PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: trojan.dropper

Altre pagine della discussione:




fievel75
Principiante Principiante
fievel75
Principiante Principiante
fievel75
Principiante
Principiante

Avatar generico


Iscritto dal : 24/Maggio/2005
Status: Offline
Posts: 46
Riporta il testo di: fievel75 Rispondibullet Topic: Post n° 70.062 - Postato: 05/Luglio/2007 alle 11:23


ciao a tutti.
il mio pc è infetto da trojan.dropper.....
in pratica, ogni mattina quando lo accendo, trova un file infetto da quel visus (spoolsv32.exe in temp) lo elimina e poi va, fino alla mattina dopo quando ritrova questo file....
inoltre stamattina c'era anche questo: bloodhound.ww32.1 (sempre un file in temp...che però diceva accesso negato....)
 
ho cancellato tutti i temp, file temporanei, scansione con avast, norton, ho ripulito con ccleaner........ il norton non rileva nessun virus.......
 
come faccio per leiminarlo del tutto??
grazie per l'aiuto....
simona


RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.197
Riporta il testo di: RAVEN Rispondibullet Topic: Post n° 70.087 - Postato: 05/Luglio/2007 alle 20:49


fai una scansione online da qui

 
e clicca sul bottone KASPERSKY ONLINE SCANNER
 
accetta il piccolo programma Activex che serve da ponte per la scansione e facci sapere....dovrebbe trovare il problema e permetterti di rimuoverlo, ma almeno facciamo una verifica con un antivirus serio sulla presenza di queste due minacce....



Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



fievel75
Principiante Principiante
fievel75
Principiante Principiante
fievel75
Principiante
Principiante

Avatar generico


Iscritto dal : 24/Maggio/2005
Status: Offline
Posts: 46
Riporta il testo di: fievel75 Rispondibullet Topic: Post n° 70.103 - Postato: 06/Luglio/2007 alle 10:31


Postato originariamente da RAVEN

fai una scansione online da qui

 
e clicca sul bottone KASPERSKY ONLINE SCANNER
 
accetta il piccolo programma Activex che serve da ponte per la scansione e facci sapere....dovrebbe trovare il problema e permetterti di rimuoverlo, ma almeno facciamo una verifica con un antivirus serio sulla presenza di queste due minacce....
 
Grazie raven....
ho fatto lo scan......ma dite che devo resettare il pc??? Mannaggia, on so come si fa......siccome il pc è dell'ufficio, ed è installato il norton antivirus.....reinstallando tutto, l'abbonamento di quest'anno lo perdo?
grazie per l'aiuto...
simona
 
 


fievel75
Principiante Principiante
fievel75
Principiante Principiante
fievel75
Principiante
Principiante

Avatar generico


Iscritto dal : 24/Maggio/2005
Status: Offline
Posts: 46
Riporta il testo di: fievel75 Rispondibullet Topic: Post n° 70.104 - Postato: 06/Luglio/2007 alle 10:32


Postato originariamente da RAVEN

fai una scansione online da qui

 
e clicca sul bottone KASPERSKY ONLINE SCANNER
 
accetta il piccolo programma Activex che serve da ponte per la scansione e facci sapere....dovrebbe trovare il problema e permetterti di rimuoverlo, ma almeno facciamo una verifica con un antivirus serio sulla presenza di queste due minacce....
 
Grazie raven....
ho fatto lo scan......ma dite che devo resettare il pc??? Mannaggia, on so come si fa......siccome il pc è dell'ufficio, ed è installato il norton antivirus.....reinstallando tutto, l'abbonamento di quest'anno lo perdo?
 
ecco il risultato:
***Editato: solo le voci trovate infette sono state lasciate***

C:\WINDOWS\system32\~.exe     Infected: Trojan-Clicker.Win32.Small.kj
C:\WINDOWS\svchost.dll              Infected: Trojan-Clicker.Win32.Small.kj
C:\WINDOWS\svchost.exe            Infected: Trojan-Clicker.Win32.Small.kj
C:\Programmi\Norton AntiVirus\Quarantine\70734E3F.zip        
                                                                    \548350F5.zip Infected: Trojan.Java.Femad    
C:\Programmi\Norton AntiVirus\Quarantine\63AB35C5.tmp        
                                                                    \6F1A4F80.tmp    
                                                                    \790365BD.tmp Infected: Exploit.VBS.Phel.i 
C:\Programmi\Norton AntiVirus\Quarantine\562C0BC9  Infected: not-a-virus:AdWare.Win32.Webdir.b
C:\Programmi\Norton AntiVirus\Quarantine\3A707699.htm Infected: Trojan-Downloader.VBS.Small.dn
C:\Programmi\Norton AntiVirus\Quarantine\5BC62F50.exe    
                                                                   \0D6E51D0.exe   
                                                                   \26BA0BFA.exe    
                                                                   \41B75521.exe    
                                                                   \77AB3CE6.exe    
                                                                   \08506BBA.exe    
                                                                   \15213F9E.exe    
                                                                   \2E086437.exe  
                                                                   \7F021AD0.exe Infected: Trojan-Clicker.Win32.Agent.hz
C:\System Volume Information\_restore {4CEDCB5D-FDC3-44B6-92A2-9E35A1A31967}
                                                                   \RP2\A0000025.exe Infected: Trojan-Clicker.Win32.Agent.hz
C:\System Volume Information\_restore {4CEDCB5D-FDC3-44B6-92A2-9E35A1A31967}
                                                                    \RP1\A0000015.dll
                                                                    \RP2\A0000033.dll
                                                                    \RP2\A0000054.dll
                                                                    \RP2\A0000919.dll Infected: Trojan-Clicker.Win32.Small.kj 

    
grazie per l'aiuto...
simona
 
 


Modificato da prisca85 - 13/Luglio/2007 alle 19:13


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 70.106 - Postato: 06/Luglio/2007 alle 12:23


Ciao, ...inizia con il disabilitare il ripristino di configurazione di sistema (che poi, dopo avere pulito il pc, puoi riattivarlo...)
per disattivarlo, vai in start, pannello di controllo,
prestazioni e manutenzione, sistema e in ripristino di
configurazione di sistema... metti il segno di spunta in
disattiva ripristino... su tutte le unità...
Dopo aver fatto questo, vai in start, esegui..., e digita
regedit, cerca questa chiave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\

Userinit="%System%\userinit.exe,,%Windir%\svchost.exe%"

(%System% sta ad indicare disco:\windows\system32
e %Windir%\ sta ad indicare disco:\windows
)

Per trovarla..., scorri le varie cartelle a sinistra... fino WinLogon...
clicca su WinLogon e sulla parte destra... (nella colonna nome)
cerca Userinit..., facci doppio clic sopra e cancella la
parte finale (che ti ho indicato in rosso, ...solo la parte
indicata in rosso, mi raccomando)... quindi il
valore corretto di Userinit, dovrà essere, nel tuo caso:

C:\WINDOWS\system32\userinit.exe,      

(compreso la virgola finale)

Premi ok e chiudi regedit...
Adesso dobbiamo eliminare i files infetti...:

C:\WINDOWS\svchost.exe
C:\WINDOWS\svchost.dll
C:\WINDOWS\system32\~.exe

Potrebbero essercene anche altri... (questi sono
quelli rilevati dalla scansione online...)

Per eliminarli potresti usare o unlocker o
avenger. Se usi avenger... devi inserire il seguente
script...:

Apri avenger, seleziona input script manually e clicca sulla
lente di ingrandimento...
ti si aprirà una finestra, inserisci il seguente script:

Files to delete:
C:\WINDOWS\svchost.exe
C:\WINDOWS\svchost.dll
C:\WINDOWS\system32\~.exe


Clicca su Done e sul semaforo...
Il pc si riavvierà e i files saranno cancellati... (comunque
controlla...) Fai anche una pulizia con Ccleaner, e sincerati
che nei file temporanei non siano presenti i seguenti files:

%Temp%\c1.txt
%Temp%\c2.txt
%Temp%\c3.txt

(%Temp% indica, nel tuo caso, C:\Documents and Settings\Utente\Impostazioni locali\temp, comunque per arrivare facilemente
alla cartella... basta inserire %Temp% in esegui e premere ok
)

Controlla che inoltre non sia presente anche questo file...

%Windir%\SYSHOST.DLL
oppure in
%System%\SYSHOST.DLL

Anche lui è da cancellare (forse sarebbe stato opportuno, se
presente, cancellarlo con gli altri..., comunque proviamo così...).
Dopo di ciò, fai riavviare e fai una scansione con l'antivirus
in modalità provvisoria...(per la modalità provvisoria, devi
premere F8 ripetutamente alla partenza del pc... e scegliere
modalità provvisoria...), vedi che ti dice...
Riavvia e fai il log con HiJackThis... e postalo... c'è certamente
qualche altra cosa da aggiustare...
Ciao e buona fortuna.




Modificato da prgn - 06/Luglio/2007 alle 12:30



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



fievel75
Principiante Principiante
fievel75
Principiante Principiante
fievel75
Principiante
Principiante

Avatar generico


Iscritto dal : 24/Maggio/2005
Status: Offline
Posts: 46
Riporta il testo di: fievel75 Rispondibullet Topic: Post n° 70.109 - Postato: 06/Luglio/2007 alle 12:46


Grazie!!!
allora ho provato....in winlogon...non ho dovuto cancellare niente, era già senza la scritta rossa....
 
mentre con avenger, non mi ha eliminato quei file, dice che non sono valid script.
 
ti posto il log con hijack:

*** Editato: solo le voci sospette sono state lasciate***


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



Modificato da prisca85 - 13/Luglio/2007 alle 19:18


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 70.110 - Postato: 06/Luglio/2007 alle 13:00


Ciao, il log è relativamente pulito a parte la seguente voce da fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Molto probabilmente, l'antivirus è arrivato prima di noi...
Hai provato a cercare manualmente i files e a controllare se sono presenti?



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



fievel75
Principiante Principiante
fievel75
Principiante Principiante
fievel75
Principiante
Principiante

Avatar generico


Iscritto dal : 24/Maggio/2005
Status: Offline
Posts: 46
Riporta il testo di: fievel75 Rispondibullet Topic: Post n° 70.111 - Postato: 06/Luglio/2007 alle 13:09


Postato originariamente da prgn

Ciao, il log è relativamente pulito a parte la seguente voce da fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Molto probabilmente, l'antivirus è arrivato prima di noi...
Hai provato a cercare manualmente i files e a controllare se sono presenti?
 
sì, i file che doveva eliminare avenger, sono presenti,,, che faccio?


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 70.113 - Postato: 06/Luglio/2007 alle 14:11


Ricapitolando...
Non hai trovato (...la parte in rosso):

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\
Userinit="C:\Windows\System32\userinit.exe,,C:\Windows\svchost.exe%"

Hai scaricato avenger, lo hai scompattato ed eseguito, hai selezionato input
script manually, e inserito il seguente script:

Files to delete:
C:\WINDOWS\svchost.exe
C:\WINDOWS\svchost.dll
C:\WINDOWS\system32\~.exe

E ti ha dato no valid script... ma i files ci sono... e non te li ha
cancellati...
C'è qualcosa di strano... Fammi sapere se ho capito bene.

PS: quando riporti un post precedente... non inserirlo se non c'è bisogno...
al massimo lascia solo le cose che ti interessano... non tutto il post...



Modificato da prgn - 06/Luglio/2007 alle 14:14



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



fievel75
Principiante Principiante
fievel75
Principiante Principiante
fievel75
Principiante
Principiante

Avatar generico


Iscritto dal : 24/Maggio/2005
Status: Offline
Posts: 46
Riporta il testo di: fievel75 Rispondibullet Topic: Post n° 70.114 - Postato: 06/Luglio/2007 alle 14:20


sì, prgn, è come hai scritto....
non c'era la voce scritta in rosso....
ho scaricato e usato avenger, ma ha scritto not valid script...
ma ho controllatv in windows e sono preenti tutte e tre le voci....


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,039 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni