Condividi:        

Ancora trojan Exsplorer!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Ancora trojan Exsplorer!!

Postdi drake » 15/03/06 18:56

Ciao a tutti,
sul trojan exsplorer mi sono già letto tutti i topic (un'infinità...), ma nonostante abbia avviato in modalità provvisoria, pulito con Spybot, Ad-aware, cwshredder, Norton antivirus (tutti aggiornati), abbia cancellato con HijacksThis le voci sospette (015 - Trusted zone....), NON riesco a trovare l'eseguibile che mi fa tornare questo maledetto Exsplorer!!
Qualcuno mi aiuta?....
Dimenticavo, ho windows Xp service pack 2.

Logfile of HijackThis v1.99.1
Scan saved at 18.54.20, on 15/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmi\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\Zucchetti S.p.A\ReCon\ReCon.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\IBM\Messages By IBM\ibmmessages.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\TEMP\win1C.tmp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\ROBERTO\Documenti\scarico internet\utility\Spyware02 2006\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [UC_Start] C:\Programmi\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programmi\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [RemoteCtrl] C:\Programmi\Zucchetti S.p.A.\ReCon\ReCon.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programmi\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [Shell] "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: cwblog.bat
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E064866-F630-4DDB-8FC3-9DF6F09CF570}: NameServer = 194.247.160.6,214.198.138.2
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll
O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: CWShredder Service - Unknown owner - C:\Documents and Settings\ROBERTO\Documenti\CWShredder.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programmi\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
drake
Utente Junior
 
Post: 19
Iscritto il: 25/02/05 17:17
Località: MILANO

Sponsor
 

Postdi Luke57 » 15/03/06 19:31

Ciao, apri hijackthis, premi “ do a system scan only”, cerca e spunta le seguenti voci:
O4 - HKCU\..\Run: [Shell] "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe"
O20 - Winlogon Notify: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll
O23 - Service: CWShredder Service - Unknown owner - C:\Documents and Settings\ROBERTO\Documenti\CWShredder.exe (file missing)
Premi fix checked
Dalla modalità provvisoria, rendi visibili file e cartelle di sistema:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click Ok
cerca ed elimina iseguenti file:
C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe
C:\WINDOWS\SYSTEM32\winbjt32.dll
Da pannello di controllo\ "installazione applicazioni" rimuovi tutte le applicazioni che non conosci e che non hai installato tu
cancella il contenuto di Windows\temp, windows\tmp
(temp e tmp da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)
sulle opzioni Internet cancella file temporanei di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)
svuota il cestino
riparti in modalità normale e posta nuovo log di hijackthis. Controlla che sia sparita la voce:
O20 - Winlogon Notify: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll
Se non lo fosse apri hijackthis, premi "open the misc tools section”, poi “delete a file on reboot..”trovi il file
C:\WINDOWS\SYSTEM32\winbjt32.dll , confermi OK
Al riavvio, controlli nuovamente con hijackthis, eventualmente posti un log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi drake » 16/03/06 10:59

Grazie mille per l'aiuto.
Anche io avevo pensato ad eliminare il file winbjt32.dll, ma non ne ero sicuro.....
L'unico problema è che neppure in modalità provvisoria riesco a cancellare il file: C:\WINDOWS\SYSTEM32\winbjt32.dll
Ho provato anche dal prompt dos, ma... nulla.... accesso negato!
Quando avevo win98 mi bastava creare un disketto di boot e farlo da lì, ma con windows Xp, come faccio?

Invece del file: C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe non c'è traccia..... potrei non averlo?....

Grazie per l'aiuto!
drake
Utente Junior
 
Post: 19
Iscritto il: 25/02/05 17:17
Località: MILANO

Postdi Luke57 » 16/03/06 11:22

Ciao, hai provato a eliminare il file con l'opzone che ti ho descritto di hijackthis? Altrimenti prova con killbox
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot . Nello spazio scrivi il percorso del file da eliminare
C:\WINDOWS\SYSTEM32\winbjt32.dll
e clicchi sulla crocetta rossa, in sfondo bianco ( il sistema si riavvierà).
Per l'altro file, hai visualizzato file e cartelle nascoste come suggerito?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi drake » 16/03/06 11:59

file C:\WINDOWS\SYSTEM32\winbjt32.dll
eliminato con l'opzione "on reboot" di hijackthis.
Il file C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe (e anche ibm00002.exe sono stati messi in quarantena dal Norton).
Sembra che sia tutto a posto.... incrocio le dita....
GRAZIE ANCORA! :)
drake
drake
Utente Junior
 
Post: 19
Iscritto il: 25/02/05 17:17
Località: MILANO

Postdi drake » 16/03/06 16:58

Accidenti! :evil:
il mio pc non è ancora perfettamente pulito.....
stavo lavorando tranquillamente in word, senza essere collegato ad internet ed ecco che il norton mi rileva un trojan e lo mette in quarantena!!
Ecco cosa mi ha messo in quarantena:

C:\System Volume Information\_restore{9FC13792-882F-402C-BA1B-4871C61F95C9}\RP164\A0014709.exe

Qualcuno ha qualche idea di cosa possa essere? :-?
Cosa mi consigliate di fare?
grazie
drake
Utente Junior
 
Post: 19
Iscritto il: 25/02/05 17:17
Località: MILANO

Postdi Luke57 » 16/03/06 17:13

Ciao, si trova nella cartella system volume information. E' protetta dal sistema e questa è la procedura per accedervi:
http://support.microsoft.com/default.as ... ;it;309531
e cancellare il file.
Altrimenti, puoi disattivare il ripristino configurazione di sistema (click con tasto dx su risorse del computer>proprietà>ripristino configurazione di sistema>metti la spunta a disattiva ripristino configurazione di sistema su tutte le unità, applica, OK. La cartella si svuota e al riavvio ripristini la situazione togliendo la spunta messa in precedenza. E' preferible la prima soluzione che evita di cancellare tutti i ripristini creati in precedenza.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi drake » 16/03/06 18:06

Norton mi segnalato proprio ora un altro file infetto sempre nella cartella C:\System Volume Information\..... ma nella sotto cartella RP165 invece di RP164.
Il Norton li mette in quarantena e poi li elimino, quindi non ho il problema di eliminarli manualmente.
Quello che mi chiedo è però, a cosa sono legati questi file infetti?
Mi conviene eliminare tutte le cartelle di ripristino? A cosa vado incontro?
Con tutti i vari programmi antispyware non trovo nulla, tutto perfettamente pulito!
Trovata la causa, si può trovare la cura..... ma non sò da dove partire!
Fortunatamente Norton trova il file infetto e lo mette in quarantena.
Mah....
comunque grazie per l'aiuto
ciao
drake
Utente Junior
 
Post: 19
Iscritto il: 25/02/05 17:17
Località: MILANO

Postdi fabrizius » 16/03/06 18:08

Ciao,segui il secondo consiglio di Luke:
disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
Dopo aver riavviato riattiva il ripristino config. di sistema e crea un nuovo punto di ripristino....
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi drake » 16/03/06 18:50

Grazie Luke e fabrizius,
ho fatto come avete detto: tolto e poi rimesso il ripristino....
Domani vi faccio sapere come va il pc....
Grazie
PS: Ho controllato il file infetto nella quarantena del Norton e il trojan è PWSteal Trojan..... ma quanti cavolo di trojan mi sono preso? O sono collegati?....
drake
Utente Junior
 
Post: 19
Iscritto il: 25/02/05 17:17
Località: MILANO


Torna a Sicurezza e Privacy


Topic correlati a "Ancora trojan Exsplorer!!":


Chi c’è in linea

Visitano il forum: Nessuno e 37 ospiti