Visualizzazione Stampabile
-
Trojan malefico
Avast mi ha trovato un trojan malefico ma nè lui nè altri programmi (adaware, spybot, ecc.) sembrano riuscire a segarlo.
Il file infettato è svchost.dll
Ora leggendo su internet mi sembra di poter capire che si possa rimuovere con hijackthis, ma io non ci capisco nulla.
Vi posto il log, qualcuno mi sa dare una mano?
Grazie
Logfile of HijackThis v1.99.1
Scan saved at 16.24.39, on 06/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusche d.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System\regserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Avast4\ashMaiSv.exe
C:\Programmi\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusche d.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskb arInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCE L.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.D LL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineSca n.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
-
Re: Trojan malefico
ma il nome del trojan non lo sai?
-
Re: Trojan malefico
sei pressocché pulito a parte il processo regserv.exe e axeldebug. Quindi aspetterei a rimuoverli.
-
Re: Trojan malefico
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll
C:\WINDOWS\System\regserv.exe
fixa
-
Re: Trojan malefico
Citazione:
firewall76 ha scritto gio, 06 aprile 2006 alle 17:23
ma il nome del trojan non lo sai?
In effetti sarebbe utile sapere il nome del trojan rilevato... http://forumtgmonline.futuregamer.it...ns/sisi1xy.gif
-
Re: Trojan malefico
Non mi pare di aver letto un nome specifico... c'era scritto trojan 1320.
Comunque ho dato una pulita con un altro paio di programmi e forse ce l'ho fatta (con regRun credo).
Infatti la voce
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
è sparita, mentre l'altra
O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll
persiste.
Che faccio fixo lo stesso? Ma lo devo fare in modalità provvisoria?
Grazie dell'aiuto
-
Re: Trojan malefico
disabilita il ripristino di sistema.
-
Re: Trojan malefico
Allora il ripristino di sistema l'avevo già disabilitato.
Ho provato a fixare il file indicatomi ma riappare sempre.
Cliccando su info mi esce questa schermata
http://img60.imageshack.us/img60/1319/im magine4ss.jpg
Ma dove si trova la funzione delete on reboot? http://forumtgmonline.futuregamer.it...n_confused.gif
-
Re: Trojan malefico
dalla schermata principale di hijackthis scegli "open the misc tools section"...
-
Re: Trojan malefico
Trovato, però vuole il percorso del file. Io quel file non lo vedo nella cartella in cui dovrebbe essere (nemmeno tra i file nascosti), e non me lo trova nemmeno la funzione cerca di windows http://forumtgmonline.futuregamer.it...n_confused.gif
-
Re: Trojan malefico
Citazione:
Sam Fisher ha scritto gio, 06 aprile 2006 alle 18:54
Trovato, però vuole il percorso del file. Io quel file non lo vedo nella cartella in cui dovrebbe essere (nemmeno tra i file nascosti), e non me lo trova nemmeno la funzione cerca di windows
http://forumtgmonline.futuregamer.it...n_confused.gif
hai abilitato anche la visualizzazione dei file di sistema oltre a quelli nascosti?
l'opzione è sempre tra le opzioni delle cartelle; è una delle caselline da spuntare...
-
Re: Trojan malefico
Scusate ma ho dovuto staccare ieri.
Comunque riprendendo il discorso quel file non appare neanche tra i nascosti di sistema http://forumtgmonline.futuregamer.it.../icon_dead.gif
-
Re: Trojan malefico
hai provato con una scansione on line. Magari il nome del trojan compare in maniera più precisa.
-
Re: Trojan malefico
Ho trovato due topic di utenti con lo stesso problema:
-> http://forum.telecharger.01net.com/telec harger/securite_virus_et_assimiles/t***a n_et_spywares/infection_win32_trojano_13 20-398085/messages-1.html
-> http://forum.telecharger.01net.com/telec harger/securite_virus_et_assimiles/t***a n_et_spywares/win32trojan-1320_trj-39795 5/messages-1.html
Sono in francese ma bene o male hanno fatto quello che hai fatto tu finora, (ripulito con hijackthis), e in più una scansione completa con ewido dalla modalità provvisoria dopo aver disabilitato il ripristino di sistema...
Ovviamente fai anche la scansione online come suggerisce firewall che sicuramente è utile http://forumtgmonline.futuregamer.it...ns/sisi1xy.gif
