Condividi:        

worm

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

worm

Postdi skizzetto0000 » 23/03/05 08:43

salve a tutti

ho un grave problema..

in dei pc collegati in rete ho l'antivirus ANTIVIR che rileva un worm di nome PRORIDE.AK ma nn riesce a cancellarlo.

sapete consigliarmi un soft. giusto o il modo per debellarlo?

grazie infinite.
skizzetto0000
Utente Senior
 
Post: 117
Iscritto il: 11/10/04 14:07

Sponsor
 

Postdi dany » 23/03/05 09:27

Sei sicuro di aver scritto correttamente il nome ?
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi skizzetto0000 » 23/03/05 09:39

no scusa ho sbagliato..

ora lantivirus mi trova continuamente un WIN32.TROJAN.GEN che non riesco in alcun modo a debellare


aiuto
skizzetto0000
Utente Senior
 
Post: 117
Iscritto il: 11/10/04 14:07

Postdi dany » 23/03/05 10:15

Prima di tutto hai l'antivirus aggiornato? Che antivirus hai? Hai provato a guardare sul sito dell'antivirus se c'è un tool per rimuoverlo?
Secondo installa e aggiorna spy bot e ad-aware.
Hai gli tutti gli update di windows?
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi skizzetto0000 » 23/03/05 11:45

mi spiego meglio

ho l'ANTIVIR come antivirus e sono in una rete aziendale


questo trojan si è ormai propagato in tutta la rete...abbiano scollegato tutti i pc


io in uno di questi pc ho provato a far partire il Hijackthis e ho notato che questo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.group-net.it:8080


che mi da come sospetto una volta eliminato all'avvio successivo si ricrea. che ne dici è questo?
come posso eliminarlo definitivamente?
skizzetto0000
Utente Senior
 
Post: 117
Iscritto il: 11/10/04 14:07

Postdi skizzetto0000 » 23/03/05 11:46

cmq questo è il risultato completo..

C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Windows\System32\NMSSvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\BMW_SA21\SwvInstall.exe
C:\Programmi\RealVNC\WinVNC\WinVNC.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Windows\System32\PROMon.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Windows\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\AVPersonal\AVSched32.EXE
C:\Windows\System32\ctfmon.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Windows\system32\ntvdm.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\c00033\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.group-net.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.group-net.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.group-net.it;*.group-net.de;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\System32\hkcmd.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [WCOLOREAL] C:\Programmi\COMPAQ\Coloreal\coloreal.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [UpdateSa] C:\BMW_SA21\UpdateSA3.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\Windows\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: msupdate.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: Server Control.lnk = C:\lpdserv\CTLAPP.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.pgsconnect.com/access/pgs0038.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gielle.group-net.it
O17 - HKLM\Software\..\Telephony: DomainName = gielle.group-net.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB10AEAE-DCDA-4683-B3E6-D1819D2A92C7}: NameServer = 62.180.104.130,62.180.104.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1C06C33-733D-4682-B2C6-8350C5B4CFD7}: NameServer = 62.180.104.130,62.180.104.131
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gielle.group-net.it
O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\Windows\System32\NMSSvc.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\orant\bin\Onrsd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SwvInstall - Camtec Software GmbH - C:\BMW_SA21\SwvInstall.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
skizzetto0000
Utente Senior
 
Post: 117
Iscritto il: 11/10/04 14:07

Postdi gimli » 23/03/05 12:01

skizzetto0000 ha scritto:O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.pgsconnect.com/access/pgs0038.exe

anche questo sarebbe da eliminare
"Io sono il tuo pastore, farò scorrere fiumi di sangue riconducendo a te schiere di anime perse."
gimli
Utente Senior
 
Post: 112
Iscritto il: 09/07/04 15:58

Postdi dany » 23/03/05 12:07

Prima di tutto il Log non è proprio completo, ma va bene lo stesso
Secondo non hai il firewall o non è attivo
Terzo togli tutto ciò che è in rosso ed è considerato pericoloso

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.group-net.it:8080
Sospetto E' consigliabile premere subito il pulsante Fix in HijackThis! E' consigliabile premere subito il pulsante Fix in HijackThis!

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.pgsconnect.com/access/pgs0038.exe
Sospetto Questo elemento è probabilmente sospetto. Dovrebbe essere cancellato.

i punti 017 dovresti verificare come ti viene chiesto se hanno a che vedere con il tuo provider

gli altri che ti segnala come sospetti verifica se li conosci altrimenti toglili. Compreso l'ultimo

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
Inutilmente

;)
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi skizzetto0000 » 23/03/05 12:21

elimindoli però nn mi si collega piu ad internet...

ora infatti sto scrivendo da unaltro pc...come mai? ke devo fare? :cry:
skizzetto0000
Utente Senior
 
Post: 117
Iscritto il: 11/10/04 14:07

Postdi dany » 23/03/05 12:26

Prova ad eliminarli uno per volta, e vediamo qual'è che ti impedisce la connessione!
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi skizzetto0000 » 23/03/05 12:37

preso dal panico ho disistallato Hijackthis ma lo stesso nn mi si ricollega......ma quelli eliminati nn dovrebbero col fix nn dovrebbero ritornare al loro posto?
skizzetto0000
Utente Senior
 
Post: 117
Iscritto il: 11/10/04 14:07

Postdi dany » 23/03/05 12:43

:eeh: perchè hai disinstallato? Il programma non ti fa mica danni!

Guarda la guida (forse non l'hai ancora fatto) hai le copie di backup, di lì ripristini come era prima, poi rimuovi uno per volta, ..... non è che hai tolto i punti 017 (ti chiedeva se erano legati al tuo provider ;) )
Qui la guida
http://www.pc-facile.com/guida_hijackthis_t148946/
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo


Torna a Sicurezza e Privacy


Topic correlati a "worm":

Worm Dorkbot
Autore: gallico
Forum: Sicurezza e Privacy
Risposte: 7
trovato worm,
Autore: eleivga
Forum: Sicurezza e Privacy
Risposte: 25

Chi c’è in linea

Visitano il forum: Nessuno e 80 ospiti

cron