Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

win32.downloader

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

win32.downloader

Postdi puppipessa » 01/06/06 12:08

ciao a tutti, il titolo del topic è il nome del trojan che eseguendo la scansione con ad-aware SE ho rintracciato sul mio computer. contemporaneamente alla scansione di ad-aware è comparsa la solita finestra con la brutta faccia di AVG dicendomi che aveva trovato un trojan il cui nome è Dropper.Agent.DN, oggetto che aveva infettato C:\system volume information\_restore...ecc. Il nome del file è A0003499.exe. Questo file l'ho spostato in quarantena, mentre i file rintracciati da ad-aware li ho eliminati. ora, considerato che non è la prima volta che ho a che fare con i trojan, suppongo che al prossimo riavvio si ripresenterà lo stesso tipo di problema. se necessario, vi posto un log di hijackthis, aiutatemi per favore.

P.S. Nel momento in cui vi scrivo non ho ancora avuto nessun sintomo o azione da parte dei trojan. Non so se è importante, ma credevo giusto dirlo. Grazie mille in anticipo, ciao :aaah
puppipessa
Utente Junior
 
Post: 37
Iscritto il: 26/01/06 11:14

Sponsor
 

Postdi andorra24 » 01/06/06 12:26

Disattiva il ripristino di sistema e fai una scansione con ewido:
http://download.ewido.net/ewido-setup.exe

subito dopo posta un log di hijackthis.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi puppipessa » 01/06/06 12:49

Ok!ho appena disattivato...Ora vado cn la scansione! grazie... :cry:
puppipessa
Utente Junior
 
Post: 37
Iscritto il: 26/01/06 11:14

Postdi kadosh » 01/06/06 14:11

Ho fatto ciò ke mi hai suggerito...ha eliminato 5 files!
Ecco il Log di Hijackthis, sai dirmi se è pulito?

Logfile of HijackThis v1.99.1
Scan saved at 15.07.53, on 01/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\csrss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\wdfmgr.exe
C:\WINDOWS2\system32\RunDll32.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS2\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\WINDOWS2\System32\alg.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Documenti\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS2\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [a-squared] "C:\Programmi\a-squared\a2guard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe in Desktop Sidebar - blank
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A87A909-5D42-497B-9DAC-1ECCCDED3431}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A87A909-5D42-497B-9DAC-1ECCCDED3431}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: ICQ Update Service (ICQUPD) - Unknown owner - C:\WINDOWS2\system32\kpsf.exe (file missing)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi andorra24 » 01/06/06 14:23

Il log e' ok. Fixa questa voce mancante:

O23 - Service: ICQ Update Service (ICQUPD) - Unknown owner - C:\WINDOWS2\system32\kpsf.exe (file missing)

e aggiorna java sun mettendo l'ultima versione.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

non se ne va...

Postdi puppipessa » 01/06/06 16:28

Questa stringa
O23 - Service: ICQ Update Service (ICQUPD) - Unknown owner - C:\WINDOWS2\system32\kpsf.exe (file missing)...Ho provato a fixarla ma non ne vuole sapere, è un ricordino del trojan Vcodec ke ho beccato qst inverno.
Se qlcn conosce un modo per far fuori sto files si faccia avanti...
Grazie, cmq, per l'aiuto e meno male ke ha avuto una soluzione veloce ed indolore.
Un'ultima cosa:riprisitno configurazione di sistema???
Grazie mille :)
Ciao, ciao
puppipessa
Utente Junior
 
Post: 37
Iscritto il: 26/01/06 11:14

Re: non se ne va...

Postdi andorra24 » 01/06/06 16:44

puppipessa ha scritto:Questa stringa
O23 - Service: ICQ Update Service (ICQUPD) - Unknown owner - C:\WINDOWS2\system32\kpsf.exe (file missing)...Ho provato a fixarla ma non ne vuole sapere, è un ricordino del trojan Vcodec ke ho beccato qst inverno.
Se qlcn conosce un modo per far fuori sto files si faccia avanti...

Puoi provare a fixare questa voce in modalita' provvisoria.
puppipessa ha scritto:Un'ultima cosa:riprisitno configurazione di sistema???
Grazie mille :)
Ciao, ciao

Cosa vuoi sapere esattamente? Se vuoi sapere come si disattiva segui le istruzioni del link:
http://service1.symantec.com/SUPPORT/IN ... 3151930924
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Re: non se ne va...

Postdi Luke57 » 01/06/06 19:25

puppipessa ha scritto:Questa stringa
O23 - Service: ICQ Update Service (ICQUPD) - Unknown owner - C:\WINDOWS2\system32\kpsf.exe (file missing)...Ho provato a fixarla ma non ne vuole sapere, è un ricordino del trojan Vcodec ke ho beccato qst inverno.
Se qlcn conosce un modo per far fuori sto files si faccia avanti...
Grazie mille :)
Ciao, ciao

Ciao, prova a fare così:
1) start>esegui>sc stop ICQUPD (lo copi nello spazio)>OK
start>esegui>sc delete ICQUPD (lo copi nello spazio)>OK
e guardi se c'è ancora; altrimenti
2) start>esegui>services.msc (lo copi nello spazio) , nella finestra che si apre cerchi ICQUPD o ICQ Update Service , doppio click su di esso, se è avviato scegli Arresta, poi click con il destro>Proprietà>disabilitato. Fatto ciò, lo fissi con hijackthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Ora me ne sono liberata...

Postdi puppipessa » 01/06/06 22:25

O così sembra!
Grazie di nuovo Luke 57...mi sono tolta dalle...qll fastidioso kpsf. :P

Per andorra24:
No, perdonami, mi sono espressa male...Siccome nella procedura per rimuovere il trojan mi avevi detto di disattivare i punti di ripristino...volevo sapere se li potevo riattivare (so come si fa)! :undecided:

Grazie mille anke a te!
Siete preziosissimi!
;)
puppipessa
Utente Junior
 
Post: 37
Iscritto il: 26/01/06 11:14

AH...

Postdi puppipessa » 01/06/06 22:27

Ragazzi, un'informazione: ma i files ke risultano missing li devo fixare tutti?
:neutral:
puppipessa
Utente Junior
 
Post: 37
Iscritto il: 26/01/06 11:14


Torna a Sicurezza e Privacy


Topic correlati a "win32.downloader":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti