Trojan.dialer e Restore di sistema.(Risolto)

Csn61

Csn61

Digital-Forum Master
Registrato
23 Dicembre 2004
Messaggi
931
Località
Como
Buongiorno a tutti.

Un amico mi ha chiesto di dargli una mano a togliere l'infame sopra descritto dal suo Toshiba Satellite.

Ho già fatto di tutto , scansione diretta con NAV2005 , scansione da rete con Kasp 6.0 (trovato trojan.downloader e neutralizzato) , gli ho tolto anche le "mutande" da HijackThis ma....al riavvio è sempre lì in bella mostra in mezzo al desktop "XXX e solite str***ate" che si ricrea connessione remota PSTN e pagina di explorer pronta per l'utilizzo...GGGRRRRRRR....

L'unica cosa che non ho fatto è stato quella di disabilitare la RESTORE di sistema , credevo di riuscire a farcela lo stesso.

Adesso devo farlo per forza.

La domanda che Vi pongo è la seguente :

Se io disabilito la restore su tutte le unità e debello l'infame (SPERO) , posso ancora riabilitare la restore o devo continuare a tenerla disabilitata ???

Ringrazio anticipatamente per eventuali risposte.

Csn61.
 
E' obbligatorio disattivarlo altrimenti i virus non si levano.

Poi lo puoi ripristinare ,ma tieni conto che nel momento che lo disattivi perdi tutti i punti di ripristino. ;)
 
Grazie ERCOLINO.

Credo sia contento anche il mio amico (chiaro che lo contatto prima) di perdere la possibilità di ripristino piuttosto che formattare la macchina.

Grazie per la conferma :icon_wink:
 
dcomcfg.exe....se becco chi lo ha fatto glielo faccio mangiare VIVOOOOOOOOO !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Percorso : CONFLICT.1
Destinazione : Program Files\CONFLICT.1\AUTO_301_N.exe (WinMoviePlugin)

disabilitato RESTORE
disattivato modem PSTN
pulito temp e temp IE
tolto voci con HiJack-This
Tolto la start-page

Stai a vedere che è quell'infame di NAV2005 che gli stende il tappetino rosso :mad:
 
C'è ancora st'infame , si è rinominato e dai processi nn riesco a capire che nome abbia preso...si ricomincia daccapo

BECCATO

con il suo nome originale AUTO_301_N.exe

http://www.1987324.com/?301

Si continua a rinominare anche l'applicazione : da WinMoviePlayer a W1inMoviePlayer.....MO LO SPACCO :mad:
 
Ultima modifica:
Se riesci mettimi il log sul forum.

Controlla in system32

Controlla se nel log c'è anche questa

spoolsvc.exe da non confonderla con un 'altra molto simile si trova sempre in system32

Usa anche Questo
 
Logfile of HijackThis v1.97.7
Scan saved at 0.44.18, on 04/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\TCtrlIOHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\Documents and Settings\ai\Dati applicazioni\ratorefaci\sysrtmvs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\ai\Dati applicazioni\Tack.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Documents and Settings\ai\Documenti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?301
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\system32\comcap16.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programmi\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TCtryIOHook] c:\WINDOWS\System32\TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\ei\Dati applicazioni\ratorefaci\sysrtmvs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Alice (HKCU)
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: *.aflashcounter.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.xxx-content.name
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CFBD3D-C98B-4A39-8D91-07F53D9C5EA7}: NameServer = 212.216.112.112,212.216.172.62
 
Ci avrei scommeso che lo trovavo nel tuo pc spoolsvc.exe :)

Cancellare

C:\WINDOWS\system32\spoolsvc.exe

Attento che c'è ne uno molto simile come nome ma quello è ok

C:\WINDOWS\system32\dcomcfg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?301



Disattivare nel task manager ed eliminare

O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe

eliminare

O15 - Trusted Zone: www.1987324.com

O15 - Trusted Zone: www.adslconnection.name

O15 - Trusted Zone: www.sgrunt.biz

O15 - Trusted Zone: www.softlab.name

O15 - Trusted Zone: www.xxx-content.name


Disattivare nel task manager e eliminare

O4 - HKLM\..\Run: [aouei] C:\Documents and Settings\ei\Dati applicazioni\ratorefaci\sysrtmvs.exe



Cancella tutto eventualmente in modalità provvisoria.

Sicuramente non avevi cancellato tutto quello che ti ho segnalato e si rigenerava.


Notte a domani ;)
 
TNK ERCOLINO

ECCELSO come al solito :D

'Notte anche a te
 
Elimina pure

O2 - BHO: (no name) - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\system32\comcap16.dll

O2 - BHO: (no name) - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll

Sono due virus
 
Fatto tutto e tutto è filato liscio senza neanche riavviare in provvisoria.

Di nuovo un GRAZIE ad ERCOLINO. :D :D :D
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso