'altra scansione e mi è stata segnalata di nuovo la presenza di un trojan Win32:Agent-gen dentro la cartella WINDOWS (l'ho eliminato direttamente con Avast) ed anche di jyrn.exe nella cartella Temp di WINDOWS (l'ho spostato nel cestino di Avast). Sono quindi tornata sul forum per richiedervi assistenza ed ho trovato i vostri suggerimenti.
Allora:
- I files jxxey.dll e jyrn1.exe sono ancora nel cestino di Avast e non ne vedo traccia da nessuna parte in "C".
- Nella chiave di registro indicatami non trovo jyrn1.exe.
- In "Installazione applicazioni" ho trovato Linkoptmizer!!! 
- In "Gestione del computer - Users" la situazione non mi è chiara! Ho trovato una serie di caratteri non seguiti da descrizione... è qualcosa di sospetto? Ci date un'occhiata?
htt*://freefilehosting.net/?id=rdnwkanb8A==
A questo punto ho eseguito una scansione con Virit che mi ha segnalato questi due avvisi:
htt*://freefilehosting.net/?id=rdnwkanb8w==
htt*://freefilehosting.net/?id=rdnwkanb/Q==
(che ho entrambi inviati per il controllo) e un altro Trojan.Win32:Agent.AEA (che mi ha rimosso automaticamente)! Al termine ho rieseguito la scansione con Avast e Virit e non mi segnalano più nulla.
Questo è il log della situazione attuale di hijack: htt*://freefilehosting.net/?id=rdnwkanb/A==
Sono nei pasticci, vero? Ho dato un'occhiata ai links segnalati da Omega... Formattare è l'unica soluzione? A quali danni posso andare incontro se lascio agire il trojan ancora nel pc? |
|
|
|
Daisy
New Member
49 Messaggi |
Inserito il - 17/08/2006 : 23:22:33
|
Sono ancora bloccata in attesa di soccorsi!!! Intanto posso aggiungere alcune informazioni...
Eseguendo la scansione in modalità provvisoria con Avast e Virit non mi viene segnalato nulla.
Alla scansione all'avvio in modalità normale Virit mi segnala sempre due avvisi.
Il primo è sempre uguale \\?\C:\WINDOWS\SYSTEM32\COM1.TEZ, che non riesco a trovare da nessuna parte in C, neanche nei files nascosti.
Il secondo è un .EXE che cambia nome ad ogni riavvio del pc, ma è sempre indicato in C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED e lo trovo nei files nascosti. Nella stessa cartella rimangono visualizzabili come files non nascosti tutti gli .EXE creati precedentemente. Il più vecchio di questi .EXE porta la data del 6/8, data in cui credo di avere beccato il trojan.
Facendo ulteriori controlli sul pc ho individuato questo servizio che parte in automatico: htt*://freefilehosting.net/?id=rdnwkaXd9Q== che si collega a quello che avevo ravvisato in "Gestione computer": htt*://freefilehosting.net/?id=rdnwkaXa/Q==
Adesso resto in attesa dei soccorsi, non sono pratica e come dicevo all'inizio ho paura di far danni! |
|
|
|
Daisy
New Member
49 Messaggi |
Inserito il - 18/08/2006 : 21:03:45
|
Visto che siete tutti in ferie (beati voi  ), mi sono fatta coraggio e mi sono rimboccata le maniche...
Tanto dalle mie parti si dice che più buio di mezzanotte non possa fare! 
Ho seguito la procedura della guida indicatami da Omega e VirIt mi ha rimosso il Trojan.Win32.Agent.AEA (situato in C:WINDOWS\system32\mcaa.dll), il Trojan.Win32.Rootkit.E (situato in .\\?\C:\WINDOWS\system32\com1.tez) e infine BHO.IEPlugin.E (situato in C:\WINDOWS\jxxey1.dll).
Ho spento e riacceso diverse volte il pc, e alla scansione all'avvio VirIt non mi segnala più nulla (questo è il log di Hitjack che mi sembra pulito: htt*://freefilehosting.net/?id=rdnwl6nd9g==), e ho dato anche una ripulita a "C" ed al registro con CCleaner, sia in modalità normale che provvisoria.
Però nell'elenco di "Installazione applicazioni" è ancora presente il maledetto LinkOptimizer,
nell'elenco dei servizi mi compare ancora quello incriminato (anche se l'ho disabilitato) ed in "Account utente" mi compare ancora l'utenza creata dall'infezione.
Ora chiedo a voi esperti:
- Posso rimuovere manualmente l'utenza che ancora visualizzo? O magari reimpostarne la password?
- Posso disattivare il servizio ancora in elenco dalla scheda connessione? Al momento è solo
disabilitato nella scheda generale...
- Posso rimuovere LinkOptimizer direttamente da "Installazione applicazioni"? Magari in modalità provvisoria?
Il pc non ha più quei rallentamenti che avevo notato spesso, a volte riavviavo addirittura. Ed anche durante la navigazione con Firefox non mi viene più segnalato un avviso che prima era molto frequente: "Shockwave Flash - Il Plugin ha eseguito un'operazione non valida - Si raccomanda di riavviare Firefox".
Che dite? Durerà da Natale a S.Stefano?
Altri suggerimenti? |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 19/08/2006 : 18:30:25
|
fai tutto manualmente, io non ci sono stato perché non riesco più a connettermi da casa al forum.....???ancora devo capire il perché..e dopo prova ad utilizzare questo virgolettando nelle opzioni di scansione rileva rootkit..ZeroSpyware Free (adware, malware, spyware) htt*://[www].download[.com]/3001-8022_4-10549969.html?idl=n
altro che ferie.... |
|
|
|
Daisy
New Member
49 Messaggi |
Inserito il - 20/08/2006 : 14:59:48
|
Rieccomi! 
Ho avviato il pc in modalità provvisoria, ho rimosso l'utenza maligna e disattivato il servizio creato da linkoptimizer. Poi ho provato a disinstallare linkoptimizer da "installazione applicazioni", ma appena ho cliccato su "Cambia/Rimuovi" mi si è aperta una pagina internet (notetol[.com]/uninstall.php) e ovviamente ho chiuso tutto... Per fortuna che la mia connessione internet non era attiva, perchè subito dopo ho avviato la scansione con ZeroSpyware (con selezionata l'opzione "scan for rootkit") e mi ha subito avvisata che: "Internet Explorer home page modification detected" ed ho bloccato l'intrusione.
ZS non mi ha comunque segnalato altri problemi.
Tutte le successive scansioni effettuate con Virit, Avast, Ad-aware, Spybot ed anche il log di Hijack htt*://freefilehosting.net/?id=rdnwlaXb9w== sono puliti, ma non capisco se sono definitivamente fuori dal problema... staremo a vedere.
Intanto un grosso ringraziamento per i vostri suggerimenti, senza le vostre dritte non avrei saputo proprio dove mettere le mani!  |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 20/08/2006 : 17:51:06
|
devi fixare questo nel log
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
e ricordati d'installare il firewall, jetico lo trovi nella mia firma.... |
|
|
| |
Discussione |
|
Eliminare trojan
Forum Bloccato
