Maledetto Trojan

[elgrigno]

Spero di aver scelto il forum giusto, faccio sempre confusione!

Comunque, veniamo al problema. L'antivirus avast mi trova ogni 2 ore circa un troja, chiamato setup.exe o qualcosa di simile. Faccio quello che mi consiglia l'antivirus, cioè spostarlo nel cestino, ma poi in realtà ogni 2 ore torna il messaggio. C'è un programma sicuro col quale togliere questo trojan per sempre?

Ho provato ad aware e lo stesso avast ma non cambia la situazione

[blue_tech]

fai una scansione completa dalla modalità provvisoria dopo aver disabilitato il ripristino di sistema (questo se hai XP o ME)
usa anche questo -> http://www.ewido.net/en/

[elgrigno]

Non ho assolutamente idea di come fare una scansione dalla modalità provvisoria

Qualcosa di più semplice no?

Comunque da quel sito cosa scarico? AVG Anti-Spyware 7.5?

[blue_tech]

Non ho assolutamente idea di come fare una scansione dalla modalità provvisoria

Qualcosa di più semplice no?

Comunque da quel sito cosa scarico? AVG Anti-Spyware 7.5?

si scarica quello fai una scansione completa sia con quello che con l'antivirus dopo (almeno) aver disabilitato il ripristino di sistema:

click destro su "risorse del computer" -> scheda "ripristino configurazione di sistema" -> spunta "disattiva ripristino di sistema"

[elgrigno]

Sto facendo la scansione con AVG.. ma spuntando quella voce che succede? E poi la devo rimettere come all'inizio o lasciarlo per sempre così?

[firewall76]

Sto facendo la scansione con AVG.. ma spuntando quella voce che succede? E poi la devo rimettere come all'inizio o lasciarlo per sempre così?

sarebbe meglio rispuntarla. Un punto di ripristino fa sempre comodo.

[blue_tech]

Sto facendo la scansione con AVG.. ma spuntando quella voce che succede? E poi la devo rimettere come all'inizio o lasciarlo per sempre così?

praticamente facendo così vengono automaticamente cancellati tutti i punti di ripristino creati da te o da vari programmi o dal sistema stesso...
qui di solito i virus si copiano per potersi ripristinare anche dopo la pulizia

dopo la voce la riattivi

[elgrigno]

Finita la scansione, trovati 89 oggetti.. Eliminati tutti, ovviamente..

[blue_tech]

Finita la scansione, trovati 89 oggetti.. Eliminati tutti, ovviamente..

il problema è risolto?

[firewall76]

il problema è risolto?

dettagli

[elgrigno]

Faccio anche la scansione con avast e vedo che dice.. Per ora non è tornato il trojan, ma è passato troppo poco

[firewall76]

tanto noi non fuggiamo

[blue_tech]

tanto noi non fuggiamo

già

[elgrigno]

Niente, è già uscito

Che faccio?

[blue_tech]

Niente, è già uscito

Che faccio?

dicci il nome del virus che ti segnala e dove lo trova

[elgrigno]

Mi sono però dimenticato di fare quella cosa in modalità provvisoria.. la faccio? Praticamente spunto la voce poi dò ok e che faccio? Devo riavviare il pc? Che noob che sono

Comunque il file si chiama setup.exe e lo trovo in uno dei 2 dischi fissi. Non il principale diciamo, in una partizione dell'altro. (Praticamente ho C e l'altro diviso in F e in G. Il trojan lo trova in F)

[blue_tech]

Mi sono però dimenticato di fare quella cosa in modalità provvisoria.. la faccio? Praticamente spunto la voce poi dò ok e che faccio? Devo riavviare il pc? Che noob che sono

Comunque il file si chiama setup.exe e lo trovo in uno dei 2 dischi fissi. Non il principale diciamo, in una partizione dell'altro. (Praticamente ho C e l'altro diviso in F e in G. Il trojan lo trova in F)

allora la scansione dalla modalità provvisoria non dovrebbe servire visto che non si trova nemmeno sull'HD di sistema...

il file in questione non riesci a deliminarlo manualmente?
posta un log con hijackthis -> http://www.hijackthis.de/it

[elgrigno]

allora la scansione dalla modalità provvisoria non dovrebbe servire visto che non si trova nemmeno sull'HD di sistema...

il file in questione non riesci a deliminarlo manualmente?
posta un log con hijackthis -> http://www.hijackthis.de/it

Il file lo beccai una volta "fisicamente" proprio dove mi diceva avast.. lo presi e lo cancellai ma poi ogni tot torna..
Con hijackthis cosa dovrei fare di preciso?

[blue_tech]

Il file lo beccai una volta "fisicamente" proprio dove mi diceva avast.. lo presi e lo cancellai ma poi ogni tot torna..
Con hijackthis cosa dovrei fare di preciso?

lo scarichi, lo avvii e scegli la voce "do a system scan and save a log file"

il log lo posti qui e poi se serve fixi le voci che ti diciamo

[elgrigno]

Questo è ciò che dice:

Logfile of HijackThis v1.99.1
Scan saved at 22.00.59, on 10/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Windows Media Connect 2\WMCCFG.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programmi\Windows Media Connect 2\WMCCFG.exe" /StartQuiet
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

[firewall76]

Questo è ciò che dice:

Logfile of HijackThis v1.99.1
Scan saved at 22.00.59, on 10/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Windows Media Connect 2\WMCCFG.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programmi\Windows Media Connect 2\WMCCFG.exe" /StartQuiet
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

fixa queste due voci per cominciare

[elgrigno]

Fixare che vuol dire? Che faccio di preciso? Sono files pericolosi?

[firewall76]

per il resto mi sembra pulito

[blue_tech]

fixerei queste due:
-> O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
-> O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

poi rifai la scansione con avast

EDIT: sono arrivato tardi
cmq per fixare devi selezionare le voci dall'elenco e poi cliccare fix

[firewall76]

Fixare che vuol dire? Che faccio di preciso? Sono files pericolosi?

nel menu di hijackthis c'è la voce fix in italiano ripara.
Le voci sono infette