Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Generatore di cavalli di troia Opzioni
jjmmy
Inviato: Tuesday, January 15, 2008 4:27:59 PM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Dopo aver scaricato un programma non propriamente "certificato" da un sito tutto sommato affidabile nel computer che utilizzo in ufficio si è insediato un programma generatore di eseguibili contenenti tutti dei cavalli di troia. Questo programma, nascosto chissà dove, non fa che generare continuamente eseguibili tipo 529782.exe (esempio) che puntualmente l'antivirus Avast intercetta, riconosce come virus Win32:Alphabet-0 (Trj) e mi fa spostare nel cestino.
Invio il log del computer infetto. Potete essere gentili da dirmi come fare per eliminare questo maledetto generatore di cavalli di troia? Grazie, jjmmy

Logfile of HijackThis v1.99.1
Scan saved at 16.00.23, on 15/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\FreePOPs\freepopsservice.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programmi\HighCriteria\TotalRecorder\TotRecSched.exe
C:\WINNT\avp.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Everyday Auto Backup\AutoBackup.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Alwil Software\Avast4\ashSimpl.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unipr.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Italiano clic] C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe /w
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programmi\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Everyday Auto Backup] C:\Programmi\Everyday Auto Backup\AutoBackup.exe /1
O4 - Startup: Collegamento a freepopsd.exe.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Startup: Collegamento a Microsoft Outlook.lnk = ?
O4 - Startup: Collegamento a Smc.exe.lnk = C:\Programmi\Sygate\SPF\Smc.exe
O8 - Extra context menu item: Download using Download &Express - C:\PROGRAMMI\DOWNLOAD EXPRESS\Add_Url.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192116555099
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{338CD1F2-9515-4121-A307-391048F28098}: NameServer = 160.78.48.10,192.135.11.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{338CD1F2-9515-4121-A307-391048F28098}: NameServer = 160.78.48.10,192.135.11.20
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - (no file)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\Oracle\Ora81\BIN\ONRSD.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Microsoft Service Manager (winmdgr) - Sygate Technologies, Inc. - (no file)

Sponsor
Inviato: Tuesday, January 15, 2008 4:27:59 PM

 
antonpaco
Inviato: Tuesday, January 15, 2008 5:31:31 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
uso anche io avast e quando trova qualcosa, una volta messo nel cestino non da' nessun problema, e' possibile che sia qualcosa di piu' grave che un semplice trojan.
jjmmy
Inviato: Wednesday, January 16, 2008 8:45:20 AM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Lo so che Avasta funziona discretamente ma qui c'è un continuo generare eseguibili infetti. Dal log si può vedere cosa genera questi eseguibili? Grazie, jjmmy
a.roselli
Inviato: Wednesday, January 16, 2008 10:33:15 AM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,054
Il log è pulito da spyware

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym
se la scansione on line rileva dei virus significa che il tuo antivirus è stato infettato o non è in grado di risolvere il problema, ti consiglio di formattare il disco fisso e reinstallare tutto.

alfonso_aiutamici@hotmail.it

mantas66
Inviato: Wednesday, January 16, 2008 2:01:05 PM
Rank: Member

Iscritto dal : 8/22/2006
Posts: 9
ciao,
a questo proposito vorrei chiedere una cosa.
Se l'antivirus è infetto non funziona, ma tentando di usare un altro antivirus si può risolvere la cosa?
Cioè se ho avg e lo disinstallo e carico avast per esempio si risolve qualcosa (sempre che ad esempio avast trovi i virus e li distrugga).

E' forse troppa fantasia?

Ciao a tutti
carlo
jjmmy
Inviato: Wednesday, January 16, 2008 6:42:48 PM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Caro Alfonso ho già provveduto a far fare una scansione on line col mezzo della security.symantec.com che mi hai consigliato ma il risultato è stato che non sono stati trovati nè virus nè spionen. Tuttavia Avast ogni minuto circa continua a segnalarmi la presenza di eseguibili nella cartella "programmi" che puntualmente mi consiglia di mettere nel cestino. Ogni tanto ripulisco il cestino e così via. A parte la scocciatura di vedersi apparire l'allert di Avast ogni minuto, il problema è che potrei sbagliarmi e far partire, senza volerlo, l'eseguibile. E questo sarebbe un vero guaio. Questi eseguibili sono formati da un numero, che si incrementa sempre di più (sono partito da 2510.exe e ora sono arrivato a 12256.exe), con l'estensione exe e vanno a posizionarsi nella cartella "programmi" di WINDOWS.
In un primo momento Avast non li riconosceva. Il firewal (Sygate) invece notificava continuamente che un certo eseguibile tentava di andare in rete e avvisava di averlo bloccato. Se si tentava di rimuovere questi eseguibili manualmente il sistema non lo permetteva perchè tali file erano utilizzati da Windows. Stavo pensando di rimuoverli con l'aiuto di qualche programma terzo scaricato dal sito di Aiutamici quando all'improvviso Avast si è svegliato ed è cominciata la tarantella!
Da qualche parte si nasconde il generatore di questi eseguibili ma dove?
Non riesco a pensare ad un formattore generale perchè sul computer sono presenti programmi che per essere reinstallati mi costerebbero non poca fatica e richieste gerarchiche complesse. Si può fare qualcosa per scovare questo maledetto? Grazie, jjmmy
a.roselli
Inviato: Wednesday, January 16, 2008 7:01:48 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,054
mantas66 ha scritto:
ciao,
a questo proposito vorrei chiedere una cosa.
Se l'antivirus è infetto non funziona, ma tentando di usare un altro antivirus si può risolvere la cosa?
Cioè se ho avg e lo disinstallo e carico avast per esempio si risolve qualcosa (sempre che ad esempio avast trovi i virus e li distrugga).

E' forse troppa fantasia?

Ciao a tutti
carlo



Se il sistema è infetto, è inutile installare un altro antivirus, si utilizza il controllo on line solo per controllare se il sistema è realmente infetto, in tal caso conviene formattare e reinstallare tutto.


alfonso_aiutamici@hotmail.it

a.roselli
Inviato: Wednesday, January 16, 2008 7:02:57 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,054
jjmmy ha scritto:
Caro Alfonso ho già provveduto a far fare una scansione on line col mezzo della security.symantec.com che mi hai consigliato ma il risultato è stato che non sono stati trovati nè virus nè spionen. Tuttavia Avast ogni minuto circa continua a segnalarmi la presenza di eseguibili nella cartella "programmi" che puntualmente mi consiglia di mettere nel cestino. Ogni tanto ripulisco il cestino e così via. A parte la scocciatura di vedersi apparire l'allert di Avast ogni minuto, il problema è che potrei sbagliarmi e far partire, senza volerlo, l'eseguibile. E questo sarebbe un vero guaio. Questi eseguibili sono formati da un numero, che si incrementa sempre di più (sono partito da 2510.exe e ora sono arrivato a 12256.exe), con l'estensione exe e vanno a posizionarsi nella cartella "programmi" di WINDOWS.
In un primo momento Avast non li riconosceva. Il firewal (Sygate) invece notificava continuamente che un certo eseguibile tentava di andare in rete e avvisava di averlo bloccato. Se si tentava di rimuovere questi eseguibili manualmente il sistema non lo permetteva perchè tali file erano utilizzati da Windows. Stavo pensando di rimuoverli con l'aiuto di qualche programma terzo scaricato dal sito di Aiutamici quando all'improvviso Avast si è svegliato ed è cominciata la tarantella!
Da qualche parte si nasconde il generatore di questi eseguibili ma dove?
Non riesco a pensare ad un formattore generale perchè sul computer sono presenti programmi che per essere reinstallati mi costerebbero non poca fatica e richieste gerarchiche complesse. Si può fare qualcosa per scovare questo maledetto? Grazie, jjmmy



Ciao,
esegui queste operazioni

ATTENZIONE prima di procedere con le riparazioni, fate la copia di riserva dei vostri dati,
leggete questo articolo http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80118
a volte eliminando un virus il sistema potrebbe non riavviarsi.
____________________________

Disattiva il ripristino di configurazione, leggi qui come fare
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Riavvia in modalità provvisoria, leggi qui come fare
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

Elimina i file inutili del sistema utilizzando questo programma
http://www.aiutamici.com/software?ID=11223

Utilizza questo programma per eliminare eventuali spyware
http://www.aiutamici.com/software?ID=10831

sempre in modalità provvisoria fai una scansione Antivirus,
se non hai un antivirus, utilizza questo programma
http://www.aiutamici.com/software?ID=11485

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui http://guide.aiutamici.com/guide?C1=7&C2=16&ID=80161
in caso di problemi lascialo disattivato fino alla soluzione dei problemi

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym
se la scansione on line rileva dei virus significa che il tuo antivirus è stato infettato o non è in grado di risolvere il problema, ti consiglio di formattare il disco fisso e reinstallare tutto.

alfonso_aiutamici@hotmail.it

Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.