Trojan malefico

[Sam Fisher]

Avast mi ha trovato un trojan malefico ma nè lui nè altri programmi (adaware, spybot, ecc.) sembrano riuscire a segarlo.
Il file infettato è svchost.dll
Ora leggendo su internet mi sembra di poter capire che si possa rimuovere con hijackthis, ma io non ci capisco nulla.
Vi posto il log, qualcuno mi sa dare una mano?
Grazie

Logfile of HijackThis v1.99.1
Scan saved at 16.24.39, on 06/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusche d.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System\regserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Avast4\ashMaiSv.exe
C:\Programmi\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusche d.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskb arInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCE L.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.D LL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineSca n.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

[firewall76]

ma il nome del trojan non lo sai?

[firewall76]

sei pressocché pulito a parte il processo regserv.exe e axeldebug. Quindi aspetterei a rimuoverli.

[firewall76]

O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll
C:\WINDOWS\System\regserv.exe
fixa

[blue_tech]

firewall76 ha scritto gio, 06 aprile 2006 alle 17:23
ma il nome del trojan non lo sai?

In effetti sarebbe utile sapere il nome del trojan rilevato...

[Sam Fisher]

Non mi pare di aver letto un nome specifico... c'era scritto trojan 1320.
Comunque ho dato una pulita con un altro paio di programmi e forse ce l'ho fatta (con regRun credo).
Infatti la voce

O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s

è sparita, mentre l'altra

O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll

persiste.
Che faccio fixo lo stesso? Ma lo devo fare in modalità provvisoria?
Grazie dell'aiuto

[firewall76]

disabilita il ripristino di sistema.

[Sam Fisher]

Allora il ripristino di sistema l'avevo già disabilitato.
Ho provato a fixare il file indicatomi ma riappare sempre.
Cliccando su info mi esce questa schermata
http://img60.imageshack.us/img60/1319/im magine4ss.jpg
Ma dove si trova la funzione delete on reboot?

[blue_tech]

Sam Fisher ha scritto gio, 06 aprile 2006 alle 18:41
Allora il ripristino di sistema l'avevo già disabilitato.
Ho provato a fixare il file indicatomi ma riappare sempre.
Cliccando su info mi esce questa schermata
http://img60.imageshack.us/img60/1319/im magine4ss.jpg
Ma dove si trova la funzione delete on reboot?

dalla schermata principale di hijackthis scegli "open the misc tools section"...

[Sam Fisher]

Trovato, però vuole il percorso del file. Io quel file non lo vedo nella cartella in cui dovrebbe essere (nemmeno tra i file nascosti), e non me lo trova nemmeno la funzione cerca di windows

[blue_tech]

Sam Fisher ha scritto gio, 06 aprile 2006 alle 18:54
Trovato, però vuole il percorso del file. Io quel file non lo vedo nella cartella in cui dovrebbe essere (nemmeno tra i file nascosti), e non me lo trova nemmeno la funzione cerca di windows

hai abilitato anche la visualizzazione dei file di sistema oltre a quelli nascosti?

l'opzione è sempre tra le opzioni delle cartelle; è una delle caselline da spuntare...

[Sam Fisher]

Scusate ma ho dovuto staccare ieri.
Comunque riprendendo il discorso quel file non appare neanche tra i nascosti di sistema

[firewall76]

hai provato con una scansione on line. Magari il nome del trojan compare in maniera più precisa.

[blue_tech]

Ho trovato due topic di utenti con lo stesso problema:

-> http://forum.telecharger.01net.com/telec harger/securite_virus_et_assimiles/t***a n_et_spywares/infection_win32_trojano_13 20-398085/messages-1.html
-> http://forum.telecharger.01net.com/telec harger/securite_virus_et_assimiles/t***a n_et_spywares/win32trojan-1320_trj-39795 5/messages-1.html

Sono in francese ma bene o male hanno fatto quello che hai fatto tu finora, (ripulito con hijackthis), e in più una scansione completa con ewido dalla modalità provvisoria dopo aver disabilitato il ripristino di sistema...

Ovviamente fai anche la scansione online come suggerisce firewall che sicuramente è utile