prgrmmi indesiderati come sgrunt.biz e che non si eliminano

[Pinchas06]

Dall'esito della periodica nalisi che faccio con ADware ho scoprto l'esistenza di oggetti critici che pero' il programma non riesce ad eliminare.
Ho letto il vs forum mi sono iscritto (e' il primo a cui partecipo, e mi aspetto molto sigh) ho scaricato in cartella separat hijackthis ed eseguito
il cui log alleLogfile of HijackThis v1.99.1
Scan saved at 16.55.19, on 01/02/06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMMI\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\IBMTOOLS\APTEZBTN\APTEZBP.EXE
C:\WINDOWS\SYSTEM\EZBTNMSG.EXE
C:\WINDOWS\SYSTEM\ATIKEY32.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\dmi\dos\bin\WINSL.exe
C:\PROGRAMMI\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\ATIICON.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\VPTRAY.EXE
C:\PROGRAMMI\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAMMI\WINAMP\WINAMPA.EXE
C:\PROGRAMMI\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\DSLAGENT.EXE
C:\PROGRAM FILES\FILEFREEDOM\WTM.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\TPPALDR.EXE
C:\USBSTORAGE\USBDETECTOR.EXE
C:\PROGRAMMI\IBM\APTDESK\MVSLOADR.EXE
C:\PROGRAMMI\BNL MULTISERVIZI\MULTICERTIFY CLIENT\MLSPROXY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\Programmi\IBM\Aptdesk\mvdz1exe.exe
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vivacity.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Vivacity
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__P9HEPQKBJ.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NomdCheck] C:\RealTime\Setup\naudiort\None\nomdchek.exe
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [Ezbtnmsg] c:\windows\system\ezbtnmsg.exe
O4 - HKLM\..\Run: [AtiKey] Atikey32.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [DMISL] C:\dmi\dos\bin\WINSL.exe
O4 - HKLM\..\Run: [WregBios] C:\DMI\DOS\BIN\WREGBIOS.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [NORTON AUTO-PROTECT] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\VPTRAY.EXE
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programmi\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMI\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [FileFreedom_Plugin] C:\PROGRAM FILES\FILEFREEDOM\wtm.exe
O4 - HKLM\..\Run: [Gene USB Monitor] c:\windows\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - HKLM\..\Run: [Olympic] C:\WINDOWS\Application Data\sgrunt\IE4321.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAMMI\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\RTVSCN95.EXE
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\DEFWATCH.EXE
O4 - Startup: Avvio effetti del desktop.lnk = C:\Programmi\IBM\Aptdesk\MVSLOADR.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Multicertify Proxy.lnk = C:\Programmi\BNL Multiservizi\Multicertify Client\MlsProxy.exe
O4 - Startup: PowerReg Scheduler V3.exe
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.vivacity.it
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - http://www.grokster.com/rdx/RdxIE.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.243.154.62,195.31.190.31


go fisserei le seguenti righe.
(Uso Windows 98 e explorer 5 ed in modalita provvisoria non trovo nulla)

quelle con
_p9hepqkbj.exe
atip.exe
sgrunt
le tre trusted zone
Grazie per gli attesissimi consigli

[Luke57]

Ciao, 1. scarica CWshredder da qui http://www.trendmicro.com/ftp/products/ ... redder.exe
e mettilo in una cartella permanente (non temp...)
Scarica killsgrunt da qui
http://www.francydelorenzi.it/Sicurezza ... illsgrunt/
Scarica deldomains da qui:
http://www.mvps.org/winhelp2002/restricted.htm
scompatti il file zip e metti il file.inf nel desktop
Scarica Stinger 2.5.9. da qui:
http://vil.nai.com/vil/stinger/

Avvia il sistema in modalità provvisoria (tasto F8 dopo l'avvio del Bios, prima che parta Windows e poi scegli Modalità Provvisoria spostandoti con le freccette)
fai girare CWshredder (premedno il tasto fix)
Esegui Killsgrunt
Esegui del domains (click col tasto destro sul file.inf e scegli installa)
Lancia una scansione con stinger
Cerchi col taskmanager (Ctrl+lt+Canc) i seguenti processi e se ci sono terminali:
C:\dmi\dos\bin\WINSL.exe
__P9HEPQKBJ.EXE
Apri hijackthis, prmi “do a ystem scan only”, cerchi e metti il segno di spunta alle seguenti voci (speriamo che le utility scaricate ed eseguite abbiano già fatto qualcosa e che non ci siano tutte le voci)
R3 - Default URLSearchHook is missing
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SERVICES.EXE] C:\dmi\dos\bin\WINSL.exe
O4 - HKLM\..\Run: [Ezbtnmsg] c:\windows\system\ezbtnmsg.exe
O4 - HKLM\..\Run: [AtiKey] Atikey32.exe
O4 - HKLM\..\Run: [DMISL] C:\dmi\dos\bin\WINSL.exe
O4 - HKLM\..\Run: [WregBios] C:\DMI\DOS\BIN\WREGBIOS.EXE
O4 - HKLM\..\Run: [Olympic] C:\WINDOWS\Application Data\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - Startup: PowerReg Scheduler V3.exe
O13 - WWW. Prefix: http://
Tutte le voci 015
O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - http://www.grokster.com/rdx/RdxIE.cab
Premi fixchecked
Rendi visibili file e cartelle da esplora risorse cliccando strumenti>opzionicartella>visualizzazione, metti il segno di spunta a “visualizza file e cartelle nascoste”, toglilo a “nascondi file di sistema protetti”
Cerca con esplora risorse, se ci sono, i seguenti file ed eliminali:
C:\dmi\dos\bin\WINSL.exe
c:\windows\system\ezbtnmsg.exe
C:\WINDOWS\Application Data\sgrunt\IE4321.exe (tutta la cartella)
C:\WINDOWS\atip.exe
C:\DMI\DOS\BIN\WREGBIOS.EXE
vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato,
cancella i file temporanei di windows (temp e tmp)
sulle opzioni Internet cancella la cache di IE, i cookies ,svuota il cestino.
Posa poi un nuovo log di hijackthis ( le minacce sono tante e potrei aver saltato qualcosa). Con la versione 5 di IE seiin pratica un colabrodo, devi installare obbligatoriamente la 6.

[Dylan666]

Di quanto scrivi se ne è già discusso precedentemente.
Hai provato a cercare l'argomento con la funzione Cerca in alto in questa pagina prima di creare un nuovo topic (come dice la Netiquette)?

Aiutaci a mantenere il forum snello e ordinato evitando di fare domande su problemi già risolti. Anche tu risparmierai tempo evitando di aspettare che qualcuno ti risponda trovando da solo quello che cerchi fra i topic già esistenti

http://www.pc-facile.com/forum/viewtopi ... unt#217461

[Pinchas06]

Grazie molte Luke57 provvedo subito a cercare di fare quanto indicatomi.
Non traspare infatti dal mio msg iniziale la disperazione in cui sono per non
riuscire da + di 10 gg ad usare decentemente il PC per questi ... Trojan.
Dispongo di un aggiornato antivirus Norton, che mi ha appena eliminato
tre virus. Probabilmente non e' sufficiente anche se e' insieme ad ADAware. Bisogna che legga i msg di posta via browser di chi mi da il Servizio.Se no becco tanti inopportuni intrusi, ma si va cosi' piano!.

Dico a Dylan666 che e' la prima volta che mi collego ad un Forum, e non
sono abituato ad importunare chicchessia con i miei problemi, ma questa volta non ero in grado da solo di farcela. Ho letto moltissime risposte e
ho cercato di mettere in pratica quanto capito. Non conoscevo la funzione
di ricerca, ora si, ed avevo bisogno che qualcuno esperto mi valutasse il log di ijhackthis e lo adattasse al fatto che uso Windows98. Grazie molte di 'esistere'. Spero di riuscire e mettere in pratica i consigli che mi auguro conclusivi.

[Dylan666]

Da modalità provvisoria se usi HijackThis dovresti poter levare e togliere questi:

O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O4 - HKLM\..\Run: [Olympic] C:\WINDOWS\Application Data\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__P9HEPQKBJ.EXE

atip.exe NON lo levare

ezbtnmsg.exe non lo conosco

Invece è molto sopsetto pure WINSL.exe

Fai un bel windows update e metti Internet Explorer 6

[Luke57]

Ciao Pichas06, per quanto riguarda atip.exe qui ( in un caso assai simile al tuo)
http://www.wininizio.it/forum/lofiversi ... 20324.html
suggericono di eliminarlo e gli altri file, compresi quelli che non conoscevo, li ho cercati direttamente su google, cioè solo per dire che sul tuo log c'ho faticato...

[Dylan666]

atip.exe NON va eliminato! È roba della scheda video, controllarne le proprietà per credere

[Luke57]

Ciao di nuovo Pinchas06, visti i giusti dubbi sollevati da Dylan ma considerati altri rimandi sospetti a un virus vedi sotto:
questo valore
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
"sembra collegato al Win32.Tactslay Family
http://www3.ca.com/securityadvisor/...s.aspx?ID=42022
infatti il valore ridà
HKLM\Software\Microsoft\Windows\CurrentV
ersion\Run\AtiPanel = "%Windows%\atip.exe"
Il rimando l'ho ricavato da qui
http://forum.html.it/forum/showthread.p ... did=937843
Esegui, quindi, le operazioni descritte tranne quelle riguardanti atip.exe che farai analizzare qui:
http://www.virustotal.com/flash/index_en.html
basta cliccare sul link e inserire il percorso del file
C:\WINDOWS\atip.exe
sullo spazio bianco. Il file medesimo sarà analizzato da diversi antivirus per un responso che non è detto che chiarisca definitivamente le idee, comunque sarà una buona base..buon lavoro

[Dylan666]

Se vedi ci sono pure altre voci con ATI... usa chiaramente una scheda ATI e quello è lAtiPanel come dice anche il registro (gli spyware non arrivano a un tale livello di imitazione).

Senza guardare forum strani: è un file dell ATI, le proprietà lo renderanno incontestabile

[Luke57]

@ per Dylan
OK, mitico "i forum strani"

[fabrizius]

una volta che sei riuscito ad eliminarli puoi inserirli nel file Hosts in questo modo:
E' possibile bloccare gli indirizzi conosciuti come dannosi modificando questo file.

Il file di cui sto parlando, sitrova in queste posizioni:


Windows XP = C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K = C:\WINNT\SYSTEM32\DRIVERS\ETC
Win 98/ME = C:\WINDOWS

ed è un file SENZA ESTENSIONE

Per aggiungere manualmente e quindi bloccare un sito dannoso, aprire il suddetto file con il Blocco Note

E' possibile usare il file HOSTS per bloccare : pubblicità (Ads) , banners, Cookies di 3e parti, contatori di 3e parti, web bugs, e ogni dirottamento. .

Basta digitare alla fine del file Hosts PRIMA dell'indirizzo da bloccare , il numero127.0.0.1

Esempio - 127.0.0.1 ad.doubleclick.net---> bloccherà tutti i file forniti da DoubleClick Server per la pagina che stai visualizzando...
è possibile anche inserire un indirizzo completo, come 127.0.0.1 http://www.xxxxx.com

In rete è possibile scaricare un file di Hosts già pronto che contiene una lunga lista di siti considerati malevoli.

E' consigliato , prima di procedere con le modifiche, creare una copia di Backup compressa (nella stessa locazione) del file originale

NOTA FINALE:
In alcuni casi un file di HOSTS molto esteso (oltre i 135 kb) tende a rallentare il PC
(solo su XP e Windows 2000... Win 98 non ne è affetto)

[Dylan666]

Come dissi altre volte: il trucchetto di modificare il file host non lo consiglio, perché nasconde i sintomi ma non guarisce il male.

C'è un file che mi ridirige su un sito estraneo? Meglio saperlo e vederlo, accorgersene e continuare a visualizzarlo fino a quando non troviamo la causa. Quando non lo visualizzeremo più significherà che la pulizia ha avuto successo

[Franz!]

mai provato in DOS netstat -a ne vedrete delle belle... vari listening...+enstablished... :
x andare in dos da xp usate il comando start/esegui/cmd

[Pinchas06]

Ho eseguito parzialemnte quanto indicatomi, ma senza risultati.
Sono depresso.
Ho scaricato tutto meno Deldomains perche' il sito mi avvisa che 'your current security settings' (ma non so a quali impostazioni si riferisce) non
consentono il download.
Ho provato lo stesso ad eseguire; CWShredder, kill sgrunt e Sting e poi hijackthis (tutti in modalita' provvisoria).
Log risultante, molto limitato con sole tre righe di quelle indicate da checcare. Checcate e fix, sorpresa, sistema bloccato. Con l'aiuto di termina operazione ho provato a rifare. Risultato uguale.
Ho concluso con l'eliminazione dei file nascosti e ripulendo temp tmp IE.
Riattivato in modalita' normale hijackthis mi ha ridato log uguale a quello del mio primo msg di ieri.
Ho provato a checcare tutte le righe indicatemi e cliccare fix.
Sistema bloccato.
Sono ad un punto fermo.
C' e' speranza ? Sono molto depresso. Cosa si puo' fare ?
Resto in attesa di un ......salvagente, Ne ho bisogno. Grazie.

[Dylan666]

Dopo ogni modifica devi postare un nuovo log

[Dylan666]

Ops, non leggevo del sistema bloccato... termina i processi di cui levi le chiavi prima di premere fix, usando il task manager Ctrl+Alt+Canc.

Per sicurezza scarica e installa questo:
http://download.microsoft.com/download/ ... n60sp5.exe