Condividi:        

problemi con un trojan

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

problemi con un trojan

Postdi pcmetal » 07/07/05 20:21

vi prego aiutatemi!!!!!è da un paio di giorni che il mio antivirus(kaspersky
)mi rileva un trojan all'avvio di internet explorerche in seguito consiglia di eliminare.lo elimino e puntualmente ogni qualvolta mi conetto con internet explorer mi ricompare sempre lo stesso trojan che viene puntualmente bloccato ed eliminato dall'antivirus.allora io ho provato a connettermi con mozilla ed ho visto che questo problema non esiste.sapreste dirmi il perchè?con internet explorer ho problemi e con mozilla no???!!!!il trojan è:wintib32.vi prego aiutatemi.grazie e ciao.pcmetal
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Sponsor
 

Postdi Dylan666 » 07/07/05 20:26

fai una scansione dalla modalità provvisoria.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi pcmetal » 07/07/05 20:31

l'ho gia fatta sia con kaspersky che con adware che con webroot spy sweeper
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi pcmetal » 07/07/05 20:33

non mi rileva niente!
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi Dylan666 » 07/07/05 20:38

premesso che solo Kaspersky è adatto a rilevare il virus (gli altri software che nomini no) hai provato anche avviando Explorer? E ora se torni alla modalità normale lo ritrova?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi pcmetal » 07/07/05 20:40

adesso non lo rileva perchè navigo con mozilla,prima però quando ho aperto l'internet explorer puntualmente lo ha rilevato e in seguito lo ha eliminato!
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi pcmetal » 07/07/05 20:54

mi sono appena connesso con l'explorer però questa volta non è apparso perchè l'antivirus lo ha eliminato poco fa.però dopo un tot di minuti questo trojan cerca di entrare.non è che qualcuno mi ha preso di mira e cerca di infiltrarsi?mi sono dimentica to di dire che questo trojan è un applicazione:wintib32.exe.però non è mai riuscito a penetrare nel mio sistema quindi facendo la scansione non può essere rilevato.
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi pcmetal » 07/07/05 21:01

le cose mi vengono in mente poco alla volta.ieri poi è successo come pagina iniziale non c'era più alice bensì google.sono andato in opzioni e l'indirizzo che appariva nell'hurl non era quello di google.era un indirizzo strano scritto con lettere buttate a casaccio.
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi pcmetal » 07/07/05 21:18

lo ha rifatto in questo momento e poi lo ha eliminato.cosa devo fare?
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi Dylan666 » 07/07/05 21:31

Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi pcmetal » 07/07/05 21:45

Logfile of HijackThis v1.99.1
Scan saved at 22.45.17, on 07/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\winxp\IMPOST~1\Temp\Rar$EX00.938\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cnbxatapayfjjjaxrwbkoeecj.ne ... b/iJyx.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasadialice.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasadialice.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll
O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Ad-aware] C:\Programmi\Lavasoft\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programmi\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programmi\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72C69358-90CC-4AFF-B400-F7D1B7647AC3}: NameServer = 85.37.17.9 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi pcmetal » 07/07/05 22:23

http://www.cnbxatapayfjjjaxrwbkoeecj.ne ... b/iJyx.php
questo era l'indirizzo su cui era impostata la pagina iniziale.ho appena controllato e di fatto si apre la pagina di google.
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi toni84 » 07/07/05 22:29

ciao dalla modalita provvisoria fissa queste voci:

O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll

O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll

poi sempre in modalità provvisoria ripeti le varie scansione con l'antivirus e gli antispy svuota il cestino file temporanei e cookie!!!ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Dylan666 » 07/07/05 23:04

Confermo, leva quelle due voci e poi cancella i file
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

ultimo aiuto

Postdi pcmetal » 07/07/05 23:21

ciao un ultima cosa ho effettuato la scansione e sono riuscito a beccarlo.segue ogni volta questo percorso:C:\Documents and Settings\winxp\Impostazioni locali\Temp\wintib32.exe.non so se può essere d'aiuto.per quanto riguarda i procedimenti scritti come faccio ad eliminarli?scusa ma non sono tanto pratico
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi Dylan666 » 07/07/05 23:25

Nella guida trovi scritto tutto
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi pcmetal » 07/07/05 23:43

Logfile of HijackThis v1.99.1
Scan saved at 0.41.41, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\winxp\Documenti\giochi-programmi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cnbxatapayfjjjaxrwbkoeecj.ne ... b/iJyx.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasadialice.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasadialice.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Ad-aware] C:\Programmi\Lavasoft\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /1
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programmi\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programmi\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72C69358-90CC-4AFF-B400-F7D1B7647AC3}: NameServer = 85.37.17.9 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi pcmetal » 07/07/05 23:47

credo di esserci riuscito perchè ho rifatto il logfile con hijackthis e non mi compaiono più.adesso sono stati eliminati anche i file oppure devo farlo io manualmente?ti ringrazio per l'aiuto e la pazienza.da oggi in poi per me ci sarà il dylan dog,mito del fumetto, e il dylan dog 666,mito del computer.alla prossima e buonanotte
pcmetal
Utente Junior
 
Post: 66
Iscritto il: 07/07/05 20:11

Postdi Dylan666 » 08/07/05 17:19

pcmetal ha scritto:adesso sono stati eliminati anche i file oppure devo farlo io manualmente?


La guida dice chiaramente:

Questa procedura NON cancella i file maligni dal vostro PC, ma evita che questi vengano lanciati al successivo riavvio. Se gli effetti nocivi saranno spariti (l'homepage è nuovamente re-impostabile, oppure la pagina di ricerca, o quel dialer fastidioso non appare più) allora avrete la certezza matematica che i file che quelle voci del registro facevano partire erano nocivi e li potete cestinare.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "problemi con un trojan":


Chi c’è in linea

Visitano il forum: Nessuno e 24 ospiti