Home News Guide Hardware Download Forum Glossario

Condividi:        

Cavallo di troia win32:Asune-F [Trj] esiste rimedio?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Regole del forum
Rispondi al post

Cavallo di troia win32:Asune-F [Trj] esiste rimedio?

Postdi annonio » 10/09/06 15:45

Salve, ho un problema con un cavallo di troia: Win32:Asune-F [Trj] che viene piu' volte rilevato dal mio antivirus (Avast!4.7).
Ovviamente l'antivirus non riesce ad eliminarlo.
E' piu' di un mese che il mio pc non va piu' bene...spero che qualcuno mi possa aiutare perche' sono disperato e il pc e' fondamentale per il mio lavoro di ricercatore!!
Vi lascio il risultato della scLogfile of HijackThis v1.99.0,siate semplici nelle eventuali spiegazioni,non sono un esperto,grazie mille sin d'ora.

Scan saved at 16.18.36, on 10/09/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\PROGRAMMI\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMMI\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\SLIPCORE.EXE
C:\WINDOWS\MEDIACON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\SLIPGUI.EXE
C:\PROGRAMMI\DIGISOFT ANTIDIALER\ANTIDIALER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\CMMON32.EXE
C:\PROGRAMMI\MSN APPS\UPDATER\01.03.0000.1005\IT\MSNAPPAU.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.iol.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5401
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\PBHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMMI\MSN APPS\MSN TOOLBAR\01.02.5000.1021\IT\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\TOOLBAND.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMMI\MSN APPS\MSN TOOLBAR\01.02.5000.1021\IT\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\SlipStream Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [MediaCtr] C:\WINDOWS\MEDIACON.EXE -i
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.03.0000.1005\it\msnappau.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: SlipStream Web Accelerator.lnk = C:\Programmi\SlipStream Web Accelerator\slipgui.exe
O4 - Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmwordtrans.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page into English - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmtrans.html
O8 - Extra context menu item: Mostra immagine originale - res://C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\GUI_RESOURCE.DLL/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\GUI_RESOURCE.DLL/327
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.iol.it
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top
Sponsor
 

Postdi Luke57 » 10/09/06 16:14

Ciao, apri hiajckthis, premi "open the misc tools section", "Open process manager", cerchi ed evidenzi il processo:
C:\WINDOWS\MEDIACON.EXE
premi kill process

Torni al menu principale con back, "scan", cerca e spunta:
O4 - HKLM\..\Run: [MediaCtr] C:\WINDOWS\MEDIACON.EXE -i
premi fix checked.

cerca ed elimina il file:
C:\WINDOWS\MEDIACON.EXE
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10
Top

Postdi annonio » 10/09/06 16:34

P.S.=MA quando alla fine della tua risposta,scrivi :cerca e elimina il file:mediacon.exe devo fare start\trova \?
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top

Postdi Luke57 » 10/09/06 16:42

No, basta seguire il percorso, apri C;, apri la cartella Windows, trovi il file.
Prima visualizza file e cartelle nascoste, da
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10
Top

Postdi annonio » 10/09/06 16:46

Ho seguito alla lettera il tuo procedimento,eliminando il file che mi hai indicato,ma facendo la scansione con l'antivirus,questo ritrova piu' volte il cavallo di troia Win32:Asune-F [Trj].
Ho notato che lo trova in una cartella nascosta:C:\_RESTORE\TEMP\A0001729.CPY\[Upack] .
Tempo fa,ora che ricordo, ho preso :Win32:Trojan.Gen e Win32:Dialer-622[Trj] e dopo aver fatto una scansione con l'antivirus aggiornato in modalita' provvisoria erano scomparsi,che non lo fossero del tutto??
Vi prego aiutatemi!!
Sono un ricercatore e sono nella merd....! :cry:

Vi rilascio la scansione con Hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 17.38.23, on 10/09/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\PROGRAMMI\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMMI\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\SLIPCORE.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\SLIPGUI.EXE
C:\PROGRAMMI\DIGISOFT ANTIDIALER\ANTIDIALER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\CMMON32.EXE
C:\PROGRAMMI\MSN APPS\UPDATER\01.03.0000.1005\IT\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.iol.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5401
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\PBHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMMI\MSN APPS\MSN TOOLBAR\01.02.5000.1021\IT\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\TOOLBAND.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMMI\MSN APPS\MSN TOOLBAR\01.02.5000.1021\IT\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\SlipStream Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.03.0000.1005\it\msnappau.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: SlipStream Web Accelerator.lnk = C:\Programmi\SlipStream Web Accelerator\slipgui.exe
O4 - Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmwordtrans.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page into English - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmtrans.html
O8 - Extra context menu item: Mostra immagine originale - res://C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\GUI_RESOURCE.DLL/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\GUI_RESOURCE.DLL/327
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.iol.it
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top

Postdi annonio » 10/09/06 16:56

Perdonami l'ignoranza,io ho windows Me ,dov'e' gestione del computer?
Non riesco a capire come rendere visibili le cartelle nascoste perche' se seguo il percorso c\windows\ poi non trovo la cartella mediacon.exe appunto perche' nascosta.
grazie ancora
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top

Postdi Luke57 » 10/09/06 17:08

Apri risorse del computer che è sul desktop, nella barra dei menu in alto, si trova Strumenti, nel menu a discesa Opzioni cartella, ecc
Oppure da start>impostazioni>pannello di controllo>opzioni cartella >visualizzazione, ecc,ecc.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10
Top

Postdi andorra24 » 10/09/06 17:10

annonio ha scritto:Perdonami l'ignoranza,io ho windows Me ,dov'e' gestione del computer?


start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle e file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.


Dovresti fare una verifica su un file per scrupolo. Scansiona su http://www.virustotal.com il file in rosso: C:\WINDOWS\SYSTEM\CMMON32.EXE
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo
Top

Postdi annonio » 10/09/06 17:19

PER FARE LA SCANSIONE DI QUESTO FILE DEVO INSERIRLO IN "FILE" E CLICCARE SU "SEND" NEL SITO DI VIRUSTOTAL ED ATTENDERE UNA RISPOSTA? HO CAPITO BENE?
GRAZIE
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top

Postdi andorra24 » 10/09/06 17:23

annonio ha scritto:PER FARE LA SCANSIONE DI QUESTO FILE DEVO INSERIRLO IN "FILE" E CLICCARE SU "SEND" NEL SITO DI VIRUSTOTAL ED ATTENDERE UNA RISPOSTA? HO CAPITO BENE?
GRAZIE

Seleziona il file da scansionare attraverso il bottone ''sfoglia'' e dopo premi ''send''.

PS: non scrivere in maiuscolo per favore perche' equivale ad urlare.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo
Top

Postdi annonio » 10/09/06 17:28

ops..pardon!
Non era mia intenzione,e' che sono nel pallone non posso lavorare!
Il risultato della scansione cmq e' negativo ,nessun antivirus lo riconosce come qualcosa di negativo.
Tutte le porcherie che ci sono sono nella cartella:C:\_RESTORE\ TEMP...
ma non riesco a processare i files!
Grazie ancora.
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top

Postdi andorra24 » 10/09/06 17:38

annonio ha scritto:ops..pardon!
Non era mia intenzione,e' che sono nel pallone non posso lavorare!
Il risultato della scansione cmq e' negativo ,nessun antivirus lo riconosce come qualcosa di negativo.

ok va bene, probabilmente e' un file microsoft. Ti ho fatto fare il controllo per scrupolo perche' esiste un file omonimo che e' un trojan.
annonio ha scritto:Tutte le porcherie che ci sono sono nella cartella:C:\_RESTORE\ TEMP...
ma non riesco a processare i files!
Grazie ancora.

Disattiva il ripristino di sistema e ripeti la scansione antivirus in modalita' provvisoria.
Per disattivare ripristino segui le indicazioni del link:
http://service1.symantec.com/SUPPORT/IN ... 3135942924
Per andare in modalita' provvisoria:
http://service1.symantec.com/SUPPORT/IN ... #_Section3

Fai anche una scansione online su questo sito:
http://www.ewido.net/en/onlinescan/
e se ancora non risolvi dai anche una passata con questo:
http://www.superantispyware.com/downloa ... PYWAREFREE
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo
Top

Postdi annonio » 10/09/06 22:13

Allora:ho eseguito la scansione con l'antivirus aggiornato in modalita' provvisoria ed ho eliminato i files infetti rilevati in C:\_RESTORE\TEMP
Poi ho riavviato e la scansione non ha rilevato piu' nulla.
Ma ho il sospetto di aver eliminato i files infettati da:Win32:Asune-F [Trj]
ma non il cavallo di troia in se'!
Ho notato che in _RESTORE ci sono ancora dei files nascosti,e' normale?
Come posso essere sicuro che il cavallo di tria sia definitivamente andato via?
Grazie.
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top

Postdi andorra24 » 10/09/06 22:19

Se la scansione non ti trova piu' nulla e' probabile che adesso tu sia pulito. Comunque per sicurezza posta un nuovo log di hijackthis per un ultimo controllo.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo
Top

Postdi annonio » 10/09/06 22:43

Ecco qui come mi chiedi :



Logfile of HijackThis v1.99.0
Scan saved at 23.35.00, on 10/09/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMMI\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\SLIPCORE.EXE
C:\PROGRAMMI\MSN APPS\UPDATER\01.03.0000.1005\IT\MSNAPPAU.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\SLIPGUI.EXE
C:\PROGRAMMI\DIGISOFT ANTIDIALER\ANTIDIALER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\CMMON32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.iol.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5401
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\PBHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMMI\MSN APPS\MSN TOOLBAR\01.02.5000.1021\IT\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\TOOLBAND.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMMI\MSN APPS\MSN TOOLBAR\01.02.5000.1021\IT\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\SlipStream Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.03.0000.1005\it\msnappau.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: SlipStream Web Accelerator.lnk = C:\Programmi\SlipStream Web Accelerator\slipgui.exe
O4 - Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmwordtrans.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page into English - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmtrans.html
O8 - Extra context menu item: Mostra immagine originale - res://C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\GUI_RESOURCE.DLL/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\PROGRAMMI\SLIPSTREAM WEB ACCELERATOR\GUI_RESOURCE.DLL/327
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.iol.it
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab

Grazie mille!
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top

Postdi andorra24 » 10/09/06 23:03

Il log e' pulito. Adesso dei a posto.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo
Top

Postdi annonio » 11/09/06 21:51

Gia' cosi' sembra!!
Debitore!! :)
Davvero grazie mille!!
Richiesta aiuto urgente
annonio
Utente Senior
 
Post: 101
Iscritto il: 10/09/06 15:31
Top

Postdi andorra24 » 11/09/06 22:29

annonio ha scritto:Gia' cosi' sembra!!
Debitore!! :)
Davvero grazie mille!!

Prego. ;)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo
Top
Rispondi al post

Torna a Sicurezza e Privacy


Topic correlati a "Cavallo di troia win32:Asune-F [Trj] esiste rimedio?":

Cartella che non si cancella perché non esiste
Autore: aurelio37 		Forum: Sistemi Operativi Windows
Risposte: 23
Esiste un riferimento relativo al foglio precedente?
Autore: wallace&gromit 		Forum: Applicazioni Office Windows
Risposte: 4
Photoscape non esiste per Windows 11?
Autore: franco11 		Forum: Audio/Video e masterizzazione
Risposte: 0
Esiste un trucco per selezionare rapidamente le celle?
Autore: wallace&gromit 		Forum: Applicazioni Office Windows
Risposte: 5
Tor: esiste una cronologia?
Autore: franco11 		Forum: Sicurezza e Privacy
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 39 ospiti