Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Problema Trojan!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Problema Trojan!!

Postdi razvan1983 » 23/02/06 20:31

Norton 2005 mi ha rilevato in c:/windows/system32 un trojan ce non ho idea da dove sia potuto arrivare!!!Il nome del file è ldr64.dll!il problema sta nel fatto che è impossibile da eliminare.Nessuno saprebbe come aiutarmi?
razvan1983
Utente Senior
 
Post: 107
Iscritto il: 16/02/05 12:26
Località: milano

Sponsor
 

Postdi Luke57 » 23/02/06 21:02

Ciao, prova ad eliminare il file con unlocker:
http://news.swzone.it/swznews-17205.php
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi razvan1983 » 23/02/06 21:16

ho provato ad usare unlocker ma mi viene rilevato il trojan come perte dell'apploxazione winlogon.exe che dovrebbe essere un processo del sistema operativo(credo) e quindi mi si blocca anche tutto il sistema in schermata blu!!!!uffa!!!che posso fare???Vi prego:-)
razvan1983
Utente Senior
 
Post: 107
Iscritto il: 16/02/05 12:26
Località: milano

Postdi fabrizius » 23/02/06 21:25

fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi razvan1983 » 23/02/06 21:29

Scan saved at 21.28.15, on 23/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\AveDesk13\AVEDESK.EXE
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Process Explorer & HiackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Startup: AveDesk ..lnk = C:\Programmi\AveDesk13\AVEDESK.EXE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programmi\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programmi\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
razvan1983
Utente Senior
 
Post: 107
Iscritto il: 16/02/05 12:26
Località: milano

Postdi razvan1983 » 23/02/06 21:34

ho provato a mettere il log sul sito di hjiackthis e ho segnato ldr64.dll come da eliminare,infatti me lo dava come non sicuro
Ma nulla da fare il file rimane li e non vuole saperne di andarsene!!!!!
razvan1983
Utente Senior
 
Post: 107
Iscritto il: 16/02/05 12:26
Località: milano

Postdi Luke57 » 23/02/06 21:36

Ciao di nuovo, anche usando hijackthis mi sa che quella dll non se ne va (anche la rima ;)) scarica Ewido security suite
http://www.ewido.net/en/download/
Qui una guida per l’uso e spiegazioni sul programma:
http://www.alground.com/sicurezza/articolo.php?page=43
aggiornalo come spiegato e fai una scansione dalla modalità provvisoria.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi razvan1983 » 23/02/06 22:02

ho fatto la scansione con ewido ma nulla da fare mi hac rilevato solo qualche cookie!!!!cavoli non c'è nulla da fare
razvan1983
Utente Senior
 
Post: 107
Iscritto il: 16/02/05 12:26
Località: milano

Postdi fabrizius » 23/02/06 22:09

prova a fare uno scan qui,ma niente é garantito,é giusto una prova--->http://www.emsisoft.com/en/software/ax/
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi lucas/s » 23/02/06 22:09

Ciao
Disattiva norton è importante
Scarica questo programma
http://www.atribune.org/ccount/click.php?id=7
Chiudi tutte le finestre
Doppio click su Look2Me-Destroyer.exe
Metti la spunta nella casella Run this program as a task
Riceverai un messaggio che ti dice che il programma si chiuderà e riaprirà da solo entro 10 secondo,all'incirca
Clicca su OK
Quando il programma si riapre clicca su Scan for L2M
Il desktop scompare tranquillo è normale
Quando la scansione è terminata clicca su Remove L2M
Quando ricevi il messaggio "Done Scanning" clicca su OK

Quando il tool ha completato riceverai questo messaggio:
Done removing infected files! Look2Me-Destroyer will now shutdown your computer
Clicca su OK
Il pc si riavvierà

Una volta riavviato apri Hijackthis ed elimina queste stringa

O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll

Apri C:\ e dovresti trovare questo file Look2Me-Destroyer.txt gentilmente aprilo>seleziona tutto>copia
Vieni nel forum e incolli(control+V)
Ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi Luke57 » 23/02/06 22:10

Ciao, vai qui
http://www.ad-w-a-r-e.com/cgi-bin/UnInstaller
clicchi su I accept segnati la chiave che ti da scarica l'uninstaller e lancialo (immetti la chiave quando ti sarà chiesta).
Se non riesce, a questo topic esegui il consiglio di Fabrizius ( che saluto perchè l'ho visto passare da queste parti ;) )
http://www.pc-facile.com/forum/viewtopic.php?t=42525
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 23/02/06 22:17

Accipicchia, che cornucopia di suggerimenti :) !
Quella dll è praticamente circondata ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi fabrizius » 23/02/06 22:21

Off Topic

Luke57 ha scritto:Quella dll è praticamente circondata ;)


Ciao,bella questa Luke ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi razvan1983 » 23/02/06 22:43

Luke il programma non riesco ad installarlo!!!non so perchè mi dice che non posso!!allora ho seguito il consiglio di fabrizus ma non mi ha rilevato molto ma solo un file che ritengo sicuro e che puo esser confuso e mirc!!!però non ho avuto coraggio di seguire l'altro consiglio mi sembra troppo complicato ho paura di fare danni :P
razvan1983
Utente Senior
 
Post: 107
Iscritto il: 16/02/05 12:26
Località: milano

Postdi lucas/s » 23/02/06 22:59

io sono bastardo? :D prova il mio è la versione evoluta di quello di fabrizius ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi razvan1983 » 23/02/06 23:07

ok però io ho già tolto la stringa relativa al file .dll e non potrei piu rimuoverla usando hjiackthis!Ho riprovato a fare una nuova scansione e infatti non la rileva piu!!Facendo la scansione di fabrizus quando arrivava allla cartella system32 non rilevavva il file m lo rilevava ancora nor ton dandomi accesso negato!! :aaah
razvan1983
Utente Senior
 
Post: 107
Iscritto il: 16/02/05 12:26
Località: milano

Postdi fabrizius » 23/02/06 23:12

si segui il consiglio di lucas....puoi anche provare a cancellare la dll avviando con il CD di windows in modo console di ripristino
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 23/02/06 23:14

PS:non avevo fatto caso alla tua ultima risposta
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi razvan1983 » 23/02/06 23:25

Ragazzi grazie a tutti!!!!Sono riuscito a risolvere!!Non essendo così smaliziato col pc facevo scansinone con ewido senza di sattivare norton!!rifacendo la scansione mi ha individuato e rimosso il trojan che il caro norton non si sognava di fare,MA CHE INDIVIDUAVA SEMPRE ANCHE DURANTE LA SCANSINE CON EWIDO!!!Ora vorrei chiedervi,se ewido lo posso lasciare installato senza che vada in conflitto con norton!!OVVIAMENTE DISATTIVANDO UNO DURANTE LA SCANSIONE DELL'ALTRO :lol: !!!Comunque grazie a tutti per l'interese :)
razvan1983
Utente Senior
 
Post: 107
Iscritto il: 16/02/05 12:26
Località: milano

Postdi fabrizius » 23/02/06 23:29

certo che puoi lasciarlo....

;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55


Torna a Sicurezza e Privacy


Topic correlati a "Problema Trojan!!":


Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti