| Autore |
 Discussione  |
|
bilambda
Junior Member
57 Messaggi |
 Inserito il - 30/09/2006 : 16:00:27
|
ciao,
sono nuovo del forum e vorrei chiedere il vostro aiuto per rimuovere un trojan, kaspersky me lo rileva e lo neutralizza ma ad ogni riavvio compare nuovamente, il suo nome è Trojan.Win32.Agent.rk e compare sempre nella cartella
C:\Programmi\File comuni\Services\***.exe (ho messo gli asterischi perchè ogni volta cambia nome)
invio il log di hijackthis premetto che ho già provato ad usarlo ma evidentemente non ho eliminato tutto quello che dovevo, sono riuscito a riconoscere solo questo come potenziale file da fixare:
"O4 - HKLM\..\Run: [hwea1.exe] C:\WINDOWS\Temp\hwea1.exe"
ma una volta fixato è riavviato il pc il problema si è ripresentato.
spero ci sia qualcuno che mi possa aiutare............
htt*://[www].uploadtemple[.com]/view.php/1159624413.zip
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 30/09/2006 : 20:27:03
|
Hai Link optimizer vai qui e procedi con i tool:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6977
Ciao. |
 |
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 01/10/2006 : 18:12:13
|
| se non dovessero funzionare utilizza questo htt*://smallbiz.symantec[.com]/security_response/writeup.jsp?docid=2006-092316-4153-99 |
|
|
|
bilambda
Junior Member
57 Messaggi |
Inserito il - 02/10/2006 : 18:35:10
|
grazie michal per le info ma niente da fare.....o meglio sono riuscito a rimuovere il trojan e tutte le cose che si erano annidate in c:\programmi\file comuni\services ed in effetti l'antivirus non mi segnala più nulla ma ho ancora problemi con i privilegi di amministratore, l'anti rootkit della sophos mi segnala ancora una voce del registro ed in più mi dice che non ho sufficenti diritti d'accesso al pc..quando lancio il rootkit della f-secure si blocca ed esce un messaggio che mi avvisa del fatto che non ho i privilegi di amministratore per eseguire il programma ed infine hijakthis non parte, appena lanciato si chiude da solo, neanche in modalità provvisoria ci sono riuscito, ora provo ad utilizzare il software seganlato da aris73, speriamo bene  |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 02/10/2006 : 18:50:59
|
poi se non dovessi risolvere
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 02/10/2006 : 19:43:03
|
Se vuoi ti consiglio io qualcosa...
Come primo programma ti consiglierei a2 Free 2.0 (a-squared) che scarichi da htt*://[www].emsisoft[.com]/en/software/download/
Ti posso assicurare che contro trojan, dialer e spyware è una bomba  .
Un altro programmino, è WinPatrol, che trovi in versione 9.8 in italiano, e 10.0 in inglese.
htt*://[www].winpatrol[.com]/download.html
Divertentissimo! Ti posiziona, sulla barra delle applicazioni un cagnolino (Scotty, il guardiano di Windows) 
A parte i particolari frivoli, lo installi, lo apri, vai sulla lista dei programmi di avvio, trovi l'applicazione virale, e clicca rimuovi. Su una finestra ti informerà che Scotty la eliminerà al prossimo riavvio. Così l'applicazione viene tolta non subito, ma bloccata all'apertura di Windows.
Fammi sapere e Buona fortuna! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 02/10/2006 : 20:45:43
|
| pensi che se fosse stato così facile rimuovere link optimizer ci sarebbero milioni di utenti disperati e centinai di forum intasati da questo "problema"... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 02/10/2006 : 21:09:47
|
Per Floatman
Se vuoi approfondire le tue conoscenze con chi abbiamo a che fare ti consiglio di leggere la discussione sugli invisibili:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6481
link optimozer:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6608&SearchTerms=linkoptimizer
Ciao.
|
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 02/10/2006 : 21:38:59
|
E' pauroso 
Scusate la banalità del mio intervento |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 02/10/2006 : 23:31:22
|
Il tuo intervento anche se banale, dovuto probabilmente alla poca esperienza, è comunque apprezzabile in quanto espressione della tua volontà collaborativa.
Grazie. |
|
|
|
bilambda
Junior Member
57 Messaggi |
Inserito il - 03/10/2006 : 00:59:33
|
grazie per l'aiuto ragazzi ma ancora niente
anche il tools della symantec ha fatto un buco nell'acqua 
spero di riuscire con il secondo suggerimento di aris73 ......ma dovrò scaricare il tutto da un altro pc, come mi collego al sito di botto si chiude firefox  ...mi risulta difficile anche fare ricerche in rete, ogni volta che inserisco parole tipo hijackThis o di altri tools devo ricominciare perchè si chiude il browser,
non riesco più a leggere i log vecchi di hijakThis (solo cambiandoci nome posso farlo) figuriamoci a farne uno nuovo (percui aris73 dubito di poterlo fare il log col nuovo programma che mi hai suggerito).
avevo pensato di provarci x vie traverse utilizzando bartpe ma in quello che mi ero preparato un po di tempo fa non avevo il plugin di hijack per cui niente da fare....
grazie x l'aiuto.....vi farò sapere com'è andata  |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 03/10/2006 : 15:12:46
|
forse hai beccato la variante più rognosa...ma il tool symantec dovrebbe fungere... attendiamo tue notizie, io nel frattempo continuo a fare ricerche...
x floatman, non c'é alcun problema perché come già sottolineato da michal sei stato spinto dalla volontà di collaborare... |
|
|
|
bilambda
Junior Member
57 Messaggi |
Inserito il - 03/10/2006 : 19:10:58
|
rieccomi...purtroppo con il problema ancora presente
il nuovo tool (gmer) che mi avevi segnalato aris73 non riesco ad eseguirlo.
Dopo una ricerca più approfondita fra i servizi di windows attivi ho trovato forse quello che mi sta creando tutti i problemi, avevo già individuato questo HYBRTGAL con eseguibile (HYBRTGAL.exe) ma sono riuscito con i vari tools a rimuoverlo insieme a tutto quello presente C:\Programmi\File comuni\Services ma non mi ero accorto della presenza di quest'altro servizio che secondo me andrebbe rimosso, SmartLinkService con file eseguibile (slserv.exe) ..ho visto bene? questo servizio non è di windows giusto? cercando l'eseguibile con la funzione cerca mi trova il file in questi percorsi C:\WINDOWS\system32 e C:\WINDOWS\system32\dllcache (quest'ultimo scritto in blu) ...devo eliminarli entrambi o uno solo? o magari nessuno 
altra cosa notata, sophos rootkit mi rilva questa voce di registro HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 (non rimovibile)
inoltre ogni qualvolta vado in modalità provvisoria esce un messaggio in fondo al monitor per pochi secondi che dice "Press ESC cancel loading a347bus.sys" ..se non lo faccio non vado in provvisoria e il pc si riavvia normalmente (prima non mi sembra che dovevo far questo per entrarci non è che sia tanto avvezzo a queste cose ) ....o magari sto dicendo delle fesserie!!!!!!
voi che dite c'è modo di risolvere o mi resta la soluzione ULTIMA!!!! (FORMATTARE) anzi no! penultima  quella ultima è buttare il pc nel cassonetto
grazie a tutti |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 03/10/2006 : 19:36:10
|
| tutto quello che presenta una scritta di un altro colore é sempre un pò preoccupante....vai di nuovo quì che ho aggiunto qualcosa...htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6977 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/10/2006 : 20:52:08
|
Calma e sangue freddo, a formattare c'è sempre tempo.
fai queste operazioni in mod. provvisoria se possibile.
Disinstalla il programma java. in seguito installerari la versione 5.0
Fixa:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E8E4768C-2F9D-0BAE-D691-6FD283EA03CA} - blank (file missing)
O4 - HKLM\..\Run: [hwea1.exe] C:\WINDOWS\Temp\hwea1.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - blank (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - blank (file missing)
Vai nel pannello servizi: start\pannello dicontrollo\strumenti amministatore\servizi e disabilita i servizi sospetti:tasto destro sul servizio\proprietà\disabilita
Incomincia a rimuovere i servizi individuati: lancia HJT
"open the misc tool section" delete an NT service inserisci il nome.
elimina gli eseguibili associati
"delete file on reboot " inserisci nome.
Stessa soluzione per eliminare altri file strani.
Facci sapere. |
|
|
|
bilambda
Junior Member
57 Messaggi |
Inserito il - 05/10/2006 : 16:03:22
|
rieccomi dopo una giornata di pausa...gli impegni erano troppi ieri
...sono riuscito finalmente a procurarmi il plugin per bartpe di HijckThis cosi ora potrò finalmente mettere in atto i vostri consigli!!!!!!!
speriamo bene, vi farò sapere al più presto |
|
|
|
Discussione |
|
Trojan.Win32.Agent.rk
Forum Bloccato
