Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Trojan nel mio pc! Opzioni
forgotten93
Inviato: Sunday, August 09, 2009 2:22:45 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
Ciao a tutti mi sono appena iscritta perchè ho un problema che non riesco a risolvere sola.
Credo propio di avere un bel pò di trojan nel pc perchè succedono cose strane. Mi capita gia da un paio di settimane,che quando apro firefox x navigare la pagina sembra in caricamento ma in però rimane così bianca per tanto tempo mentre sotto appare "completato" e anche selezionando altri siti non va..è successo ieri sera. Cosi ho aggiornato la conness. nulla..ho tolto la spina del router e l'ho rimessa..nulla..allora ho riavviato il pc e cosi ho potuto di nuovo navigare. Invece la settimana scorsa mentre navigavo con firefox non mi caricava piu siti sempre con quella pagina bianca in attesa di..ma nulla...se andavo su google e ricercavo qualcosa mi usciva ma se ci cliccavo succedeva la stessa cosa..anzi si aprivano i siti ma erano visualizzati in modo strano con lettere grandi,senza immagini.Allora ho aggiornato spybot e ad-aware...ho installato trojan remover e ci ho fatto una scansione (oltre che con Avira!) ad-aware ha trovato 1 trojan, trojan rem ne ha trovati 2! spybot nulla...e Avira ne ha trovato 1. Ma dopo l'episodio di ieri sera ho deciso di provare a fare di nuovo le scansioni in mod provvisoria e Avira mi ha trovato sempre questo trojan,agent.csrz che io avevo messo in quarantena..sia la settimana scorsa,sia ieri sera che me l'ha segnalato x 2 volte e sia stamattina. Ho fatto anche una pulizia con Ccleaner. Ma il punto è che ora ho molti dubbi che ci sia ancora o che si riproduca e non so come fare...ho scaricato HIJACKTHIS l'ho scompattato e ho aperto l'exe..ma mi dice: IMPOSSIBILE AVVIARE L'APPLICAZIONE SPECIFICATA. MSVBVM60.DLL NON è STATO TROVATO. UNA NUOVA INSTALLAZIONE DELL'APPLICAZIONE POTREBBE RISOLVERE IL PROBLEMA. L'ho installato tante volte ma dice sempre cosi,ho provato anche a riscaricarlo nulla...ho provato ha installarlo in mod provvisoria..niente!! spero che voi mi aiutate..siete la mia unica speranza! scusate se ho scritto tanto volevo mettere tutto in unico post! ciao
Sponsor
Inviato: Sunday, August 09, 2009 2:22:45 PM

 
wolfestein
Inviato: Sunday, August 09, 2009 2:56:45 PM

Rank: AiutAmico

Iscritto dal : 2/15/2009
Posts: 15,949
Mentre aspetti i consigli di chi è più esperto di me in questo campo fai queste operazioni di base.
Disattiva il ripristino di sistema
Entra in modalità provvisoria.
Fai le scansioni con Antivirus,Spyboot e MalwareBytes(se non lo hai scaricalo da aiutamici) ed elimina tutto cio che trovano.
In esegui scrivi o copia incolla questa stringa %temp% ed elimina tutto(sono file temporanei di sistema).
Con Ccleaner ripulisci sia i file temporanei che il registro.
Riavvia e in C:Windows trova la cartella Prefetch e elimina il contenuto(Non la cartella).
Prova ad installare HijackThis e se ci riesci posta il log.
Se sei la Ilaria che penso mandami un PM.
Ciao!
r16
Inviato: Sunday, August 09, 2009 2:58:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vedi se riesci a installare questo sofware:
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.

Se non riesci, prova a installarlo (con un'altro pc) su una PenDrive, e poi lo trascini sul pc infetto e fai la scansione.
Aggiornalo PRIMA di scaricarlo nella PenDrive.

Per le operazioni consigliate dall'amico wolfestein , devi avere come S.O XP.
forgotten93
Inviato: Sunday, August 09, 2009 3:13:18 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
grazie proverò a fare tutto quel che avete scritto! comunque HiJackthis l'ho installato...mancava una dll di windows! ora vi posto il log di hijackthis e anche di quell'altro progamma! grazie ancora!!
forgotten93
Inviato: Sunday, August 09, 2009 3:34:39 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
ecco il log di HiJackThis

Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ASTSRV.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Mario\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programmi\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nalpeiron Licensing Service (ASTSRV) - Nalpeiron Ltd. - C:\WINDOWS\system32\ASTSRV.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate1ca136b7c496576) (gupdate1ca136b7c496576) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 8159 bytes
forgotten93
Inviato: Sunday, August 09, 2009 3:44:03 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
ho fatto la scansione con MalwareBytes e mi ha trovato altra roba Brick wall
ecco il log:

Malwarebytes' Anti-Malware 1.40
Versione del database: 2585
Windows 5.1.2600 Service Pack 3

09/08/2009 15.41.50
mbam-log-2009-08-09 (15-41-50).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 91979
Tempo trascorso: 7 minute(s), 37 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5c0-4fcb-11cf-aax5-10401c608512} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

File infetti:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
r16
Inviato: Sunday, August 09, 2009 3:47:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Penso che se fai la scansione completa (invece della rapida) ne trova ancora di infezioni.
forgotten93
Inviato: Sunday, August 09, 2009 3:54:58 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
ah sorry! ora faccio la completa! ma sul log di HiJackThis non c'è nulla?
cmq lle infezioni nel Recycler me le aveva gia trovate Avira ieri sera ed io le ho messe in quarantina..come mai sono ancora nel pc?
r16
Inviato: Sunday, August 09, 2009 4:00:40 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
forgotten93 ha scritto:
ah sorry! ora faccio la completa! ma sul log di HiJackThis non c'è nulla?

Nulla di preoccupante.
Vai in Installazione Applicazioni, e rimuovi TUTTE le versioni Java che trovi.
Poi esegui le operazioni che ti ha consigliato Wolfstein.
Esegui la scansione completa di Malwarebytes.
Installa questa versione di Java.
http://www.aiutamici.com/software?ID=11134


forgotten93
Inviato: Sunday, August 09, 2009 4:17:37 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
r16 non so come ringraziarti! nel frattempo che malwarebytes fa la scansione ho disinstallato tutte le versioni di java che avevo e sto installando quella del tuo link! grazie ancora per l'aiuto!
r16
Inviato: Sunday, August 09, 2009 4:20:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Mica abbiamo finito....Drool
Finita la scansione di MBAM, per sicurezza , dovresti farne un'altra.
Ma prima devo vedere il log di MBAM.
P.S:
Ma......hai disistallato Java durante la scansione di MBAM?Sick
forgotten93
Inviato: Sunday, August 09, 2009 4:24:59 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
ehmm si...l'ho disinstallata adesso mentre sta facendo la scansione...ho sbagliato? XD
r16
Inviato: Sunday, August 09, 2009 4:28:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
forgotten93 ha scritto:
ehmm si...l'ho disinstallata adesso mentre sta facendo la scansione...ho sbagliato? XD

Figurati........Brick wall
Quando si esegue una scansione (QUALSIASI) non si dovrebbe nemmeno toccare il mouse.
Pensa te, se addirittura nel frattempo, ti metti a disistallare programmi.
Tu scherzi con il fuoco.......Whistle
forgotten93
Inviato: Sunday, August 09, 2009 4:33:53 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
madò non lo sapevo Anxious ! ho anche installato JavaBrick wall spero che non comprometta il risultato della scansione!
r16
Inviato: Sunday, August 09, 2009 4:36:16 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Non sò se devo mettermi a ridere, o piangere come una fontana........Think
Aspetto il log di MBAM......e per favore, non toccare più niente...Drool
forgotten93
Inviato: Sunday, August 09, 2009 5:38:06 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
ecco il file log: sembra nn aver trovato nulla!!!! Dancing

Malwarebytes' Anti-Malware 1.40
Versione del database: 2585
Windows 5.1.2600 Service Pack 3

09/08/2009 17.36.53
mbam-log-2009-08-09 (17-36-53).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 188777
Tempo trascorso: 1 hour(s), 11 minute(s), 58 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
ecofive
Inviato: Sunday, August 09, 2009 5:41:35 PM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
Come inizio non c'è male. R16, amico mio e compagno di lettura di tabulati, dove si acquista la tantissima pazienza che hai?
Ciao e buona domenica.
forgotten93
Inviato: Sunday, August 09, 2009 5:51:03 PM
Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 124
è vero non so come fa ad avere cosi pazienza..specialmente quando si trova davanti soggetti come me! Drool
ecofive
Inviato: Sunday, August 09, 2009 5:56:01 PM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
La pazienza e la cortesia di R16 sono eccezionali, non ti preoccupare e ... lasciati guidare.
Ciao.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.