| Autore |
 Discussione  |
|
Zep65it
New Member
38 Messaggi |
 Inserito il - 06/09/2006 : 23:58:49
|
|
Paolo, ho aperto una nuova discussione per il tuo problema, si trova qui: htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=6813 |
Modificato da - ori in data 07/09/2006 09:02:57 |
 |
|
|
Davyxx
New Member
37 Messaggi |
Inserito il - 07/09/2006 : 10:42:59
|
Ciao a tutti, è la prima volta che scrivo su questo forum..
io ho un problema, anzi per dirla tutta ho 2 problemi:
- Il prima è che mi compare la finestra di errore in SYSHOTS.DLL 
- Il secondo è che il pc infetto da questo errore è un po' vecchiotto, con windows millenium, senza una scheda di rete senza la possibilità di collegarmi ad internet e senza la possibilità di mettere un pennino USB(ovviamente perchè vuole i driver).
Mi sono letto i post precedenti e ho capito che devo utilizzare Hijackthis per poi creare un file di log e postarlo qui. Ma non riesco ad eseguire Hijackthis perchè appena accendo il pc mi compare subito la finestra di errore in SYSHOST.DLL e non mi fa fare altro che premere su chiudi(per un numero infinito di volte). Ho provato a farlo partire in modalità provvisoria così potevo ovviare il problema di SYSHOST.DLL , solo che non mi vede il masterizzatore (che tra l'altro è l'unico modo che ho per mettere Hijackthis nel pc).
Ecco, questo è il succo dei miei problemi da ieri ad oggi.
Con la speranza che qualcuno mi aiuti...
Saluti a tutti!!! (o come si dice dalle mie parti: "SALUTI E BACI, NI VIREMU A GHIACI") |
Modificato da - Davyxx in data 07/09/2006 10:43:54 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/09/2006 : 19:25:10
|
| prova a scansionare con virit, aggiornato lo trovi nella mia firma, vediamo se c'é qualcosa d'infetto... |
|
|
|
Tano
New Member
42 Messaggi |
 Inserito il - 07/09/2006 : 19:33:33
|
Ciao a tutti !
Forse ora sono riuscito a mandare un messaggio.
Aris scusami ma ti ho scritto un e-mail per un aiuto.
Grazie dell'eventuale aiuto |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/09/2006 : 19:44:21
|
| apri una discussione tua, purtroppo al momento non ho accesso a quell'idirizzo di posta, noie col server, e esponi il tuo problema... |
|
|
|
Tano
New Member
42 Messaggi |
Inserito il - 07/09/2006 : 19:48:41
|
| ok grazie.. |
|
|
|
triade
Senior Member
126 Messaggi |
Inserito il - 11/09/2006 : 10:12:54
|
Ciao ragazzi, io ho lo stesso problema sul pc di un'amico, ho fatto tutto quello descritto da aris anche se ho ricolto in parte cancellando il file service32 come consigliato da Alessia, ho fatto la scansione con tutti i programmi che con avete consigliato. avg free mi ha trovato 7 trojan ecc.... ma uno non riesce a cancellarlo. questo è il log di hjt ce qualcosa ?
grazie anticipatamente
htt*://[www].uploadtemple[.com]/view.php/1158565895.txt |
Modificato da - ori in data 18/09/2006 09:52:27 |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 11/09/2006 : 11:29:39
|
Bè direi che non è un Log molto pulito...allora comincia a Fixare questi:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://[www].acer[.com]/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe <-- Se non conosci Fixa
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
Se non erro questa è una traccia di Link Optimizer:
R3 - Default URLSearchHook is missing
Vai su installazzioni e applicazzioni e se vedi una voce che si chiama Link Optimizer segui questa guida:
htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=6861
Fammi sapere come và a finire 
P.S -> Una volta fatto tutto posta un nuovo Log di Hijackthis ma questa volta in maniera corretta ! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 11/09/2006 : 18:08:30
|
| e scansiona con virit aggiornatio e in modalità provvisoria... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 11/09/2006 : 20:06:59
|
Il nostro amico triade è infetto da Link optimizer rootkit per questi motivi:
nel log mancano i processi
Linee identificative nel log:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {429E37C4-F981-4EDD-5226-FD348783B192} - C:\WINDOWS\DGYQI1.DLL(libreria dinamica con 5 caratteri random seguiti da 1) il cuore del rootkit.
Facciamo attenzione a questi elementi ogni volta che esaminiamo un log.
Per l'eliminazione prova questa rimozione manuale :
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6861
oppure i seguenti tool automatici:
htt*://[www].prevx[.com]/gromozon.asp
htt*://[www].sophos.it/products/free-tools/sophos-anti-rootkit.html
htt*://[www].softpedia[.com]/get/Antivirus/BitDefender-RootkitUncover.shtml
htt*://[www].f-secure[.com]/blacklight
Ciao.
|
|
|
|
triade
Senior Member
126 Messaggi |
Inserito il - 13/09/2006 : 09:30:02
|
Ciao ragazzi, come prima cosa volevo dirvi che il pc ha come sistema operativo WINME purtroppo alcuni software (Bitdefender, Sophos Anti-Rootkit) non partono perchè mancano alcune DLL o perchè il software non gira su WINME, ho provato la precedura descritta qui htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6861 ma non riesco a trovare in regedit "BHO". e la cartella "LINK-optimizer" non ce in c prograami come mai? Vi posto il nuovo log di HJT dopo i consigli di "Er Gladiatore"e nel frattempo cerco di aggiornare i software che mi avete cosigliato e controllo tutto in modalità provvisoria. l'unica software che mi trova un trojan è AVG ma non riesce a cancellarlo.
Grazie
htt*://[www].uploadtemple[.com]/view.php/1158565984.txt
|
Modificato da - ori in data 18/09/2006 09:53:47 |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 13/09/2006 : 09:54:11
|
Probabilmente la guida non ha funzionato perchè sei su Windows ME, la procedura credo sia più o meno uguale ma io usavo XP ed ora uso Linux
Comunque ho trovato una bella guida per la rimozione del rootkit è anche per Windows ME (Non sò se aris o michel l'hanno già postata e se l'hanno fatto chiedo scusa perchè evidentemente ho prestato poca attenzione):
Clicca qui !
Guardala bene, mi sembra che stia scritto molto in basso la procedura di WinME ma leggiti tutto fà sempre bene un pò di allenamento...
Quasi dimenticavo...la voce "R3 - Default URLSearchHook is missing" se nè andata e già è una cosa molto positiva devi solamente levare la O2 - BHO incriminata una volta seguita la guida che ti ho postato posta anche un nuovo Log sul forum e vediamo se hai risolto...
Facci sapere, mi raccomando non ti arrendere  |
Modificato da - Er-Gladiatore in data 13/09/2006 09:54:53 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 13/09/2006 : 23:17:47
|
Il log, come gia avevo detto, era incompleto per cui non è stato possibile risalire al sistema operativo.
A questo punto la rimozione possibile è solo quella manuale.
La cartella di linkoptimizer non c'è perche il maleware l'ha resa invisibile con il rootkit.
Quindi bisogna trovare e rimuovere la dll.
Prova a fare una scansione con questo:
htt*://[www].sysinternals[.com]/Utilities/RootkitRevealer.html
se funge(è stato ideato per sistemi NT) posta i risultato.
Ciao:
Per Glad,non è strano che non trovi la BHO pur essendo segnalata nel log?
eventualmente non puoi suggerire qualche percorso?
Grazie. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 14/09/2006 : 10:10:39
|
| non é strano che il log sia incompleto, in quanto ha win ME, e hijack per quel SO non rileva tutto.... |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 14/09/2006 : 13:38:41
|
No Michel non ho altri percorsi da suggerirgli e infatti mi sembra strano che non trovi la BHO ma non conoscendo Windows ME non sò come comportarmi, ho letto in qualche forum che anche con lì'aiuto di BHODemon la BHO creata da Link Optimizer non se và, ma possiamo provarci lo stesso:
Scarica ed installa questo htt*://[www].ilsoftware.it/querydl.asp?ID=798 avvialo da provvisoria ed elimina questa BHO:
O2 - BHO: Class - {429E37C4-F981-4EDD-5226-FD348783B192} - C:\WINDOWS\DGYQI1.DLL
Una volta fatto posta un nuovo Log !
Però facci sapere come và... |
Modificato da - Er-Gladiatore in data 14/09/2006 13:39:22 |
|
|
|
Discussione |
|
syshost.dll procedere come?
Forum Bloccato
