Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiuto! :° Traojan che tornano... Opzioni
^^MARS^^
Inviato: Monday, December 26, 2005 11:54:32 AM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Breve premessa:
Avevo il kaspersky come antivirus, sennonchè un bel giorno il mio povero Pc è stato infettato. Virus che ha preso 2 Hard disk, ma non quello del sistema operativo. Mi ha cambiato i nomi degli hard disk e mi ha attaccato tutti i file .exe(compreso quello dell'antivirus..............). Comunque ho riformattato, ma da qualche giorno mi ricompare sempre un file Install.exe (di 54 K, rilevato dal NOD32 come trojan) con il relativo autorun su "P", su "D" e sempre su D nella cartella di emule (mentre C, il sistema operativo, anche in questo caso nn viene toccato).....da precisare che cmq il file ricompare anche se nn sono collegato con emule (ma sempre in quei 3 posti prima descritti). Ultima cosa, quelle tre allocazioni sono condivise con un altro computer portatile, ma anche in questo caso, scollegato dallo stesso computer portatile, dopo mezz'oretta circa ricompare sempre lo stesso Trojan....
CHE DEVO FARE X ELIMINARLO??? AIUTOOO...
Buon Natale a tutti e grazie anticipato!!
Sponsor
Inviato: Monday, December 26, 2005 11:54:32 AM

 
alfonso
Inviato: Monday, December 26, 2005 12:21:12 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Scarica questo programma e leggi le istruzioni per inserire il log
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175


Collaboratore Aiutamici
^^MARS^^
Inviato: Monday, December 26, 2005 12:44:15 PM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Logfile of HijackThis v1.99.1
Scan saved at 12.38.31, on 26/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\USB ADSL\CnxDslTb.exe
D:\Programmi\Eset\nod32kui.exe
P:\Programmi\MessengerPlus! 3\MsgPlus.exe
D:\Programmi\File comuni\Real\Update_OB\realsched.exe
P:\PROGRA~1\HELPEX~1\SMARTB~1\MotiveSB.exe
D:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
P:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
P:\Programmi\QuickTime\qttask.exe
D:\Programmi\Messenger\msmsgs.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
D:\Programmi\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
P:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Programmi\Eset\nod32krn.exe
D:\WINDOWS\system32\svchost.exe
p:\Programmi\HELPExpress\bin\mpbtn.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
P:\Programmi\Anti-Blaxx\Anti-Blaxx.exe
P:\Programmi\Mozilla\firefox.exe
C:\Emule\emule.exe
D:\WINDOWS\explorer.exe
D:\Programmi\MSN Messenger\msnmsgr.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\aaa\Desktop\HijackThis.exe

O4 - Startup: Reboot.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7022AE13-4CDF-435E-BD8E-34E724572935}: NameServer = 62.211.69.150 212.48.4.15
alfonso
Inviato: Monday, December 26, 2005 12:46:00 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Il log é incompleto, ne manca oltre la metà, selezionalo tutto in avvio normale.

Collaboratore Aiutamici
^^MARS^^
Inviato: Monday, December 26, 2005 8:52:11 PM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Grazie di tutto, ho risolto: Alfonso 6 un grande!!!!<img src=icon_smile_big.gif border=0 align=middle><img src=icon_smile_big.gif border=0 align=middle><img src=icon_smile_big.gif border=0 align=middle><img src=icon_smile_big.gif border=0 align=middle><img src=icon_smile_cool.gif border=0 align=middle>
alfonso
Inviato: Tuesday, December 27, 2005 12:05:29 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Scusami ma non ho fatto nulla, ti ho chiesto di reinsterire il log in quanto era incompleto e impossibile da controllare

la riga

O4 - Startup: Reboot.exe


sarebbe da eliminare, ma e meglio che inserisci tutto il log, invialo anche se hai risolto il problema, cosi vediamo se i programmi antispyware hanno rimosso proprio tutto.

Collaboratore Aiutamici
^^MARS^^
Inviato: Tuesday, December 27, 2005 12:14:37 AM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Era quello x questo t ho ringraziato, ke m'hai fatto fare la scansione con quel programma:P
^^MARS^^
Inviato: Wednesday, December 28, 2005 10:04:04 AM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Avevo messo solo quella parte di log perchè quella scimmia di mio fratello ha messo in ignore list i programmi sicuri......Come faccio a ripristinare le impostazione iniziali?????
Così metto il log completo....:°°°(
^^MARS^^
Inviato: Wednesday, December 28, 2005 10:31:08 AM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
PS m'ha cambiato di nuovo il nome di un hard disk.... sono disperato -.-
a.roselli
Inviato: Wednesday, December 28, 2005 12:41:14 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,052
Ti consiglio di fare le copie di riserva dei tuoi dati e di formattare il disco fisso

non si può nascondere nel log di Hijack i programmi in esecuzione, se non compaiono nel log sicuramente il sistema è danneggiato o infetto.

alfonso_aiutamici@hotmail.it

^^MARS^^
Inviato: Wednesday, December 28, 2005 6:27:03 PM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Questo è il Log.... si può fà qualcosa??

Logfile of HijackThis v1.99.1
Scan saved at 18.21.43, on 28/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\USB ADSL\CnxDslTb.exe
D:\Programmi\Eset\nod32kui.exe
P:\Programmi\MessengerPlus! 3\MsgPlus.exe
D:\Programmi\File comuni\Real\Update_OB\realsched.exe
P:\PROGRA~1\HELPEX~1\SMARTB~1\MotiveSB.exe
D:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
P:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
P:\Programmi\Anti-Blaxx\Anti-Blaxx.exe
P:\Programmi\QuickTime\qttask.exe
D:\Programmi\Messenger\msmsgs.exe
P:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
D:\Programmi\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
D:\Programmi\Eset\nod32krn.exe
D:\WINDOWS\system32\svchost.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
P:\Programmi\Mozilla\firefox.exe
C:\Emule\emule.exe
P:\Programmi\Sports Interactive\Football Manager 2006\fm.exe
D:\DOCUME~1\aaa\IMPOST~1\Temp\~e5.0001
D:\Documents and Settings\aaa\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7022AE13-4CDF-435E-BD8E-34E724572935}: NameServer = 62.211.69.150 212.48.4.15

alfonso
Inviato: Wednesday, December 28, 2005 7:01:45 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
esegui queste operazioni

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono.

==================================
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
==================================


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

Fai una scansione con questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1286

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui alla voce 8
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=170&SH=N


Fai un controllo antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym

Collaboratore Aiutamici
^^MARS^^
Inviato: Thursday, December 29, 2005 2:11:54 AM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Ma questa riga invece cos'è??
O17 - HKLM\System\CCS\Services\Tcpip\..\{7022AE13-4CDF-435E-BD8E-34E724572935}: NameServer = 62.211.69.150 212.48.4.15


Il sito del programma mi dice ke è molto sopsetta e mi dice d cancellarla se nn conosco l'IP..... la lascio???? O cancello????
a.roselli
Inviato: Thursday, December 29, 2005 12:46:27 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,052
Puoi anche cancellarla, ma non é un problema grave.

hai risolto il problema con quei controlli?

alfonso_aiutamici@hotmail.it

^^MARS^^
Inviato: Thursday, December 29, 2005 3:54:38 PM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Quella riga ritorna di sovente! La cancello ogni volta???
Comunque ora sembra che vada tutto bene, speriamo.

Grazie tante!
^^MARS^^
Inviato: Thursday, December 29, 2005 4:33:15 PM
Rank: Member

Iscritto dal : 4/22/2005
Posts: 0
Questo è il log finale:
Logfile of HijackThis v1.99.1
Scan saved at 16.29.53, on 29/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\Eset\nod32kui.exe
P:\Programmi\MessengerPlus! 3\MsgPlus.exe
D:\Programmi\File comuni\Real\Update_OB\realsched.exe
P:\PROGRA~1\HELPEX~1\SMARTB~1\MotiveSB.exe
D:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
P:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
P:\Programmi\Anti-Blaxx\Anti-Blaxx.exe
P:\Programmi\QuickTime\qttask.exe
D:\Programmi\Messenger\msmsgs.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
D:\Programmi\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
P:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Programmi\Eset\nod32krn.exe
D:\WINDOWS\system32\svchost.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
P:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\system32\wscntfy.exe
P:\Programmi\Mozilla\firefox.exe
D:\Documents and Settings\aaa\Desktop\HijackThis.exe
D:\WINDOWS\system32\NOTEPAD.EXE

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7022AE13-4CDF-435E-BD8E-34E724572935}: NameServer = 62.211.69.150 212.48.4.15

Devo cancellare qualcosa??
Buon Anno a tutti!!
alfonso
Inviato: Thursday, December 29, 2005 9:19:41 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Se il sistema non presenta errori tienitelo cosi, altrimenti é da formattare e reinstallare tutto.

Collaboratore Aiutamici
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.