Condividi:        

AVG v.7.1.381 segnala un Trojan horse in esplora risorse

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

AVG v.7.1.381 segnala un Trojan horse in esplora risorse

Postdi matrixn » 15/07/06 17:31

Ho un problema con AVG Free Edition Vers.7.1.381,
installato su un Win XP vers.5.1.2600 S.Pack 2 Build 2600.
Dopo il penultimo aggiornamento del 13.07.2006,
quando clicco sull'icona "Esplora risorse" mi appare il messaggio:

AVG Resident Shield - 30 s
VIRUS DETECTED !
While opening file: C:\WINDOWS\system32:hoaa.dll
Trojan horse Generic.XEH
[ Ignore ] [ Info ] [ Go to file ]

- La funzione "Go to file" apre la cartella C:\windows ed evidenzia la cartella (gialla): system32
- Nella stessa cartella C:\windows non esiste un file con nome system32:hoaa.dll, ma solo system.ini
- Ho attivato la visualizzazione delle estensioni dei file.
- Dopo l'installazione del 24.06.2006 non ho mai cambiato opzioni di AVG.
- Non ci sono "Heuristic Analysis" attivate.
- La scansione dell'intero computer (effettuata più volte) non trova alcun virus.
- La funzione "Start/Cerca" non funziona (causa di questo Trojan horse).

Come posso liberarmi di questo "cavallo di troia".
Grazie per qualsiasi suggerimento.
matrixn
Newbie
 
Post: 4
Iscritto il: 14/11/01 01:00

Sponsor
 

Postdi andorra24 » 15/07/06 17:39

Ciao, posta un log di hijackthis.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Re: AVG v.7.1.381 segnala un Trojan horse in esplora risorse

Postdi matrixn » 15/07/06 22:45

matrixn ha scritto:Ho un problema con AVG Free Edition Vers.7.1.381,
installato su un Win XP vers.5.1.2600 S.Pack 2 Build 2600.
Dopo il penultimo aggiornamento del 13.07.2006,
quando clicco sull'icona "Esplora risorse" mi appare il messaggio:

AVG Resident Shield - 30 s
VIRUS DETECTED !
While opening file: C:\WINDOWS\system32:hoaa.dll
Trojan horse Generic.XEH

[ Ignore ] [ Info ] [ Go to file ]

- La funzione "Go to file" apre la cartella C:\windows ed evidenzia la cartella (gialla): system32
- Nella stessa cartella C:\windows non esiste un file con nome system32:hoaa.dll, ma solo system.ini
- Ho attivato la visualizzazione delle estensioni dei file.
- Dopo l'installazione del 24.06.2006 non ho mai cambiato opzioni di AVG.
- Non ci sono "Heuristic Analysis" attivate.
- La scansione dell'intero computer (effettuata più volte) non trova alcun virus.
- La funzione "Start/Cerca" non funziona (causa di questo Trojan horse).

Come posso liberarmi di questo "cavallo di troia".
Grazie per qualsiasi suggerimento.


Quello che segue è il logfile di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 23.17.58, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Programmi\html2pop3228win32\html2pop3.exe
C:\Programmi\Microsoft Office\Office\OSA9.EXE
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Fede\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi2\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2ee25147-37d4-4640-832c-fccfac8b21d9} - C:\WINDOWS\system32:hoaa.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi2\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: html2pop3.exe.lnk = C:\Programmi\html2pop3228win32\html2pop3.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\system32\MetaProducts\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {F9C69B40-2BC1-4ADE-83ED-85EFAD41015B} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O18 - Protocol: bw+0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw+0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw-0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw-0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw00 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw00s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw10 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw10s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw20 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw20s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw30 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw30s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw40 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw40s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw50 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw50s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw60 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw60s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw70 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw70s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw80 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw80s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw90 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bw90s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwa0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwa0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwb0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwb0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwc0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwc0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwd0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwd0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwe0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwe0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwf0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwf0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - blank (file missing)
O18 - Protocol: bwg0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwg0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwh0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwh0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwi0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwi0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwj0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwj0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwk0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwk0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwl0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwl0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwm0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwm0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwn0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwn0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwo0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwo0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwp0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwp0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwq0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwq0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwr0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwr0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bws0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bws0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwt0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwt0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwu0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwu0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwv0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwv0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bww0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bww0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwx0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwx0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwy0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwy0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwz0 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: bwz0s - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O18 - Protocol: offline-8876480 - {CF959BFB-46FC-4725-A977-892308644BBF} - blank (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
matrixn
Newbie
 
Post: 4
Iscritto il: 14/11/01 01:00

Postdi andorra24 » 15/07/06 23:40

Metti la spunta nella casellina accanto alle seguenti voci e premi fix checked:

O2 - BHO: (no name) - {2ee25147-37d4-4640-832c-fccfac8b21d9} - C:\WINDOWS\system32:hoaa.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: Alice - {F9C69B40-2BC1-4ADE-83ED-85EFAD41015B} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
TUTTE LE VOCI 018

Fai una scansione con questo tool antivirus standalone:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lucas/s » 16/07/06 14:09

Ciao,scarica questo programma sul desktop
http://www.merijn.org/files/adsspy.zip
Decomprimi l'archivo,avvia il programma,leva tutte le spunte presenti e mettila solo nella casella "Scan only this folder",clicca sul pulsantino e seleziona il disco rigido da scansionare,clicca su "Scan the system ecc " per far partire la scansione,a fine scansione se trova qualcosa,selezionane uno,tasto destro e selezioni "Select All" e poi "Save scan result" salva il risultato e postalo
------------------------------------------------------------------------------------------
Riavvia il programma,attendi la fine della scansione
Nella lista vedrai il valore
C:\WINDOWS\system32:hoaa.dll
metti la spunta affianco alla casella che corrisponde a quel valore e clicca sul pulsante "Remove selected streams"

Ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33


Torna a Sicurezza e Privacy


Topic correlati a "AVG v.7.1.381 segnala un Trojan horse in esplora risorse":


Chi c’è in linea

Visitano il forum: Nessuno e 40 ospiti