| Autore |
 Discussione  |
|
|
Nuova72
New Member
41 Messaggi |
 Inserito il - 16/02/2011 : 13:59:45
|
Ciao a tutti. Sono nuova del forum e quindi scusate se non uso i termini esatti. Il mio problema è che ho sicuramente preso un trojan. Ho un netbook con Xp home con Avira Antivir. Mi rileva continuamente il trojan TR/KAZY.10979.psa nel file c:\windows\system32\sshnas21.dll.
All'accensione mi dà subito messaggio di 'Errore durante caricamento c:\windown\saprv1.dll - impossibile trovare il modulo specificato' e l'antivirus non riesce a togliere o mettere in quarantena il trojan.
Morale: il pc si pianta continuamente e certi applicativi non vanno.
Potete aiutarmi?? Grazie e mille
|
Modificato da - in Data
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 16/02/2011 : 14:41:04
|
Scarica ed installa Hijackthis: htt*://[www].trendmicro[.com]/ftp/products/hijackthis/HiJackThis.msi
Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.
#9679; lancia Hijackthis
#9679; clicca sul pulsante Do a system scan and save a logfile
#9679; verrà rilasciato automaticamente un file di testo: allegalo |
 |
|
|
Nuova72
New Member
41 Messaggi |
Inserito il - 16/02/2011 : 15:41:31
|
Eccolo:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15.35.38, on 16/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Launch Manager\LManager.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\PersistenceThread.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Acer\Acer VCM\RS_Service.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Acer\Acer VCM\AcerVCM.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\File comuni\PCSuite\Services\NclBTHandler.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://homepage.acer[.com]/rdr.aspx?b=ACAW&l=0410&m=ao751h&r=0xph04104206l0343wu55w87n14613
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://homepage.acer[.com]/rdr.aspx?b=ACAW&l=0410&m=ao751h&r=0xph04104206l0343wu55w87n14613
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://homepage.acer[.com]/rdr.aspx?b=ACAW&l=0410&m=ao751h&r=0xph04104206l0343wu55w87n14613
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 156.54.18.23:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PersistenceThread] C:\WINDOWS\system32\PersistenceThread.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PLFSetI] C:\WINDOWS\PLFSetI.exe
O4 - HKLM\..\Run: [RemoteControl8] C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmi\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Oqulalocupuwowo] rundll32.exe "C:\WINDOWS\saprv1.dll",Startup
O4 - HKCU\..\Run: [CE8SIIFGSU] C:\DOCUME~1\alessio\IMPOST~1\Temp\Lbr.exe
O4 - HKCU\..\Run: [rlPympjVAQQ.exe] C:\Documents and Settings\All Users\Dati applicazioni\rlPympjVAQQ.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Invia a Bluetooth - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button:  btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programmi\Acer\Acer VCM\Skype4COM.dll
O20 - Winlogon Notify: igdlogin - igdlogin.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Programmi\Acer\Acer VCM\RS_Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
--
End of file - 11056 bytes
|
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 16/02/2011 : 15:47:14
|
Sei abbastanza infetta.
Rilancia HijackThis:
Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.
#9679; clicca sul pulsante Do a system scan only
#9679; spunta la casellina a fianco di ogni singola voce che ti indicherò sotto
#9679; una volta spuntate le voci:
chiudi tutte le applicazioni aperte
chiudi tutte le pagine Internet aperte
#9679; in HijackThis fixa le voci cliccando su Fix checked
Queste le voci da fixare:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 156.54.18.23:8080
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [RemoteControl8] C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmi\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Oqulalocupuwowo] rundll32.exe "C:\WINDOWS\saprv1.dll",Startup
O4 - HKCU\..\Run: [CE8SIIFGSU] C:\DOCUME~1\alessio\IMPOST~1\Temp\Lbr.exe
O4 - HKCU\..\Run: [rlPympjVAQQ.exe] C:\Documents and Settings\All Users\Dati applicazioni\rlPympjVAQQ.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programmi\Acer\Acer VCM\Skype4COM.dll
O20 - Winlogon Notify: igdlogin - igdlogin.dll (file missing)
Poi:
Scarica ed installa Malwarebytes' Anti-Malware Free Version: htt*://[www].malwarebytes.org
Nota - durante l'installazione:
#9679; ti verrà richiesto di aggiornare le definizioni virali del programma, e di avviarlo una volta installato: consenti, lasciando la spunta a Aggiorna Malwarebytes' Anti-Malware e Avvia Malwarebytes' Anti-Malware
Una volta installato:
#9679; collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
#9679; verrà mostrata la schermata principale del tool
#9679; clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
#9679; verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
#9679; attendi pazientemente il termine della scansione
#9679; verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
#9679; se vengono rilevate infezioni: eliminale, cliccando su Rimuovi elementi selezionati
|
|
|
|
Nuova72
New Member
41 Messaggi |
Inserito il - 16/02/2011 : 18:22:24
|
OK, ho seguito passo passo le tue istruzioni (grazie, sono chiarissime!)e dopo avere rimosso gli elementi infetti (non è riuscito ad eliminarli tutti), questo è il report che mi ha rilasciato:
Malwarebytes' Anti-Malware 1.50.1.1100
[www].malwarebytes.org
Versione database: 5773
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16/02/2011 17.58.36
mbam-log-2011-02-16 (17-58-36).txt
Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 206520
Tempo trascorso: 1 ore, 10 minuti, 23 secondi
Processi infetti in memoria: 0
Moduli di memoria infetti: 1
Chiavi di registro infette: 6
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 17
Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)
Moduli di memoria infetti:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Agent) -> Delete on reboot.
Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\DD1APJEZAI (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\� (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)
Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)
Cartelle infette:
(Non sono stati rilevati elementi nocivi)
File infetti:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Agent) -> Delete on reboot.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP38\A0023577.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP38\A0023588.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP38\A0023603.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP38\A0024609.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP38\A0024619.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP38\A0024641.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP38\A0024642.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP39\A0024665.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP39\A0024679.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP39\A0024680.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP39\A0024729.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP39\A0036983.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{80669f11-6063-49d0-88e2-5f01774b42a9}\RP39\A0036984.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\alessio\dati applicazioni\Adobe\plugs\kb105235781.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Grazie ancora!!! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/02/2011 : 20:24:38
|
| Buona sera, solo un chiarimento..Nuova 72, ci sono delle regole per postare i report e le trovi sul regolamento del forum in calce alla mia firma..Fdac se dai assistenza sei pregato di far rispettare le regole del forum ed in particolare di come si postano i report, in secondo luogo prima di macellare tutte le voci in "run" degli utenti sarebbe opportuno chiedere agli stessi se la cosa gli garba..se voglio avere la system tray carica di icone è un problema mio e non di chi dovrebbe pulirmi il pc dalle varie infezioni. |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 16/02/2011 : 21:47:08
|
Scusa Death, vedro' di essere più attento nell'aiutare.
Nuova 72:
Scarica, preferibilmente con Internet Explorer, ComboFix: htt*://download.bleepingcomputer[.com]/sUBs/ComboFix.exe
Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:
#9679; disconnettiti da Internet
#9679; sconnetti, fisicamente, il modem/router dal Computer
E' assolutamente necessario, se attivo:
#9679; disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
#9679; disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
Eseguiti i passaggi indicati sopra:
#9679; lancia ComboFix: per lanciare ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di ComboFix e, dal menù contestuale, scegli la voce Esegui come Amministratore
#9679; segui le istruzioni che verranno rilasciate per eseguire la scansione
#9679; verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
#9679; senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro
Note - durante la scansione:
#9679; verranno creati alcuni file sul Desktop e poi eliminati
#9679; spariranno, per un attimo, tutte le icone presenti sul Desktop
#9679; potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
#9679; il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
#9679; potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non fosse presente
Quando ComboFix avrà concluso l'operazione di scansione:
#9679; il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
#9679; ricollega, fisicamente, il modem/router al Computer
#9679; connettiti a Internet
#9679; vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo |
|
|
|
Nuova72
New Member
41 Messaggi |
Inserito il - 17/02/2011 : 11:59:36
|
Scusate, in effetti non avevo letto le regole per i post!!!
Ho seguito le indicazioni e ho postato il file dei log a questo link (spero di avere fatto bene!):
htt*://[www].freefilehosting.net/combofix_14
Grazie ancora.
P.S.: il pc va già molto meglio!! |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 17/02/2011 : 18:06:10
|
Ciao.
Disinstalla Lavasoft AdAware.
Poi:
Scarica TDSSKiller: htt*://support.kaspersky[.com]/downloads/utils/tdsskiller.zip
#9679; estrai il contenuto del file zippato sul Desktop
#9679; doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan
Giunti a questo punto, inizia la scansione del tuo sistema alla ricerca di software malevolo:
#9679; se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
#9679; se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua
Una volta terminata la scansione, si presenterà una di queste due opzioni:
#9679; non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
#9679; è necessario riavviare il sistema: clicca su Riavvia ora
#9679; una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt |
|
|
|
Nuova72
New Member
41 Messaggi |
Inserito il - 18/02/2011 : 11:08:10
|
Ok, fatto. TDSSKiller non mi ha trovato infezioni o file sospetti.
Il report l'ho postato a questo link:
htt*://[www].freefilehosting.net/tdsskiller2417018022011104335log
Grazie |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 18/02/2011 : 16:36:53
|
Ciao nuova72.
Esegui la procedura descritta, rigorosamente nel suo ordine, per guadagnare spazio su disco, ottimizzare le prestazioni del sistema e mantenerne il suo corretto funzionamento.
Disinstalla i programmi di cui non fai uso, e tutte le Toolbar installate
Procedura per Windows XP:
#9679; clicca sul pulsante Start
#9679; apri il Pannello di controllo
#9679; clicca su Installazione applicazioni
#9679; seleziona il programma da disinstallare, e clicca sul tasto Rimuovi: partirà la procedura di disinstallazione del programma stesso
Procedura per Windows Vista e Windows Seven:
#9679; clicca sul pulsante Start
#9679; apri il Pannello di controllo
#9679; clicca su Programmi, e su Programmi e funzionalità
#9679; seleziona il programma da disinstallare, e clicca sul tasto Disinstalla: partirà la procedura di disinstallazione del programma stesso
******************************
Disattiva il Ripristino Configurazione di Sistema
Procedura per Windows XP:
#9679; clicca sul pulsante Start
#9679; tasto destro del mouse sull'icona Risorse del Computer
#9679; seleziona, dal menù contestuale, la voce Proprietà
#9679; apri la scheda Ripristino configurazione di sistema
#9679; metti la spunta alla voce Disattiva Ripristino configurazione di sistema su tutte le unità
#9679; conferma la modifica, con Applica e con OK
Procedura per Windows Vista e Windows Seven:
#9679; clicca sul pulsante Start
#9679; tasto destro del mouse sull'icona Computer
#9679; seleziona, dal menù contestuale, la voce Proprietà
#9679; clicca, nel menù a sinistra, su Protezione sistema: compare un avviso relativo al Controllo Account Utente: clicca su Continua
#9679; togli la spunta accanto a tutti i dischi presenti nel riquadro in basso
#9679; clicca su Disattiva Ripristino configurazione di sistema
#9679; conferma la modifica, con Applica e con OK
******************************
Scarica ATF Cleaner: htt*://[www].atribune.org/ccount/click.php?id=1
#9679; avvia il tool con un doppio click
#9679; seleziona l'ultima casella: Select All
#9679; clicca sul pulsante Empty Selected
#9679; una volta comparso l'avviso di avvenuta pulizia, clicca su OK
Se usi browser alternativi come Opera e Firefox per navigare in Internet, provvedi a provvedi a svuotare la loro cronologia e ad eliminare i file temporanei:
#9679; clicca, in alto, sulla loro scheda
#9679; seleziona l'ultima casella: Select All
#9679; il programma ti avviserà circa l'eliminazione delle Password salvate: clicca su Sì
#9679; clicca sul pulsante Empty Selected
#9679; una volta comparso l'avviso di avvenuta pulizia, clicca su OK
#9679; una volta terminate le operazioni, chiudi il programma
Nota: per eseguire correttamente ATF Cleaner su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
******************************
Scarica ed installa CCleaner: htt*://[www].piriform[.com]/ccleaner/download
Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare)
Una volta installato, esegui queste operazioni:
#9679; avvia il programma con un doppio click
#9679; nel menù di sinistra, portati alla voce Opzioni
#9679; nella finestra successiva, clicca su Impostazioni
#9679; spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)
Una volta eseguiti i passaggi indicati sopra:
#9679; clicca su Avanzate
#9679; togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore e alla voce Chiedi se salvare un backup dei problemi del registro
#9679; clicca, nel menù a sinistra, su Pulizia: nella sezione Avanzate, spunta le voci Vecchi dati Prefetch e Disinstallatori Aggiornamenti di Windows
#9679; clicca, in basso a destra, sul bottone Avvia Pulizia, per avviare la pulizia dei file temporanei
#9679; terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro
#9679; clicca sul tasto Trova Problemi, per avviare la ricerca delle voci di registro corrotte e danneggiate
#9679; al termine della scansione clicca sulla voce Ripara selezionati... e prosegui con la riparazione (quest' ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
#9679; una volta terminate le operazioni, chiudi il programma
******************************
Scarica TFC by OldTimer: htt*://oldtimer.geekstogo[.com]/TFC.exe
#9679; posiziona il tool sul Desktop
#9679; chiudi tutti i programmi attivi
#9679; avvia il tool con un doppio click
#9679; clicca, in basso a sinistra, sul pulsante Start
#9679; scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
#9679; clicca, in basso a destra, sul pulsante Exit
#9679; una volta terminate le operazioni, chiudi il programma
Nota: per eseguire correttamente TFC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
******************************
Svuota del suo contenuto la cartella Prefetch, seguendo questa semplice procedura:
#9679; clicca sul pulsante Start
#9679; clicca su Risorse del computer
#9679; clicca su Disco locale C:
#9679; individua ed apri la cartella WINDOWS
#9679; individua ed apri la cartella Prefetch: elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella
Nota: in caso tu abbia Windows Vista e Windows Seven, elimina il contenuto della cartella, meno il file Layout.ini
******************************
Lancia Hijackthis e pulisci gli ADS (esclusivamente su partizioni formattate in NTFS):
#9679; clicca sulla voce Open the Misc Tools section
#9679; clicca su Open ADS Spy..., nel tab System tools
#9679; in alto, togli la spunta alla voce Quick scan (Windows base folder only)
#9679; clicca, in basso, sul pulsante Scan
#9679; attendi pazientemente il termine della scansione
#9679; se venissero rilevati ADS, clicca con il tasto destro sulla prima casellina, e scegli la voce Select all
#9679; clicca, in basso, sul pulsante Remove selected: conferma con Sì
#9679; una volta terminate le operazioni, chiudi il programma
Nota: in caso tu disponga di un sistema operativo a 64 Bit, tralascia la procedura
******************************
Scarica OTC by OldTimer: htt*://oldtimer.geekstogo[.com]/OTC.exe
#9679; posiziona il tool sul Desktop
#9679; chiudi tutti i programmi attivi
#9679; avvia il tool con un doppio click
#9679; clicca sul pulsante CleanUp!
#9679; il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte
Note - riguardo al programma:
#9679; OTC by OldTimer va eseguito solamente nel caso tu abbia utilizzato particolari programmi, come ComboFix
#9679; per eseguire correttamente OTC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
******************************
Riabilita il Ripristino Configurazione di Sistema
Procedura per Windows XP:
#9679; clicca sul pulsante Start
#9679; tasto destro del mouse sull'icona Risorse del computer
#9679; seleziona la voce Proprietà
#9679; apri la scheda Ripristino configurazione di sistema
#9679; togli la spunta alla voce Disattiva Ripristino configurazione di sistema
#9679; conferma la modifica con Applica e poi OK
Procedura per Windows Vista e Windows Seven:
#9679; clicca sul pulsante Start
#9679; tasto destro del mouse sull'icona Computer
#9679; seleziona, dal menù contestuale, la voce Proprietà
#9679; clicca, nel menù a sinistra, su Protezione sistema: compare un avviso relativo al Controllo Account Utente: clicca su Continua
#9679; metti la spunta accanto a tutti i dischi presenti nel riquadro in basso
#9679; conferma la modifica con Applica e poi OK
******************************
Crea un nuovo Punto di Ripristino
Procedura per Windows XP:
#9679; clicca sul pulsante Start
#9679; scegli la voce Tutti i programmi
#9679; portati sulla voce Accessori
#9679; clicca su Utilità di sistema
#9679; clicca su Ripristino configurazione di sistema
#9679; scegli la voce Crea un punto di ripristino
#9679; clicca, in basso, sul pulsante Avanti
#9679; inserisci una breve descrizione
#9679; clicca sul pulsante Crea, ed attendi pazientemente la fine delle operazioni
Procedura per Windows Vista e Windows Seven:
#9679; clicca sul pulsante Start
#9679; tasto destro del mouse sull'icona Computer
#9679; seleziona, dal menù contestuale, la voce Proprietà
#9679; clicca, nel menù a sinistra, su Protezione sistema: compare un avviso relativo al Controllo Account Utente: clicca su Continua
#9679; clicca, in basso, su Crea...: inserisci una breve descrizione, e clicca sul pulsante Crea
#9679; attendi pazientemente la fine delle operazioni
#9679; conferma la modifica con OK e poi OK
******************************
Scarica ed installa Defraggler: htt*://[www].piriform[.com]/defraggler/download
Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare)
Una volta installato, esegui queste operazioni:
#9679; avvia il programma con un doppio click
#9679; seleziona, con il tasto sinistro del mouse, tutte le unità presenti
#9679; clicca, con il tasto destro del mouse, sullo spazio evidenziato in blu
#9679; dal menù contestuale, scegli la voce Deframmenta Drive
#9679; attendi pazientemente il termine delle operazioni
#9679; riavvia il sistema
******************************
Note - al termine della procedura:
#9679; allega un nuovo log di Hijackthis
#9679; comunica come funziona il sistema, e quali problemi riscontri attualmente |
|
|
|
Nuova72
New Member
41 Messaggi |
Inserito il - 18/02/2011 : 16:45:16
|
Grazie ancora x il tuo aiuto FDAC.
Prima di lanciare tutta la serie di procedure che sopra mi hai descritto, volevo capire, visto che il pc ora apparentemente sembra andare bene, in realtà ha ancora dei problemi???
Grazie x la tua pazienza |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 18/02/2011 : 17:17:40
|
Normalmente no, non dovresti averne.
Fammi sapere, ciao! |
|
|
|
skemp
New Member
41 Messaggi |
Inserito il - 04/04/2011 : 13:20:46
|
Salve a tutti, sono nuovo del forum. Anch'io sono stato intetto da una variante di questo trojan per la precisione kazy.17560.2 e ha intaccato C:\users\utente\appdata\local\abanel.dll. Questa è la mia situazione, come posso risolverla? Grazie anticipate.
htt*://[www].freefilehosting.net/hijackthis_120 |
Modificato da - skemp in data 04/04/2011 19:49:16 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/04/2011 : 07:28:49
|
|
Buon giorno, skemp apri una nuova discussione in computer virus esponendo il tuo problema, questa discussione è iniziata con un altro utente. |
|
|
| |
Discussione |
|
|
|
TRojan TR/Kazy
Forum Bloccato
