Condividi:        

prgrmmi indesiderati come sgrunt.biz e che non si eliminano

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

prgrmmi indesiderati come sgrunt.biz e che non si eliminano

Postdi Pinchas06 » 02/02/06 11:39

Dall'esito della periodica nalisi che faccio con ADware ho scoprto l'esistenza di oggetti critici che pero' il programma non riesce ad eliminare.
Ho letto il vs forum mi sono iscritto (e' il primo a cui partecipo, e mi aspetto molto sigh) ho scaricato in cartella separat hijackthis ed eseguito
il cui log alleLogfile of HijackThis v1.99.1
Scan saved at 16.55.19, on 01/02/06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMMI\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\IBMTOOLS\APTEZBTN\APTEZBP.EXE
C:\WINDOWS\SYSTEM\EZBTNMSG.EXE
C:\WINDOWS\SYSTEM\ATIKEY32.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\dmi\dos\bin\WINSL.exe
C:\PROGRAMMI\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\ATIICON.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\VPTRAY.EXE
C:\PROGRAMMI\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAMMI\WINAMP\WINAMPA.EXE
C:\PROGRAMMI\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\DSLAGENT.EXE
C:\PROGRAM FILES\FILEFREEDOM\WTM.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\TPPALDR.EXE
C:\USBSTORAGE\USBDETECTOR.EXE
C:\PROGRAMMI\IBM\APTDESK\MVSLOADR.EXE
C:\PROGRAMMI\BNL MULTISERVIZI\MULTICERTIFY CLIENT\MLSPROXY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\Programmi\IBM\Aptdesk\mvdz1exe.exe
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vivacity.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Vivacity
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__P9HEPQKBJ.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NomdCheck] C:\RealTime\Setup\naudiort\None\nomdchek.exe
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [Ezbtnmsg] c:\windows\system\ezbtnmsg.exe
O4 - HKLM\..\Run: [AtiKey] Atikey32.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [DMISL] C:\dmi\dos\bin\WINSL.exe
O4 - HKLM\..\Run: [WregBios] C:\DMI\DOS\BIN\WREGBIOS.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [NORTON AUTO-PROTECT] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\VPTRAY.EXE
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programmi\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMI\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [FileFreedom_Plugin] C:\PROGRAM FILES\FILEFREEDOM\wtm.exe
O4 - HKLM\..\Run: [Gene USB Monitor] c:\windows\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - HKLM\..\Run: [Olympic] C:\WINDOWS\Application Data\sgrunt\IE4321.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAMMI\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\RTVSCN95.EXE
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\DEFWATCH.EXE
O4 - Startup: Avvio effetti del desktop.lnk = C:\Programmi\IBM\Aptdesk\MVSLOADR.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Multicertify Proxy.lnk = C:\Programmi\BNL Multiservizi\Multicertify Client\MlsProxy.exe
O4 - Startup: PowerReg Scheduler V3.exe
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.vivacity.it
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - http://www.grokster.com/rdx/RdxIE.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.243.154.62,195.31.190.31


go fisserei le seguenti righe.
(Uso Windows 98 e explorer 5 ed in modalita provvisoria non trovo nulla)

quelle con
_p9hepqkbj.exe
atip.exe
sgrunt
le tre trusted zone
Grazie per gli attesissimi consigli
Pinchas06
principiante anziano
Pinchas06
Newbie
 
Post: 3
Iscritto il: 02/02/06 10:11

Sponsor
 

Postdi Luke57 » 02/02/06 13:21

Ciao, 1. scarica CWshredder da qui http://www.trendmicro.com/ftp/products/ ... redder.exe
e mettilo in una cartella permanente (non temp...)
Scarica killsgrunt da qui
http://www.francydelorenzi.it/Sicurezza ... illsgrunt/
Scarica deldomains da qui:
http://www.mvps.org/winhelp2002/restricted.htm
scompatti il file zip e metti il file.inf nel desktop
Scarica Stinger 2.5.9. da qui:
http://vil.nai.com/vil/stinger/

Avvia il sistema in modalità provvisoria (tasto F8 dopo l'avvio del Bios, prima che parta Windows e poi scegli Modalità Provvisoria spostandoti con le freccette)
fai girare CWshredder (premedno il tasto fix)
Esegui Killsgrunt
Esegui del domains (click col tasto destro sul file.inf e scegli installa)
Lancia una scansione con stinger
Cerchi col taskmanager (Ctrl+lt+Canc) i seguenti processi e se ci sono terminali:
C:\dmi\dos\bin\WINSL.exe
__P9HEPQKBJ.EXE
Apri hijackthis, prmi “do a ystem scan only”, cerchi e metti il segno di spunta alle seguenti voci (speriamo che le utility scaricate ed eseguite abbiano già fatto qualcosa e che non ci siano tutte le voci)
R3 - Default URLSearchHook is missing
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SERVICES.EXE] C:\dmi\dos\bin\WINSL.exe
O4 - HKLM\..\Run: [Ezbtnmsg] c:\windows\system\ezbtnmsg.exe
O4 - HKLM\..\Run: [AtiKey] Atikey32.exe
O4 - HKLM\..\Run: [DMISL] C:\dmi\dos\bin\WINSL.exe
O4 - HKLM\..\Run: [WregBios] C:\DMI\DOS\BIN\WREGBIOS.EXE
O4 - HKLM\..\Run: [Olympic] C:\WINDOWS\Application Data\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - Startup: PowerReg Scheduler V3.exe
O13 - WWW. Prefix: http://
Tutte le voci 015
O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - http://www.grokster.com/rdx/RdxIE.cab
Premi fixchecked
Rendi visibili file e cartelle da esplora risorse cliccando strumenti>opzionicartella>visualizzazione, metti il segno di spunta a “visualizza file e cartelle nascoste”, toglilo a “nascondi file di sistema protetti”
Cerca con esplora risorse, se ci sono, i seguenti file ed eliminali:
C:\dmi\dos\bin\WINSL.exe
c:\windows\system\ezbtnmsg.exe
C:\WINDOWS\Application Data\sgrunt\IE4321.exe (tutta la cartella)
C:\WINDOWS\atip.exe
C:\DMI\DOS\BIN\WREGBIOS.EXE
vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato,
cancella i file temporanei di windows (temp e tmp)
sulle opzioni Internet cancella la cache di IE, i cookies ,svuota il cestino.
Posa poi un nuovo log di hijackthis ( le minacce sono tante e potrei aver saltato qualcosa). Con la versione 5 di IE seiin pratica un colabrodo, devi installare obbligatoriamente la 6.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 02/02/06 13:24

Di quanto scrivi se ne è già discusso precedentemente.
Hai provato a cercare l'argomento con la funzione Immagine Cerca in alto in questa pagina prima di creare un nuovo topic (come dice la Immagine Netiquette)? ;)

Aiutaci a mantenere il forum snello e ordinato evitando di fare domande su problemi già risolti. Anche tu risparmierai tempo evitando di aspettare che qualcuno ti risponda trovando da solo quello che cerchi fra i topic già esistenti :)

http://www.pc-facile.com/forum/viewtopi ... unt#217461
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Pinchas06 » 02/02/06 16:24

Grazie molte Luke57 provvedo subito a cercare di fare quanto indicatomi.
Non traspare infatti dal mio msg iniziale la disperazione in cui sono per non
riuscire da + di 10 gg ad usare decentemente il PC per questi ... Trojan.
Dispongo di un aggiornato antivirus Norton, che mi ha appena eliminato
tre virus. Probabilmente non e' sufficiente anche se e' insieme ad ADAware. Bisogna che legga i msg di posta via browser di chi mi da il Servizio.Se no becco tanti inopportuni intrusi, ma si va cosi' piano!.

Dico a Dylan666 che e' la prima volta che mi collego ad un Forum, e non
sono abituato ad importunare chicchessia con i miei problemi, ma questa volta non ero in grado da solo di farcela. Ho letto moltissime risposte e
ho cercato di mettere in pratica quanto capito. Non conoscevo la funzione
di ricerca, ora si, ed avevo bisogno che qualcuno esperto mi valutasse il log di ijhackthis e lo adattasse al fatto che uso Windows98. Grazie molte di 'esistere'. Spero di riuscire e mettere in pratica i consigli che mi auguro conclusivi.
Pinchas06
principiante anziano
Pinchas06
Newbie
 
Post: 3
Iscritto il: 02/02/06 10:11

Postdi Dylan666 » 02/02/06 16:35

Da modalità provvisoria se usi HijackThis dovresti poter levare e togliere questi:

O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O4 - HKLM\..\Run: [Olympic] C:\WINDOWS\Application Data\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__P9HEPQKBJ.EXE

atip.exe NON lo levare

ezbtnmsg.exe non lo conosco

Invece è molto sopsetto pure WINSL.exe

Fai un bel windows update e metti Internet Explorer 6
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 02/02/06 16:53

Ciao Pichas06, per quanto riguarda atip.exe qui ( in un caso assai simile al tuo)
http://www.wininizio.it/forum/lofiversi ... 20324.html
suggericono di eliminarlo e gli altri file, compresi quelli che non conoscevo, li ho cercati direttamente su google, cioè solo per dire che sul tuo log c'ho faticato... ;)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 02/02/06 16:59

atip.exe NON va eliminato! È roba della scheda video, controllarne le proprietà per credere
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 02/02/06 19:41

Ciao di nuovo Pinchas06, visti i giusti dubbi sollevati da Dylan ma considerati altri rimandi sospetti a un virus vedi sotto:
questo valore
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
"sembra collegato al Win32.Tactslay Family
http://www3.ca.com/securityadvisor/...s.aspx?ID=42022
infatti il valore ridà
HKLM\Software\Microsoft\Windows\CurrentV
ersion\Run\AtiPanel = "%Windows%\atip.exe"
Il rimando l'ho ricavato da qui
http://forum.html.it/forum/showthread.p ... did=937843
Esegui, quindi, le operazioni descritte tranne quelle riguardanti atip.exe che farai analizzare qui:
http://www.virustotal.com/flash/index_en.html
basta cliccare sul link e inserire il percorso del file
C:\WINDOWS\atip.exe
sullo spazio bianco. Il file medesimo sarà analizzato da diversi antivirus per un responso che non è detto che chiarisca definitivamente le idee, comunque sarà una buona base..buon lavoro ;)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 02/02/06 21:03

Se vedi ci sono pure altre voci con ATI... usa chiaramente una scheda ATI e quello è lAtiPanel come dice anche il registro (gli spyware non arrivano a un tale livello di imitazione).

Senza guardare forum strani: è un file dell ATI, le proprietà lo renderanno incontestabile ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 02/02/06 21:30

@ per Dylan
OK, mitico "i forum strani" ;)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi fabrizius » 02/02/06 22:57

una volta che sei riuscito ad eliminarli puoi inserirli nel file Hosts in questo modo:
E' possibile bloccare gli indirizzi conosciuti come dannosi modificando questo file.

Il file di cui sto parlando, sitrova in queste posizioni:


Windows XP = C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K = C:\WINNT\SYSTEM32\DRIVERS\ETC
Win 98/ME = C:\WINDOWS

ed è un file SENZA ESTENSIONE

Per aggiungere manualmente e quindi bloccare un sito dannoso, aprire il suddetto file con il Blocco Note

E' possibile usare il file HOSTS per bloccare : pubblicità (Ads) , banners, Cookies di 3e parti, contatori di 3e parti, web bugs, e ogni dirottamento. .

Basta digitare alla fine del file Hosts PRIMA dell'indirizzo da bloccare , il numero127.0.0.1

Esempio - 127.0.0.1 ad.doubleclick.net---> bloccherà tutti i file forniti da DoubleClick Server per la pagina che stai visualizzando...
è possibile anche inserire un indirizzo completo, come 127.0.0.1 http://www.xxxxx.com

In rete è possibile scaricare un file di Hosts già pronto che contiene una lunga lista di siti considerati malevoli.

E' consigliato , prima di procedere con le modifiche, creare una copia di Backup compressa (nella stessa locazione) del file originale

NOTA FINALE:
In alcuni casi un file di HOSTS molto esteso (oltre i 135 kb) tende a rallentare il PC
(solo su XP e Windows 2000... Win 98 non ne è affetto)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 02/02/06 23:44

Come dissi altre volte: il trucchetto di modificare il file host non lo consiglio, perché nasconde i sintomi ma non guarisce il male.

C'è un file che mi ridirige su un sito estraneo? Meglio saperlo e vederlo, accorgersene e continuare a visualizzarlo fino a quando non troviamo la causa. Quando non lo visualizzeremo più significherà che la pulizia ha avuto successo ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Franz! » 02/02/06 23:53

mai provato in DOS netstat -a ne vedrete delle belle... vari listening...+enstablished... :
x andare in dos da xp usate il comando start/esegui/cmd
Alcune regole sono fatte per essere eluse altre infrante [Matrix]
Strano gioco l'unico modo per vincere è non giocare [wargames]
http://hkanc.spaces.live.com/
http://www.ackronic.net/
Franz!
Utente Senior
 
Post: 369
Iscritto il: 30/01/06 21:14
Località: Roma

disperazione, non riesco a liberarmi dei ....Trojan, dove sb

Postdi Pinchas06 » 03/02/06 03:02

Ho eseguito parzialemnte quanto indicatomi, ma senza risultati.
Sono depresso.
Ho scaricato tutto meno Deldomains perche' il sito mi avvisa che 'your current security settings' (ma non so a quali impostazioni si riferisce) non
consentono il download.
Ho provato lo stesso ad eseguire; CWShredder, kill sgrunt e Sting e poi hijackthis (tutti in modalita' provvisoria).
Log risultante, molto limitato con sole tre righe di quelle indicate da checcare. Checcate e fix, sorpresa, sistema bloccato. Con l'aiuto di termina operazione ho provato a rifare. Risultato uguale.
Ho concluso con l'eliminazione dei file nascosti e ripulendo temp tmp IE.
Riattivato in modalita' normale hijackthis mi ha ridato log uguale a quello del mio primo msg di ieri.
Ho provato a checcare tutte le righe indicatemi e cliccare fix.
Sistema bloccato.
Sono ad un punto fermo.
C' e' speranza ? Sono molto depresso. Cosa si puo' fare ?
Resto in attesa di un ......salvagente, Ne ho bisogno. Grazie.
Pinchas06
principiante anziano
Pinchas06
Newbie
 
Post: 3
Iscritto il: 02/02/06 10:11

Postdi Dylan666 » 03/02/06 03:09

Dopo ogni modifica devi postare un nuovo log ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 03/02/06 03:13

Ops, non leggevo del sistema bloccato... termina i processi di cui levi le chiavi prima di premere fix, usando il task manager Ctrl+Alt+Canc.

Per sicurezza scarica e installa questo:
http://download.microsoft.com/download/ ... n60sp5.exe
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "prgrmmi indesiderati come sgrunt.biz e che non si eliminano":

programmi indesiderati
Autore: nikita75
Forum: Software Windows
Risposte: 4
Siti indesiderati
Autore: leucanos
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 59 ospiti