Emergenza virus che mi trova AVG

**masterhouse** · 23-12-2006, 01.59.53

Salve a tutti...mi sono appena iscritto al vostro forum e sono poco esperto in fatto di antivirus, quindi perdonate la mia ignoranza.
Ho un problema con AVG...mi trova un virus in:
C:\WINDOWS\System32:xcony.exe e lo definisce un Trojan horse Generic.YME

Come faccio a eliminarlo siccome non lo posso "curare" con AVG?

**SWZN** · 23-12-2006, 04.02.19

Metti un allegato fatto con il programma Hijacthis con estensione *.TXT

Il *.log si allega come file con estensione *.txt, segui questo link

**masterhouse** · 24-12-2006, 12.32.29

ecco l'allegato...

**SWZN** · 24-12-2006, 12.48.21

C:\WINDOWS\Temp\nhiu4.exe

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {61C77706-40A4-75C7-EAB4-AF6FEEC24EF9} - C:\WINDOWS\ncjcd1.dll (file missing)

O4 - HKLM\..\Run: [nhiu4.exe] C:\WINDOWS\Temp\nhiu4.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32:xcony.exe

Tutti questi fix checked

----------------------------------------------------------------
scarica questo e fallo girare, alla fine posta il report:

http://www.tgsoft.it/italy/index_ita.html

**masterhouse** · 24-12-2006, 14.06.09

ho fatto il fix checked degli elementi che mi hai detto e sul file O20 - AppInit_DLLs: C:\WINDOWS\system32:xcony.exe mi è uscito un messaggio con scritto:
An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: C:\WINDOWS\system32:xcony.exe)
Error #5 - Invalid procedure call or argument

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.

**Luke57** · 24-12-2006, 15.11.31

Ciao, scarica questi due tools:

http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://smallbiz.symantec.com/securit...092316-4153-99

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)

Allega in un post i report delle due scansioni.

**masterhouse** · 24-12-2006, 17.51.34

dopo quel messaggio di hijackthi che ho scritto prima a giancarlo il report è questo ma il virus AVG me lo continua a vedere...provo il metodo luke...fatemi questo regalo di natale: toglietemi dalle balle sto figlio di un trojan! xfavore...

**masterhouse** · 25-12-2006, 01.18.14

Ecco i report di Gromozon e Fixlink...e adesso....help me please...

**Luke57** · 25-12-2006, 11.00.31

Ciao, eri leggermente impestato da link optimizer, adesso
Da
Start>esegui>control userpasswords2 (lo digiti nello spazio)>OK
Verifica fra gli account, oltre ai soliti legittimi (Aspnet;dministrators, nome utente) che non via sia uno con nome casuale, tipo jUuNjkLDrhs, se presente lo evidenzi e lo rimuovi.

Poi ti porti nella cartella
C\Documents and settings e se trovi una cartella con lo stesso nome dell’utenza nascosta la elimini

Scarica CCleaner (ultima versione per pulizia file temporanei)) da qui:
http://www.ccleaner.com/ccdownload.asp

lo installi, lasci le impostazioni di default, tranne che in opzioni>avanzate togli la spunta a “elimina file temp di windows se più vecchi di 48 ore”, lo esegui

Inoltre scarica apri hijackthis, premi “open the misc tools section”, “open unistall manager”, cerchi tra le applicazioni:
LinkOptimizer
-ConnectionService
-Power Verify
-StrongestGuard
-ConnectionKnight
-StrongestOptimizer
-SecurityOptimizer
-InternetOptimizer
-StrongestPaladin
-SecurityGuard
-InternerGuard
-InternetShield

Qualunque voce di queste trovi la evidenzi e premi “delete this entry”.

Inoltre scarica Pserv da qui:
http://p-nand-q.com/e/pserv.html

lanci questo comando:
start>esegui>services.msc (lo digiti nello spazio)>OK

se tra i servizi , ne trovi uno, dove nella colonna Connessione, invece che la dicitura Servizio di rete o Sistema locale, riporta nome casuale, lo elimini con Pserv (dunzione Delete).

Posta infine nuovo log di hiajckthis.

**masterhouse** · 26-12-2006, 12.42.54

-Ho trovato e eliminato un account con un nome impronunciabile e casuale simile a quello che mi avevi detto tu

-Ho trovato una cartella con lo stesso nome in documents and settings e l'ho eliminata

-Ho scaricato Ccleaner e a avviato l'analisi, ma non ho avviato la pulizia perchè ho paura che mi elimini i file di emule incompleti e ci tengo a non eliminarli. Qui allegato c'è il messaggio di analisi di Ccleaner.

-Dentro a hijackthis potrei aver fatto dei danni perchè ho deciso di fidarmi del mio fiuto: non c'erano applicazioni chiamate come mi hai detto tu, ma c'erano internetknight e metaverify...li ho eliminati...ho fatto bene?

-Ho trovato la connessione col nome casuale e grazie a pserv l'ho eliminata

-insieme a questo messaggio ti posto l'ultimo log di hijackthis, e l'analisi fatta da Ccleaner divisa in 2files perchè in uno non ci stavo nei 100 kb

Grazie mille per quello che hai fatto e stai facendo tutt'ora per me.

**Luke57** · 26-12-2006, 13.58.20

Ciao, hai fatto bene a eliminare quelle applicazioni. Per i file temp, magari elimina solo gli altri che non c'entrano niente con emule.
Per quanto riguarda il log di hiajckthis, cancella questa voce:
O20 - AppInit_DLLs:
Non vedo altri riferimenti al malware, esegui anche questa procedura:
start>esegui>regedit (lo digiti nello spazio)>OK
aperto l'editor del registro, cliccando sul segno + accanto alle singole voci segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon\SpecialAccounts\UserList, click su quest'ultima cartella, se al suo interno individui l'utenza nascosta già eliminata, click tasto dx su di essa e scegli Elimina. Chiudi poi il registro.