Condividi:        

smitfraud c

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

smitfraud c

Postdi plught2001 » 25/07/05 11:28

ho un problema con il trojan smitfraud.c e non c'è verso di eliminarlo.
Ho provato con hijackthis ma non sono riuscito a eliminare tutti i problemi.

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\U056157\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cww.fiat.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {A3093C2A-4AF4-A040-C2D7-56C9291026A1} - ABCXYZ.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ssweeper] _ctcp.exe
O4 - HKLM\..\Run: [Uint32] iesetupdll.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] -HideWindow
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programmi\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [SAPSTR] Uint32.exe
O4 - HKCU\..\Run: [InpriseMon] Brong32.exe
O4 - HKCU\..\Run: [corrida] panel_its.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Spyware-Cop] "C:\PROGRA~1\SPYWAR~1\Spyware-Cop.exe" /s
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab


O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Unknown owner - C:\OfficeScan NT\OfcPfwSvc.exe (file missing)


Resta il messaggio su fondo blu di security warning e la finestra di avvio di Explorer parte sempre con http://www.oneclicksearches.com.
Il rpoblema non riesco a risolverlo anche perchè il pc è aziendale e non ho accesso alla modalità provvisoria.
Qualcuno può aiutarmi?
Grazie
plught2001
Newbie
 
Post: 1
Iscritto il: 25/07/05 11:20

Sponsor
 

Re: smitfraud c

Postdi Tiseria » 25/07/05 17:17

plught2001 ha scritto:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

R3 - URLSearchHook: (no name) - {A3093C2A-4AF4-A040-C2D7-56C9291026A1} - ABCXYZ.dll (file missing)

O4 - HKLM\..\Run: [ssweeper] _ctcp.exe
O4 - HKLM\..\Run: [Uint32] iesetupdll.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programmi\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [SAPSTR] Uint32.exe
O4 - HKCU\..\Run: [InpriseMon] Brong32.exe
O4 - HKCU\..\Run: [corrida] panel_its.exe


Quelle sono le voci che con HJT devi eliminare.
Sarebbe oppurtuno eseguire tutte le operazioni dalla modalità provvisoria, altrimenti prova dalla modalità normale.

Dopo disinstalla il programma Spyware-Cop.exe perchè di dubbia reputazione, e gia' che ci sei anche il PSGuard.

A questo punto installa Virit dal sito della TG Soft http://www.tgsoft.it

Esegui Virit explorer lite, dal menu Tools clicka su Ripara Internet Explorer
Virit adesso ti ripara delle impostazioni di IE e di Windows, adesso dovresti aver la possibilità di cambiare l'immagine del desktop.

Ciao
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Smitfraud Trojan-spy

Postdi martinJX » 26/09/05 13:12

Ciao a tutti, sono nuovo del forum,premtto che non sono esperto,

ho letto i vostri post,

mi compare lo schermo con fondo blu senza possibilità di acceder al dsktop,e la scritta che dice che il pc è infettato da Smitfraud Trojan-spy,
l'uniuco modo per acceder al pc è alt-ctrl-canc

però utilizzando i vari programmi di "ripulitura",


virit, cleaner, trojanremoover, spywareblaster, ad-ware, spybot, spywaredocotr etc

non ho risolto nulla,

solo voi che siete dei professionisti saprete copme aiutarmi..

grazie grazie !!!!!!

intanto vi posto i file log con Hijackthis


ogfile of HijackThis v1.99.1
Scan saved at 13.55.35, on 26/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\CA\eTrust Antivirus\InoRpc.exe
C:\Programmi\CA\eTrust Antivirus\InoRT.exe
C:\Programmi\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\VEXPLITE\viritexp.exe
C:\WINDOWS\system32\taskmgr.exe
L:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgsoft.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programmi\softwin\bitdefender free edition\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [AntivirusRegistration] c:\programmi\antivirus offer\etrust antivirus registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] MONLITE.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.it/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6534649734
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
martinJX
Newbie
 
Post: 6
Iscritto il: 23/09/05 19:16

Postdi Dylan666 » 26/09/05 13:17

Se incolli il log qui...

http://hijackthis.de/index.php?langselect=italian

... vedrai che tra le voci non c'è nulla di strano. Ma la schermata blu è tipo quella di errore? Se premi Alt+F4 non si chiude? Puoi trascriverci esattamente il contenuto dell'avviso?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi toni84 » 26/09/05 13:17

Nel log non appare niente,ciao ciao

PS:salva questa pagina sul desktop,doppio click sul file e di SI al messaggio,se risolvi non dirlo a nessuno :D :D
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Dylan666 » 26/09/05 13:30

Non capisco perché si dovrebbe impostare le tue opzioni di Search Page, Default_Search_URL, CustomizeSearch, ne perché dovrebbe svuotare i BHO ecc.

Più che una soluzione mi pare una sparata a raffica di tante cose che dal logo sono emerse già essere ok...
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi toni84 » 26/09/05 13:34

Scusa,ma non capisco,tu dici che quello non va bene?quello serve apposta per reimpostare il valore di defauld delle chiavi che vengono toccate per far apparire la schermata dello smitfraud,ma sai come funziona il registro?secondo me no,altrimenti non rispondevi in quel modo!!ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi martinJX » 26/09/05 13:35

Dylan666 ha scritto:Se incolli il log qui...

http://hijackthis.de/index.php?langselect=italian

... vedrai che tra le voci non c'è nulla di strano. Ma la schermata blu è tipo quella di errore? Se premi Alt+F4 non si chiude? Puoi trascriverci esattamente il contenuto dell'avviso?



non si chiude, immagina uno sfondo blu, con scritto al centro

" security warning: a fatal error in Ie has occured at ................Error was caused by Trojan-Spy.HTML.Smithfraud.c
*System can not function...
*Scan your pc with any avaliable antivirus

se tocco la tastiera nn succede nulla, l'unica cosa è accedere al pc con alt-ctrl-canc

spero di essere stato chiaro

cosa pensi che sia??

Grazie!!!!!!
martinJX
Newbie
 
Post: 6
Iscritto il: 23/09/05 19:16

Postdi Dylan666 » 26/09/05 13:35

O meglio: leggi questo articolo nella prima parte, ma NON usare il reg (pena la perdita di varie impostazioni del browser):

http://www.infopackets.com/channels/en/ ... 36_vxd.htm
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi toni84 » 26/09/05 13:42

non ho parole credemi,scrivi in quel forum e digli che non è giusto e vedi cosa ti rispondono,quelli al contrario di te sono in gradi di creare removal tool specifici a seconda dei post,leggiti i post di quel forum e vedi che qualcosa impari,la presunzione di sapere tutto è una di quelle cose che non mi è mai piaciuta,specialmente quando ci sono ii fatti che parlano senza rancore!!ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Dylan666 » 26/09/05 13:49

toni84 ha scritto:Scusa,ma non capisco,tu dici che quello non va bene?quello serve apposta per reimpostare il valore di defauld delle chiavi che vengono toccate per far apparire la schermata dello smitfraud,ma sai come funziona il registro?secondo me no,altrimenti non rispondevi in quel modo!!ciao ciao


Io lo so come funziona il regitro, e pure cosa c'è scritto nel log. Andiamo ad analizzare il REG che secondo me NON hai aperto:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-
"notepad2.exe"=-
"winlogon.exe"=-
"paint.exe"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"


[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"


[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000
"Use Search Asst"=-


[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]

[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]

[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]

[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]

[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]

[-HKEY_CLASSES_ROOT\VMHomepage]

[-HKEY_CLASSES_ROOT\VMHomepage.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool"=-
"WindowsFZ"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold]


Tutte le parti in verde il log ha già dimostrato che NON ci sono. Tutte le parti in rosso il log ha già dimostrato che sono sicure. Oltretutto levi le chiavi e non i file.

Poi questo è un paese libero. Ma faccio notare che la soluzione postata in quel sito è STANDARD mentre noi qui abbiamo elementi per personalizzarla un po'. Ad esempio se a me avessero rimesso tutte le opzioni di default del brwser quando non è necessario avrei smadonnato un bel po'. La tua soluzione non è errata, solo sommaria.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi toni84 » 26/09/05 14:03

Fai una cosa prenditi la ragione,tanto a me non importa niente,sono chiavi che non hanno mai portato fastidio se vuoi ti faccio vedere che non comporta nessun danno anche in un pc pulito,sono solo chiavi di default e te lo ripeto DEFAULT non succede niente ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi martinJX » 26/09/05 14:20

dai ragazzi nn litigate!!

mi trovo un attimo in difficoltà tra le vostre due strade propinate

non capendone un granchè,

con un tool modello bacchetta magica vorerei che tutto si risolva,

ma so che non è possibile..

intanto ho letto quel link e mi dice una serie di passaggi laboriosi:

[u][i]Step 1: Go to Start -> Control Panel -> Add or Remove Programs and remove the following programs, if they are found: Security IGuard, Virtual Maid, and Search Maid. Once complete, exit the Add/Remove Programs window.[/u][/i]

però io non posso accedere al desktop, come faccio se devo andare su start?


tep 4: Reboot your computer into Safe Mode.


come faccio ad utilizzare modalità Safe?

Step 5: Once in Safe Mode, delete these files or directories. If the files / directories do not exist, do not be concerned.

C:\wp.exe

C:\wp.bmp

C:\bsw.exe

C:\bsw.bmp

C:\Windows\sites.ini

C:\Windows\popuper.exe

C:\Windows\System32\wldr.dll

C:\Windows\System32\helper.exe

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\System32\ole32vbs.exe

C:\Windows\system32\msole32.exe

C:\Windows\System32\Log Files

C:\Program Files\Search Maid

C:\Program Files\Virtual Maid

C:\Program Files\Security IGuard

C:\Windows\Temp\icsupp95.exe

C:\Windows\taskmon.exe



tep 2: View All Hidden Files on your computer; to do this: Open Windows Explorer, go to Tools -> Folder Options -> View and within hidden files and folders. Once you're there, checkmark 'Show hidden files and folders' and uncheck: 'Hide protected operating system files'.tep[/i

4: Reboot your computer into Safe Mode.

Cancello questi file direttamente su C?

[i]Step 5: Once in Safe Mode, delete these files or directories. If the files / directories do not exist, do not be concerned.
C:\wp.exe

C:\wp.bmp

C:\bsw.exe

C:\bsw.bmp

C:\Windows\sites.ini

C:\Windows\popuper.exe

C:\Windows\System32\wldr.dll

C:\Windows\System32\helper.exe

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\System32\ole32vbs.exe

C:\Windows\system32\msole32.exe

C:\Windows\System32\Log Files

C:\Program Files\Search Maid

C:\Program Files\Virtual Maid

C:\Program Files\Security IGuard

C:\Windows\Temp\icsupp95.exe

C:\Windows\taskmon.exe
martinJX
Newbie
 
Post: 6
Iscritto il: 23/09/05 19:16

Postdi toni84 » 26/09/05 14:33

Se vuoi esegui quello che ti ho dato io,male che va non funziona tutto qui,poi io direi di eseguire anche questo passaggio:

1-scarica smitrem.exe
2-salvalo sul desktop
3-doppio click sul file ed estrailo in c:\smitrem (prima creati una cartella in C:\)
4-apri c:\smitrem e doppio click su RunThis.bat
5-segui i comandi che si visualizzeranno sullo schermo e aspetta che il processo e la pulizia finiscano
6-quando lo strumento(programma) ha finito creera' un log chiamato smitfiles.txt alla radice del tuo disco. per esempio local disk C: oppure nella partizione dove e' installato il tuo sistema operativo, esaminando quel log dovresti vedere che l'infezione e' stata pulita.
ciao ciao

PS:Nessuno litigava,era una scambio di vedute tra due geni incompresi :D

@Dylan
Scusa se ti sono sembrato eccessivo ;) ;)
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Dylan666 » 26/09/05 14:35

toni84 ha scritto:sono solo chiavi di default e te lo ripeto DEFAULT non succede niente ciao ciao


Non ho detto che succede qualcosa di dannoso, solo che aggiungi roba inutile e a me darebbe fastidio ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi martinJX » 26/09/05 14:38

intanto grazie ad entrambi



vi faccio sapere!!!!!!!!!!!!!!!!!!!!!
martinJX
Newbie
 
Post: 6
Iscritto il: 23/09/05 19:16

GRAZIE

Postdi martinJX » 26/09/05 16:45

Grazie Ragazzi
GRAZIEEEEEEEEEEEEEE

siete dei FENOMENI!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
martinJX
Newbie
 
Post: 6
Iscritto il: 23/09/05 19:16

Postdi martinJX » 26/09/05 16:51

ora che ho risolto il problema

dovrò dotarmi di un buon firewall e antivirus!!!


giusto??'


antivirus:
norton, etrust di computer associate, cosa consigliate??

firewall:
zona alarm
martinJX
Newbie
 
Post: 6
Iscritto il: 23/09/05 19:16

Postdi *~Hayabusa~* » 26/09/05 19:38

Dylan666 ha scritto:solo che aggiungi roba inutile e a me darebbe fastidio ;)

Infatti è troppo generico quel file, mette le mani in tutti i punti di interesse anche se non sono stati colpiti..comunque lo risolve il problema :lol:

martinJX ha scritto:dovrò dotarmi di un buon firewall e antivirus!!!

Ti dico la configurazione che uso da tempo, è quella che mi ha pienamente soddisfatto:
Antivirus: AVG 7 free della grisoft
Firewall: Kerio personal firewall
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi toni84 » 26/09/05 19:46

Ciao,ma tu hai analizzato quel malware?l'hai lanciato da una macchina pulita per vedere le modifiche?penso che la risposta sia no,allora come fai a saperlo?quelle sono tutte chiavi che quel malware tocca,rimettendole di default il problema si risolve,hai presente quando formatti e reinstalli tutto?quelle sono le chiavi che troverai(+/-) ciao ciao

PS:Contento che hai risolto ma non avevo dubbi :D :D :D :D
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "smitfraud c":

Smitfraud-C
Autore: enfact
Forum: Sicurezza e Privacy
Risposte: 0
Smitfraud
Autore: Davids LT
Forum: Software Windows
Risposte: 0

Chi c’è in linea

Visitano il forum: Nessuno e 37 ospiti

cron