Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

AIUTO!! MALEDETTI TROJAN!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 02/04/09 09:47

Salve a tutti,
purtroppo ho scoperto di avere dei trojan all'interno del computer. Vi posto il log che ho fatto con hijackthis. Ho provato a lanciare una scansione con superantispyware ma ad un certo punto il pc si blocca e viene riavviato. Mentre faceva la scansione però ho visto 3 voci, ovvero trojan agent, trojan downloader e trojan dropper. Vi prego aiutatemi!!!!!!!!! Grazie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.21.50, on 02/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\dhcp\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN2.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Search Settings\SearchSettings.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\reader_s.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\dumprep.exe
C:\Documents and Settings\pc2004\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\pc2004\reader_s.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb127\SearchSettings.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Programmi\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\pc2004\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\pc2004\reader_s.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 3507551734
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - http://mailserver2/dwa7W.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = iris-shoes.it
O17 - HKLM\Software\..\Telephony: DomainName = iris-shoes.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{50966B20-2BFE-40E1-B85B-764361C90B18}: NameServer = 192.168.209.160,192.168.200.160
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = iris-shoes.it
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:\WINDOWS\dhcp\svchost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programmi\UltraVNC\WinVNC.exe

--
End of file - 9289 bytes
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Sponsor
 

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi shel » 02/04/09 09:57

ciao

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 02/04/09 10:30

ComboFix 09-04-01.01 - pc2004 2009-04-02 11.07.13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.511.243 [GMT 2:00]
Eseguito da: c:\documents and settings\pc2004\Desktop\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Outdated)
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\7.tmp
C:\A.tmp
c:\documents and settings\pc2004\reader_s.exe
c:\windows\Install.txt
c:\windows\services.exe
c:\windows\system32\afisicx.exe
c:\windows\system32\comsa32.sys
c:\windows\system32\config\systemprofile\reader_s.exe
c:\windows\system32\Install.txt
c:\windows\system32\reader_s.exe
c:\windows\system32\tpszxyd.sys
c:\windows\system32\w.exe
F:\autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Legacy_BOTDRV
-------\Legacy_DEFAULTLIB
-------\Legacy_DHCPSRV
-------\Service_6to4
-------\Service_botdrv
-------\Service_defaultlib
-------\Service_DhcpSrv
-------\Service_restore


((((((((((((((((((((((((( Files Creati Da 2009-03-02 al 2009-04-02 )))))))))))))))))))))))))))))))))))
.

2009-04-02 10:27 . 2009-04-02 10:27 0 --a------ C:\319.tmp
2009-04-02 10:24 . 2009-04-02 10:24 <DIR> d-------- c:\programmi\CCleaner
2009-04-02 10:24 . 2009-04-02 10:24 0 --a------ C:\318.tmp
2009-04-02 10:22 . 2009-04-02 10:22 137,344 --a------ c:\windows\system32\drivers\restore.sys
2009-04-02 10:22 . 2009-04-02 10:22 137,344 --a------ c:\windows\system32\drivers\ethskzvq.sys
2009-04-02 10:22 . 2009-04-02 10:22 0 --a------ C:\313.tmp
2009-04-02 10:21 . 2009-04-02 10:21 <DIR> d-------- c:\programmi\Trend Micro
2009-04-02 10:19 . 2009-04-02 10:19 0 --a------ C:\C.tmp
2009-04-02 10:18 . 2009-04-02 10:18 124 --a------ c:\windows\system32\5.tmp
2009-04-02 10:16 . 2009-04-02 10:16 23,233 --a------ C:\30E.tmp
2009-04-02 10:14 . 2009-04-02 10:14 0 --a------ C:\B.tmp
2009-04-02 10:13 . 2009-04-02 10:13 0 --a------ C:\9.tmp
2009-04-02 10:12 . 2009-04-02 10:12 124 --a------ c:\windows\system32\4.tmp
2009-04-02 10:06 . 2009-04-02 10:06 <DIR> d-------- c:\programmi\SUPERAntiSpyware
2009-04-02 10:06 . 2009-04-02 10:06 <DIR> d-------- c:\documents and settings\pc2004\Dati applicazioni\SUPERAntiSpyware.com
2009-04-02 10:06 . 2009-04-02 10:06 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2009-04-02 09:32 . 2009-04-02 09:32 0 --a------ C:\312.tmp
2009-04-02 09:29 . 2009-04-02 09:29 0 --a------ C:\310.tmp
2009-04-02 09:27 . 2009-04-02 09:27 0 --a------ C:\30F.tmp
2009-04-02 09:24 . 2009-04-02 09:36 155,648 --a------ C:\EF.tmp
2009-04-02 09:24 . 2009-04-02 09:24 0 --a------ C:\30A.tmp
2009-04-02 09:23 . 2009-04-02 09:23 31,744 --a------ c:\windows\services.ex_
2009-04-02 09:23 . 2009-04-02 09:23 124 --a------ c:\windows\system32\3.tmp
2009-04-02 09:18 . 2009-04-02 09:18 0 --a------ C:\321.tmp
2009-04-02 09:16 . 2009-04-02 09:16 0 --a------ C:\311.tmp
2009-04-02 09:14 . 2009-04-02 09:14 0 --a------ C:\309.tmp
2009-04-02 09:13 . 2009-04-02 09:18 155,648 --a------ C:\265.tmp
2009-04-02 08:43 . 2009-04-02 08:43 0 --a------ C:\30D.tmp
2009-04-02 08:42 . 2009-04-02 08:42 137,376 --a------ c:\windows\system32\at1394.sys
2009-04-02 08:40 . 2009-04-02 08:40 0 --a------ C:\30C.tmp
2009-04-02 08:37 . 2009-04-02 08:37 7 --a------ c:\windows\_id.dat
2009-04-02 08:37 . 2009-04-02 08:37 0 --a------ C:\307.tmp
2009-04-02 08:35 . 2009-04-02 08:35 0 --a------ C:\8.tmp
2009-04-02 08:34 . 2009-04-02 08:34 <DIR> d-------- c:\windows\system32\config\systemprofile\Dati applicazioni\Search Settings
2009-04-02 08:33 . 2009-04-02 08:33 124 --a------ c:\windows\system32\2.tmp
2009-04-02 08:30 . 2009-04-02 08:30 0 --a------ C:\35C.tmp
2009-04-02 08:29 . 2009-04-02 08:29 <DIR> d-------- c:\windows\dhcp
2009-04-02 08:29 . 2009-04-02 08:31 <DIR> d-------- c:\documents and settings\pc2004\Dati applicazioni\nidle
2009-04-02 08:29 . 2009-04-02 08:30 107,413 --a------ C:\35A.tmp
2009-04-02 08:29 . 2009-04-02 08:29 65,536 --a------ c:\windows\system32\ffo165703137.dl_
2009-04-02 08:29 . 2009-04-01 23:52 21,704 --a------ c:\windows\system32\pp.exe
2009-04-02 08:29 . 2009-04-02 10:18 130 --a------ c:\windows\adobe.bat
2009-04-02 08:28 . 2009-04-02 08:28 213,120 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-04-02 08:28 . 2009-04-02 08:28 124 --a------ c:\windows\system32\34F.tmp
2009-04-02 08:28 . 2009-04-02 08:28 0 --a------ c:\windows\system32\355.tmp
2009-03-31 12:28 . 2009-03-31 12:28 <DIR> d-------- c:\programmi\Steinberg
2009-03-31 12:27 . 2009-03-31 12:27 <DIR> d-------- c:\programmi\Peavey Electronics
2009-03-19 10:05 . 2009-03-09 02:53 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-19 10:04 . 2009-04-01 08:29 <DIR> d-------- c:\programmi\Java
2009-03-11 14:00 . 2006-03-02 14:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-09 19:02 . 2009-03-09 19:02 18,188 --ah----- c:\windows\system32\mlfcache.dat
2009-03-09 19:01 . 2009-03-09 19:01 <DIR> d-------- c:\documents and settings\pc2004\Dati applicazioni\Apple Computer
2009-03-07 17:02 . 2009-03-07 17:02 <DIR> d-------- c:\programmi\Psicraft
2009-03-07 17:02 . 2009-03-07 17:02 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Psicraft

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-02 09:15 --------- d-----w c:\programmi\Symantec AntiVirus
2009-04-02 08:05 --------- d-----w c:\programmi\File comuni\Wise Installation Wizard
2009-04-02 07:17 --------- d-----w c:\programmi\Mozilla Thunderbird
2009-04-02 06:28 213,120 ----a-w c:\windows\system32\drivers\ndis.sys
2009-03-11 07:14 --------- d-----w c:\programmi\CD to MP3 Freeware
.

------- Sigcheck -------

2006-03-02 14:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-04-02 08:28 213120 539f03cff197e8313792a49266407407 c:\windows\system32\dllcache\ndis.sys
2009-04-02 08:28 213120 539f03cff197e8313792a49266407407 c:\windows\system32\drivers\ndis.sys

2008-04-14 04:14 1055232 fbdc7a0e74869880155ce6726493171b c:\windows\explorer.exe
2007-06-13 15:10 1054720 2b703289a7724a3b20253f9af7f13a8a c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:22 1054720 193775432f559a3b3d3b9748d9fb3a96 c:\windows\$NtServicePackUninstall$\explorer.exe
2006-03-02 14:00 1053696 1e8af7ebd26dbb37709a9d4a9026901c c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 04:14 1055232 1952926ca7c4ed66e21725cc9e38bf0e c:\windows\ServicePackFiles\i386\explorer.exe

2006-03-02 14:00 34304 e75be66f10c6ca4e0cdab78e402c69cd c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 04:14 34304 fe67f2afe63b7c2d374cfd6eee6de4f9 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 04:14 34304 e8f1b1cd1caad16389b197df0033577d c:\windows\system32\ctfmon.exe

2005-06-11 02:17 76800 1a677156fc7118ad8e2d4e712667a050 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 01:53 76800 9be1829547d89a9bd27ad78ca16e2f7e c:\windows\$NtServicePackUninstall$\spoolsv.exe
2006-03-02 14:00 76800 437a08d7451e9734229a96fb5a02d195 c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 04:14 76800 72e2c7775b6f1bc2affd02d9beef480f c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 04:14 76800 15615281241900612254a1c2f880508f c:\windows\system32\spoolsv.exe

2006-03-02 14:00 44032 99752d45cc97e2aae4b7788771023af3 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 04:14 45568 aff88e874258dffc95072aeef71ee515 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 04:14 45568 d742c379697520e22ed6a62b95ad482f c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1714176]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-10 39408]
"Google Update"="c:\documents and settings\pc2004\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" [2008-11-28 133104]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 34304]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1850608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 163840]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-27 125536]
"WinVNC"="c:\programmi\UltraVNC\WinVNC.exe" [2004-06-20 651334]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SearchSettings"="c:\programmi\Search Settings\SearchSettings.exe" [2008-06-12 991584]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 34304]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio rapido HP Photosmart Premier.lnk - c:\programmi\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 94208]
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R2 SavRoam;SAVRoam;c:\programmi\Symantec AntiVirus\SavRoam.exe [2006-11-27 119392]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-09-11 99376]
R3 G200;G200;c:\windows\system32\drivers\G200m.sys [2008-02-20 320384]
R3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
S1 ethskzvq;ethskzvq;c:\windows\system32\drivers\ethskzvq.sys [2009-04-02 137344]
S3 at1394;at1394;c:\windows\system32\at1394.sys [2009-04-02 137376]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e75af06c-83e4-11dd-845a-00112f3ebdd9}]
\Shell\AutoRun\command - F:\EmDesk.exe
\Shell\EmDesk\command - F:\EmDesk.exe
.
Contenuto della cartella 'Scheduled Tasks'

2009-04-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1444230100-1310048038-1105602924-3162.job
- c:\documents and settings\pc2004\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2008-11-28 13:03]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKU-Default-Run-reader_s - c:\windows\system32\config\systemprofile\reader_s.exe
HKU-Default-Run-nidle - c:\documents and settings\pc2004\Dati applicazioni\nidle\nidle.exe
HKU-Default-Run-services - c:\windows\services.exe
HKLM-Explorer_Run-services - c:\windows\services.exe
HKU-Default-Explorer_Run-services - c:\windows\services.exe


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.com/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {50966B20-2BFE-40E1-B85B-764361C90B18} = 192.168.209.160,192.168.200.160
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-02 11:15:23
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140311900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140311900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(548)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\File comuni\Symantec Shared\ccSetMgr.exe
c:\programmi\File comuni\Symantec Shared\ccEvtMgr.exe
c:\programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\programmi\Symantec AntiVirus\DoScan.exe
c:\programmi\Symantec AntiVirus\DefWatch.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\Analog Devices\SoundMAX\SMAgent.exe
c:\programmi\Symantec AntiVirus\Rtvscan.exe
c:\programmi\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Ora fine scansione: 2009-04-02 11:23:20 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-04-02 09:23:13

Pre-Run: 21.790.760.960 byte disponibili
Post-Run: 21,815,345,152 byte disponibili

227 --- E O F --- 2009-03-16 07:30:37
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi shel » 02/04/09 15:11

scarica Avenger

http://swandog46.geekstogo.com/avenger.zip

dopo averlo installato, lancialo - Copia e incolla nella finestra: "Input script here" il testo in rosso così come lo vedi scritto:


files to delete:
c:\windows\system32\drivers\ethskzvq.sys ok
c:\windows\system32\ffo165703137.dl_
c:\windows\system32\pp.exe




Spunta "Automatically disable any rootkits found"

clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

posta il log di avenger che trovi in c:\



scarica Ccleaner

http://www.filehippo.com/download_ccleaner/

1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte

poi

scarica Atfcleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATFCleaner.exe con un doppio click

1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning.


Esegui nuovamente combofix e posta il risultato
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi Luke57 » 02/04/09 16:54

Ciao, la terapia di Shell mi sembra un pò leggera ;)

Apri un apri un file di testo dal blocco note di windows, al suo interno incolla il seguente script:


Codice: Seleziona tutto
Driver::
ethskzvq
S3 at1394

File::
C:\319.tmp
C:\318.tmp
c:\windows\system32\drivers\restore.sys
c:\windows\system32\drivers\ethskzvq.sys
C:\313.tmp
C:\C.tmp
c:\windows\system32\5.tmp
C:\30E.tmp
C:\B.tmp
C:\9.tmp
c:\windows\system32\4.tmp
C:\312.tmp
C:\310.tmp
C:\30F.tmp
C:\EF.tmp
C:\30A.tmp
c:\windows\services.ex_
c:\windows\system32\3.tmp
C:\321.tmp
C:\311.tmp
C:\309.tmp
C:\265.tmp
C:\30D.tmp
c:\windows\system32\at1394.sys
C:\30C.tmp
c:\windows\_id.dat
C:\307.tmp
C:\8.tmp
c:\windows\system32\2.tmp
C:\35C.tmp
C:\35A.tmp
c:\windows\system32\ffo165703137.dl_
c:\windows\system32\pp.exe
c:\windows\system32\34F.tmp
c:\windows\system32\355.tmp



chiama il file CFScript.txt e salvalo nella stessa directory di combofix.
Trascinalo con il puntatore del mouse sull'icona di combofix. Il programma inizierà una nuova scansione, al termine di essa riavvia il computer e posta il nuovo report.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi shel » 02/04/09 17:49

ciao Luke

non e' la mia terapia ma sono tornato da poco e ho postato solo una parte.....
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 03/04/09 07:33

ComboFix 09-04-01.01 - pc2004 2009-04-03 8:15:33.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.511.246 [GMT 2:00]
Eseguito da: c:\documents and settings\pc2004\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\pc2004\Desktop\CFScript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Outdated)
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!

FILE ::
C:\265.tmp
C:\307.tmp
C:\309.tmp
C:\30A.tmp
C:\30C.tmp
C:\30D.tmp
C:\30E.tmp
C:\30F.tmp
C:\310.tmp
C:\311.tmp
C:\312.tmp
C:\313.tmp
C:\318.tmp
C:\319.tmp
C:\321.tmp
C:\35A.tmp
C:\35C.tmp
C:\8.tmp
C:\9.tmp
C:\B.tmp
C:\C.tmp
C:\EF.tmp
c:\windows\_id.dat
c:\windows\services.ex_
c:\windows\system32\2.tmp
c:\windows\system32\3.tmp
c:\windows\system32\34F.tmp
c:\windows\system32\355.tmp
c:\windows\system32\4.tmp
c:\windows\system32\5.tmp
c:\windows\system32\at1394.sys
c:\windows\system32\drivers\ethskzvq.sys
c:\windows\system32\drivers\restore.sys
c:\windows\system32\ffo165703137.dl_
c:\windows\system32\pp.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\265.tmp
C:\307.tmp
C:\309.tmp
C:\30A.tmp
C:\30C.tmp
C:\30D.tmp
C:\30E.tmp
C:\30F.tmp
C:\310.tmp
C:\311.tmp
C:\312.tmp
C:\313.tmp
C:\318.tmp
C:\319.tmp
C:\321.tmp
C:\35A.tmp
C:\35C.tmp
C:\8.tmp
C:\9.tmp
C:\B.tmp
C:\C.tmp
C:\EF.tmp
c:\windows\_id.dat
c:\windows\services.ex_
c:\windows\system32\2.tmp
c:\windows\system32\3.tmp
c:\windows\system32\34F.tmp
c:\windows\system32\355.tmp
c:\windows\system32\4.tmp
c:\windows\system32\5.tmp
c:\windows\system32\at1394.sys
c:\windows\system32\drivers\ethskzvq.sys
c:\windows\system32\drivers\restore.sys

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ethskzvq


((((((((((((((((((((((((( Files Creati Da 2009-03-03 al 2009-04-03 )))))))))))))))))))))))))))))))))))
.

2009-04-02 10:24 . 2009-04-02 10:24 <DIR> d-------- c:\programmi\CCleaner
2009-04-02 10:21 . 2009-04-02 10:21 <DIR> d-------- c:\programmi\Trend Micro
2009-04-02 10:06 . 2009-04-02 10:06 <DIR> d-------- c:\programmi\SUPERAntiSpyware
2009-04-02 10:06 . 2009-04-02 10:06 <DIR> d-------- c:\documents and settings\pc2004\Dati applicazioni\SUPERAntiSpyware.com
2009-04-02 10:06 . 2009-04-02 10:06 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2009-04-02 08:34 . 2009-04-02 08:34 <DIR> d-------- c:\windows\system32\config\systemprofile\Dati applicazioni\Search Settings
2009-04-02 08:29 . 2009-04-02 08:29 <DIR> d-------- c:\windows\dhcp
2009-04-02 08:29 . 2009-04-02 08:31 <DIR> d-------- c:\documents and settings\pc2004\Dati applicazioni\nidle
2009-04-02 08:29 . 2009-04-02 10:18 130 --a------ c:\windows\adobe.bat
2009-04-02 08:28 . 2009-04-02 08:28 213,120 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-03-31 12:28 . 2009-03-31 12:28 <DIR> d-------- c:\programmi\Steinberg
2009-03-31 12:27 . 2009-03-31 12:27 <DIR> d-------- c:\programmi\Peavey Electronics
2009-03-19 10:05 . 2009-03-09 02:53 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-19 10:04 . 2009-04-01 08:29 <DIR> d-------- c:\programmi\Java
2009-03-11 14:00 . 2006-03-02 14:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-09 19:02 . 2009-03-09 19:02 18,188 --ah----- c:\windows\system32\mlfcache.dat
2009-03-09 19:01 . 2009-03-09 19:01 <DIR> d-------- c:\documents and settings\pc2004\Dati applicazioni\Apple Computer
2009-03-07 17:02 . 2009-03-07 17:02 <DIR> d-------- c:\programmi\Psicraft
2009-03-07 17:02 . 2009-03-07 17:02 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Psicraft

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-03 06:22 --------- d-----w c:\programmi\Symantec AntiVirus
2009-04-02 08:05 --------- d-----w c:\programmi\File comuni\Wise Installation Wizard
2009-04-02 07:17 --------- d-----w c:\programmi\Mozilla Thunderbird
2009-04-02 06:28 213,120 ----a-w c:\windows\system32\drivers\ndis.sys
2009-03-11 07:14 --------- d-----w c:\programmi\CD to MP3 Freeware
.

------- Sigcheck -------

2006-03-02 14:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-04-02 08:28 213120 539f03cff197e8313792a49266407407 c:\windows\system32\dllcache\ndis.sys
2009-04-02 08:28 213120 539f03cff197e8313792a49266407407 c:\windows\system32\drivers\ndis.sys

2008-04-14 04:14 1055232 fbdc7a0e74869880155ce6726493171b c:\windows\explorer.exe
2007-06-13 15:10 1054720 2b703289a7724a3b20253f9af7f13a8a c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:22 1054720 193775432f559a3b3d3b9748d9fb3a96 c:\windows\$NtServicePackUninstall$\explorer.exe
2006-03-02 14:00 1053696 1e8af7ebd26dbb37709a9d4a9026901c c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 04:14 1055232 1952926ca7c4ed66e21725cc9e38bf0e c:\windows\ServicePackFiles\i386\explorer.exe

2006-03-02 14:00 34304 e75be66f10c6ca4e0cdab78e402c69cd c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 04:14 34304 fe67f2afe63b7c2d374cfd6eee6de4f9 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 04:14 34304 e8f1b1cd1caad16389b197df0033577d c:\windows\system32\ctfmon.exe

2005-06-11 02:17 76800 1a677156fc7118ad8e2d4e712667a050 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 01:53 76800 9be1829547d89a9bd27ad78ca16e2f7e c:\windows\$NtServicePackUninstall$\spoolsv.exe
2006-03-02 14:00 76800 437a08d7451e9734229a96fb5a02d195 c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 04:14 76800 72e2c7775b6f1bc2affd02d9beef480f c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 04:14 76800 15615281241900612254a1c2f880508f c:\windows\system32\spoolsv.exe

2006-03-02 14:00 44032 99752d45cc97e2aae4b7788771023af3 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 04:14 45568 aff88e874258dffc95072aeef71ee515 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 04:14 45568 d742c379697520e22ed6a62b95ad482f c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot_2009-04-02_17.38.19.51 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 18:02:28 185,856 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2005-10-20 18:02:28 185,856 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
- 2009-04-02 14:34:07 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-04-03 06:19:16 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-04-02 14:34:07 49,152 ----a-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
+ 2009-04-03 06:19:16 49,152 ----a-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
- 2009-04-02 14:34:07 212,992 ----a-w c:\windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
+ 2009-04-03 06:19:16 212,992 ----a-w c:\windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
+ 2009-04-03 06:21:54 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_6e4.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1714176]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-10 39408]
"Google Update"="c:\documents and settings\pc2004\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" [2008-11-28 133104]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 34304]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1850608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 163840]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-27 125536]
"WinVNC"="c:\programmi\UltraVNC\WinVNC.exe" [2004-06-20 651334]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SearchSettings"="c:\programmi\Search Settings\SearchSettings.exe" [2008-06-12 991584]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 34304]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio rapido HP Photosmart Premier.lnk - c:\programmi\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 94208]
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R2 SavRoam;SAVRoam;c:\programmi\Symantec AntiVirus\SavRoam.exe [2006-11-27 119392]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-09-11 99376]
R3 G200;G200;c:\windows\system32\drivers\G200m.sys [2008-02-20 320384]
R3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
S3 at1394;at1394;\??\c:\windows\system32\at1394.sys --> c:\windows\system32\at1394.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e75af06c-83e4-11dd-845a-00112f3ebdd9}]
\Shell\AutoRun\command - F:\EmDesk.exe
\Shell\EmDesk\command - F:\EmDesk.exe
.
Contenuto della cartella 'Scheduled Tasks'

2009-04-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1444230100-1310048038-1105602924-3162.job
- c:\documents and settings\pc2004\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2008-11-28 13:03]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.com/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {50966B20-2BFE-40E1-B85B-764361C90B18} = 192.168.209.160,192.168.200.160
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-03 08:22:50
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140311900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140311900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(528)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\File comuni\Symantec Shared\ccSetMgr.exe
c:\programmi\File comuni\Symantec Shared\ccEvtMgr.exe
c:\programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\programmi\Symantec AntiVirus\DoScan.exe
c:\programmi\Symantec AntiVirus\DefWatch.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\Analog Devices\SoundMAX\SMAgent.exe
c:\programmi\Symantec AntiVirus\Rtvscan.exe
c:\programmi\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Ora fine scansione: 2009-04-03 8:28:30 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-04-03 06:28:23
ComboFix2.txt 2009-04-02 15:39:14
ComboFix3.txt 2009-04-02 09:23:22

Pre-Run: 21,816,057,856 byte disponibili
Post-Run: 21,807,222,784 byte disponibili

250 --- E O F --- 2009-03-16 07:30:37
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi Luke57 » 03/04/09 09:32

Ciao, elimina questo file se presente:
c:\windows\system32\wmpns.dll
e questo se non l'hai creato tu:
c:\windows\adobe.bat


Inoltre, scarica icesword
http://majorgeeks.com/Icesword_d5199.html
esegui il programma, clicca su file, poi si apre il ramo delle cartelle(come esplora risorse) naviga fino alla cartella system32, la pari, individui il file, se presente:
at1394.sys
tasto dx del mouse e sceglie l'opzione delete o force delete, non mi ricordo bene.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 03/04/09 11:41

Ciao Luke,
ho fatto tutto quello che hai detto....l'unico file che non ho trovato è stato at1394.sys
Comunque ho provato a fare una scansione con superantispyware ma ad un certo punto il computer, nel mezzo della scansione, si riavvia!!
Un'altra cosa che mi succede, quando lo riavvio, mi appare una finestra di errore con scritto:
hpqthb08.exe - Errore di applicazione
Applicazione non correttamento inizializzata (0xc000007b). Fare click su ok per chiudere l'applicazione.
Aiutoooooooooooo!!!!!!!!
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi Fabrix9 » 03/04/09 13:10

Sono anch'io afflitto dallo stesso problema. Ti suggerisco di consultare questo formun

http://www.symantec.com/connect/forums/ ... emp-folder

Ho applicato la soluzione proposta e per ora sembra avere funzionato. Per sicurezza sto facendo girare combofix e se ci sono cose strane trovate te lo faccio sapere
Fabrix9
Newbie
 
Post: 1
Iscritto il: 03/04/09 13:05

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi shel » 03/04/09 16:40

hai qualche applicazione della Hewlett-Packard installata?
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi Luke57 » 04/04/09 17:49

Ciao, vediamo meglio, scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione .zip nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 06/04/09 08:13

Ciao luke,
in allegato ti ho messo la scansione fatta systemscan.
Allegati

[L’estensione zip è stata disattivata e non puó essere visualizzata.]

bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 06/04/09 09:19

Ciao Luke,
mi sono dimenticato di dirti un'altra cosa che mi succede e penso possa aiutarti. Quando avvio il browser mi appare una schermata iniziale in cui mi viene chiesto di effettuare una ricarica (con uno smile a fianco). Sicuramente è un collegamento per siti a pagamento. Il virus si deve essere installato nel momento in cui ho scaricato un programma "keygen"..... :-?
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 06/04/09 14:44

bisciu ha scritto:Ciao Luke,
mi sono dimenticato di dirti un'altra cosa che mi succede e penso possa aiutarti. Quando avvio il browser mi appare una schermata iniziale in cui mi viene chiesto di effettuare una ricarica (con uno smile a fianco). Sicuramente è un collegamento per siti a pagamento. Il virus si deve essere installato nel momento in cui ho scaricato un programma "keygen"..... :-?


Mi correggo.....nel browser non mi appare quella finestra. Però sono convinto che il virus si sia insidiato dopo che ho scaricato quella maledetta "keygen" fasulla....
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi Luke57 » 06/04/09 14:55

Ciao, esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:
Cita:

Codice: Seleziona tutto
files to delete:
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
 C:\WINDOWS\system32\at1394.sys

folders to delete:
C:\DOCUME~1\pc2004\IMPOST~1\Temp

registry keys to delete:
HKLM\system\currentcontrolset\services\at1394
HKLM\system\controlset001\services\at1394
HKLM\system\controlset003\services\at1394
HKLM\system\currentcontrolset\enum\root\legacy_at1394
HKLM\system\controlset001\enum\root\legacy_at1394
HKLM\system\controlset003\enum\root\legacy_at1394


Clicca su "Proceed with removal" (vai avanti finchè non si avvia) e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito (C:\avenger.txt) e incollalo in un post.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 06/04/09 15:49

Luke57 ha scritto:Ciao, esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:
Cita:

Codice: Seleziona tutto
files to delete:
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
 C:\WINDOWS\system32\at1394.sys

folders to delete:
C:\DOCUME~1\pc2004\IMPOST~1\Temp

registry keys to delete:
HKLM\system\currentcontrolset\services\at1394
HKLM\system\controlset001\services\at1394
HKLM\system\controlset003\services\at1394
HKLM\system\currentcontrolset\enum\root\legacy_at1394
HKLM\system\controlset001\enum\root\legacy_at1394
HKLM\system\controlset003\enum\root\legacy_at1394


Clicca su "Proceed with removal" (vai avanti finchè non si avvia) e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito (C:\avenger.txt) e incollalo in un post.



Ho seguito le tue istruzioni ma dopo aver avviato lo script e avergli dato l'ok, mi appare una finestra di errore e praticamente non succede nulla. Per curiosità ho riprovato a fare un scansione con superantispyware ma l'esito è sempre lo stesso, il pc mentre scansiona le chiavi di registro si riavvia .
In allegato ti ho messo la finestra di errore che mi appare con systemscan.
Allegati
errore con systemscan.JPG
(9.67 KiB) Scaricato 22 volte
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 06/04/09 16:31

Ciao Luke,
ho eseguito lo script direttamente con Avenger e questo è l'esito:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\sed.exe" deleted successfully.
File "C:\WINDOWS\grep.exe" deleted successfully.
File "C:\WINDOWS\zip.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\at1394.sys" not found!
Deletion of file "C:\WINDOWS\system32\at1394.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\DOCUME~1\pc2004\IMPOST~1\Temp" deleted successfully.
Registry key "HKLM\system\currentcontrolset\services\at1394" deleted successfully.

Error: registry key "HKLM\system\controlset001\services\at1394" not found!
Deletion of registry key "HKLM\system\controlset001\services\at1394" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\system\controlset003\services\at1394" deleted successfully.
Registry key "HKLM\system\currentcontrolset\enum\root\legacy_at1394" deleted successfully.

Error: registry key "HKLM\system\controlset001\enum\root\legacy_at1394" not found!
Deletion of registry key "HKLM\system\controlset001\enum\root\legacy_at1394" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\system\controlset003\enum\root\legacy_at1394" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi Luke57 » 06/04/09 16:36

Ciao, non so, Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO.
Esegui una scansione completa del sistema e posta il report, senza eliminare niente per adesso.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: AIUTO!! MALEDETTI TROJAN!!

Postdi bisciu » 07/04/09 07:16

Malwarebytes' Anti-Malware 1.35
Versione del database: 1904
Windows 5.1.2600 Service Pack 3

2009-04-06 18:31:20
mbam-log-2009-04-06 (18-30-34).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 122948
Tempo trascorso: 38 minute(s), 56 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Documents and Settings\pc2004\Dati applicazioni\nidle (Trojan.Agent) -> No action taken.

File infetti:
C:\Documents and Settings\pc2004\Dati applicazioni\nidle\nidle.ex_ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdctxte.exe (Backdoor.Bot) -> No action taken.
bisciu
Utente Junior
 
Post: 66
Iscritto il: 19/01/07 11:07

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "AIUTO!! MALEDETTI TROJAN!!":

Aiuto urgente!!!
Autore: templare77
Forum: Software Windows
Risposte: 0

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti