|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
19-04-2008, 10.12.50 | #1 |
Newbie
Registrato: 16-04-2008
Messaggi: 47
|
trojan horse aiuto!!!!!
il log di hijackthis mi sembra appostose volete lo posto nota crea dei file .exe con nomi casuali in C:\Documents and Settings\Antonello ke avg rileva come trojan per favore qualcuno potrebbe aiutarmi a eliminarlo definitivamente? |
19-04-2008, 11.02.57 | #2 |
Senior Member
Registrato: 09-03-2008
Messaggi: 408
|
fai anche una scansione con un altro antivirus in versione online come http://www.eset.com/onlinescan/ per esempio e vedi se lo elimina lui
|
19-04-2008, 11.25.52 | #3 |
Newbie
Registrato: 16-04-2008
Messaggi: 47
|
provo a fare la scansione cmq il problema ke avg lo elimina ma poi ricompare
|
19-04-2008, 18.18.07 | #4 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
ciao danko,
sì posta il log di hijackthis cortesemente. AVG non riesce a rimuovere il malware molto probabilmente perché si è infilato anche nel "System restore" http://www.microsoft.com/windowsxp/u...w_03may19.mspx (o anche "Punto di ripristino") in ogni caso quegli exe casuali che hai nel sistema mi ricordano un malware piuttosto diffuso. Prova anche una scansione on line (via Internet Explorer) da qui http://support.f-secure.com/enu/home/ols.shtml |
19-04-2008, 19.38.15 | #5 |
Newbie
Registrato: 16-04-2008
Messaggi: 47
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.28.33, on 19/04/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\Agnitum\Outpost Firewall\outpost.exe C:\Programmi\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programmi\IObit\Advanced WindowsCare V2\MemCleaner.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\WgaTray.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\uTorrent\uTorrent.exe C:\Programmi\Nero\Nero 7\Core\nero.exe C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe C:\Programmi\Sonique\Sonique.exe C:\Programmi\Sonique\sqstart.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dumps_startup O4 - HKLM\..\Run: [SmartRAM] C:\Programmi\IObit\Advanced WindowsCare V2\MemCleaner.exe /m O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1201246430439 O17 - HKLM\System\CCS\Services\Tcpip\..\{70536C44-AE49-4019-A647-8F627A20328B}: NameServer = 85.37.17.51 85.38.28.97 O17 - HKLM\System\CS2\Services\Tcpip\..\{70536C44-AE49-4019-A647-8F627A20328B}: NameServer = 85.37.17.51 85.38.28.97 O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe -- End of file - 6994 bytes Questo è il log il problema e ke i virus ricompagliono in C:\Documents and Settings\Antonello\Impostazioni locali\Temp coi nomi di jar_cache 63088 jar_cache 63089 jar_cache 63090 e jar_cache 63091 per poi creare file .exe in C:\Documents and Settings\Antonello dai nomi casuali |
19-04-2008, 20.14.13 | #6 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
a prima vista il log sembra pulito,
prova a scaricare questo tool gratuito http://www.protectorplus.com/download/cleandelf.exe e a eseguirlo. Inoltre non hai la Sun Java più recente installata. Vai su pannello di controllo apri il pannello di Sun Java e svuotalo dai files temporanei. Quindi aggiorna la Sun Java e disinstalla la 6 update 3. Mi diresti i nomi degli eseguibili che AVG ha messo nel Vault? |
19-04-2008, 21.24.43 | #7 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
prova anche questo removal tool specifico della ESET NOD32
http://nod32.it/tools/cleaners/TBFCLEAN.ZIP (pagina di riferimento: http://www.nod32.it/download/free-virus-remover.php ) quindi considera che puoi avere gratis per 6 mesi quello che è considerato il miglior antivirus (con antispyware, antirookit e protezione web e antibot inclusa) del momento, L'AVIRA AntiVir PREMIUM 8.1: https://license.avira.com/en/promoti...tr05zwftftgnqr Inoltre fossi in te scaricherei il MalwareBytes' Antimalware 1.11 (freeware ma senza protezione in tempo reale e in italiano) da qui: http://www.besttechie.net/tools/mbam-setup.exe e gli farei fare una bella scansione del sistema, considera che ha anche una funzione chiamata FILEAssassin e che serve a fare fuori files infetti che non si riescono a eliminare con altri sistemi (da usare con cautela) pagina di riferimento http://www.malwarebytes.org/mbam.php |
19-04-2008, 21.51.38 | #8 |
Newbie
Registrato: 16-04-2008
Messaggi: 47
|
adesso sto facendo la scansione con totalprotector....i nomi ke crea il trojan per i file exe sn del tutto casuali tipo nbmxaybb.exe seconde te il problema è da imputare a java?l'antivir premium è meglio del nod?ho provato sia antivir la versione freeware ke nod il primo lo disinstallato xkè nn riuscivo a configurarlo bene con outpost nod nn mi faceve gli aggiornamenti
Ultima modifica di Danko : 19-04-2008 alle ore 21.55.47 |
19-04-2008, 22.18.48 | #9 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
Forse intendi il tool gratuito offerto da protectorplus che ti ho indicato, visto che non mi risulta che totalprotector.com permetta delle scansioni on line Per la Java: la versione che utilizzi è vulnerabile, non escludo che sia una delle cause dell'infezione. Meglio aggiornare, svuotare la cache e disinstallare la precedente versione. Sia AVIRA AntiVir PREMIUM sia NOD32 sono degli ottimi antivirus e anche molto leggeri. OutPost Firewall + NOD32 dovrebbero funzionare bene in accoppiata visto che la ESET raccomanda proprio Outpost. In quanto ad AntiVir free qualche volta non si aggiorna facilmente ma questo perché la priorità è data alla versione PREMIUM. Forse avevi settato OutPost perché bloccasse AntiVir Personal Edition Classic, ma la nuova versione dell'antivirus tedesco sia gratuita sia a pagamento è nettamente migliorata in tutti i sensi |
|
20-04-2008, 13.34.55 | #10 |
Newbie
Registrato: 16-04-2008
Messaggi: 47
|
Grazie leofelix per i preziosi consigli sembra ke il virus sia debellato completamente ho disinstallato java e messo la versione + recente per adesso va tutto bene
|
20-04-2008, 13.42.33 | #11 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
Buona domenica |
|
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Trojan horse generic | imothep | Sicurezza&Privacy | 4 | 09-10-2007 23.30.36 |
AIUTO TROJAN HORSE | kobe10 | Sicurezza&Privacy | 10 | 07-01-2007 14.24.17 |
AVG v.7.1.381 segnala Trojan horse in "Esplora risorse" | matrixn | Sicurezza&Privacy | 1 | 16-07-2006 00.20.50 |
help trojan horse collected.AE | wharry72 | Sicurezza&Privacy | 7 | 11-08-2005 17.50.27 |
Websense - High Increases in Trojan Horse Activity | Giorgius | Sicurezza&Privacy | 0 | 17-07-2005 13.15.51 |