Condividi:        

TR/Click.SMall.KJ.14

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

TR/Click.SMall.KJ.14

Postdi hallie » 02/09/06 00:19

Ciao a tutti! Avrei bisogno di aiuto per un problema che mi sta facendo impazzire.
L'antivirus (Antivir guard, aggiornato) segnala incessantemente di aver rilevato il trojan TR/Click.SMall.KJ.14, ma non riesce a cancellare il file infetto C:\WINDOWS\SYSHOST.DLL

Ho provato a cancellare il file in modalità provvisoria ma ad ogni riavvio il file si rigenera.
Ho letto che potrei dover trovare nella stessa cartella un file svchost.exe (stesso nome del legittimo file di windows in system32) ma non è presente.

Ho fatto anche scansione con SuperAntiSpyware che ha eliminato alcuni elementi ma ora non trova più nulla e con Bit defender online scanner che non ha trovato nulla.

Questo è il log di HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 1.09.48, on 02/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mapiicon.exe
C:\Programmi\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inter-calcio.it/indice.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ADSL_A2] A2Installed
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: ADSL Diagnostic Tools.LNK = C:\WINDOWS\system32\mapiicon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 1129140171
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

Grazie per l'aiuto e il vostro tempo
Claudia
hallie
Newbie
 
Post: 5
Iscritto il: 01/09/06 23:52

Sponsor
 

Postdi andorra24 » 02/09/06 03:24

Ciao, il log di hijackthis e' pulito e non si vede nessuna infezione. Se dici di avere nel pc il seguente file C:\WINDOWS\SYSHOST.DLL allora cerca di eliminarlo con killbox: http://www.bleepingcomputer.com/files/killbox.php
o con unlocker: http://ccollomb.free.fr/unlocker/

Per quanto riguarda invece il file C:\WINDOWS\svchost.exe prova a cercarlo dopo aver visualizzato cartelle e file nascosti:

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi hallie » 02/09/06 03:47

Ciao, grazie mille per aver risposto.

Ho controllato cambiando le impostazioni per visualizzare file nascosti e di sistema ma il file C:\WINDOWS\svchost.exe ancora non si trova.

Ho provato a cancellare syshost con killbox ma mi dice che il file non può essere cancellato. Allora ho spuntato l'opzione "delete on reboot" ma al riavvio il file era ancora lì.

Con unlocker, quando sblocco il file, mi appare questa schermata:

Immagine

Dopo che scelgo termina processo e sblocca succede la stessa cosa che capita con killbox: file impossibile da eliminare se non dopo riavvio, ma anche dopo il riavvio il file rimane lì
hallie
Newbie
 
Post: 5
Iscritto il: 01/09/06 23:52

Postdi hallie » 02/09/06 04:08

Nel frattempo ho fatto anche scansione con trend micro e mcafee ma non hanno trovato nulla. L'unico che segnala questo virus (e lo fa di continuo a meno che non lo disattivi) è Antivir, che però non riesce a eliminarlo
hallie
Newbie
 
Post: 5
Iscritto il: 01/09/06 23:52

Postdi andorra24 » 02/09/06 07:36

Prova ad eliminarlo con delete doctor:
http://www.megalab.it/articoli.php?id=652
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi hallie » 02/09/06 09:14

Grazie, ho provato ma il file si ricrea all'avvio, probabilmente c'è qualche altro file che lo comanda ma non essendoci svchost.exe non riesco a capire quale sia :(
hallie
Newbie
 
Post: 5
Iscritto il: 01/09/06 23:52

Postdi andorra24 » 02/09/06 09:39

andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi hallie » 02/09/06 10:03

Grazie ho risolto! :D
Il file infetto che comandava a syshost di ricrarsi era nel mio caso C:\WINDOWS\Service32.exe, l'ho scoperto grazie ad unlocker quindi grazie mille a te che me l'hai segnalato! :)
hallie
Newbie
 
Post: 5
Iscritto il: 01/09/06 23:52

Postdi andorra24 » 02/09/06 10:05

hallie ha scritto:Grazie ho risolto! :D
Il file infetto che comandava a syshost di ricrarsi era nel mio caso C:\WINDOWS\Service32.exe, l'ho scoperto grazie ad unlocker quindi grazie mille a te che me l'hai segnalato! :)

Benissimo, mi fa molto piacere. ;)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

anch'io ho beccato Click.small.kj.14...

Postdi valenale » 07/09/06 20:45

....ma anche con unlocker non sono riuscita ad eliminare il file service32.exe....allora incrociando le dita gli ho cambiato l'estensione e ho riavviato, e per ora pare che si avviano tutti i programmi.
Syshost.dll ancora non è ricomparso.

Vorrei però eliminare del tutto service32.___ (così l'ho rinominato), come funziona esattamente unlocker?
Grazie cmq a tutti, stavo per rassegnarmi a riformattare!

Valentina
valenale
Utente Junior
 
Post: 46
Iscritto il: 07/09/06 20:37

Postdi Luke57 » 07/09/06 20:52

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:



Files to delete:
C:\WINDOWS\Service32.___



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Posta il log di Avenger (C:/avenger.txt) con l´esito dello script
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

click.small eliminato

Postdi valenale » 11/09/06 17:16

dopo aver cambiato estensione al file system32.exe, ho riavviato e rientrando nella cartella di windows ho potuto cestinare ed eliminare sia service32.exe che syshost.dll.
Non ho usato avenger.

Grazieeeeeeeeeeeee
:)
Vale
valenale
Utente Junior
 
Post: 46
Iscritto il: 07/09/06 20:37

TR/Click.Small.KJ.14

Postdi ale3_v » 23/09/06 21:49

ciao a tutti,
mi sono appena iscritto al forum e premetto che ho poca confidenza col pc!
Anche io ho un problema col trojan TR/Click.Small.KJ.14.
Antivir lo trova ma non riesce a eliminarlo; indica il file C:\WINDOWS\syst32.dll
E' questo il file infetto?
Potreste aiutarmi a risolvere il problema?
grazie mille

Ale
ale3_v
Newbie
 
Post: 3
Iscritto il: 23/09/06 21:32

Postdi Luke57 » 23/09/06 22:00

Ciao, apri il task manager (Alt+ctrl+Canc), se fra i processi trovi
service32.exe
clicca Termina processo.
Vai nel registro di sistema:
start>esegui>regedit (lo scrivi nello spazio bianco)>OK
nell'editor che si apre, segui questo percorso,cliccando una volta sui + accanto alle singole voci:
eliminare le sottochiavi seguenti
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, clicchi due volte sulla cartella Run
se trovi questo valore
1 = C:\WINDOWS\service32.exe
click con il dx e scegli Elimina.
Fai così anche per la restante sottochiave:service32.exe
HKEY_LOCAL_MACHINE\SOFTWARE
fra le sottovoci di SOFTWARE dovresti avere
9F65E3H10M
click con il dx e scegli Elimina.
Poi vai in
C:\windows ed elimini

sempre in windows cerchi
syst32.dll
e lo elimini

Svuota il cestino.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi ale3_v » 24/09/06 11:02

Grazie per la risposta!
Ho aperto task manager ma sinceramente non trovo service32.exe, neanche con la funzione "Trova" di windows.
Nel task manager però ci sono ben 5 files svchost.exe (mi pare che un altro utente avesse problemi con questo...)!!!!

Devo fare la procedura che mi hai indicato con questi files anzichè con service32.exe??

Ancora grazie :-?
ale3_v
Newbie
 
Post: 3
Iscritto il: 23/09/06 21:32

Postdi andorra24 » 24/09/06 11:14

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Verifica se hai i seguenti files:

C:\WINDOWS\service32.exe
C:\WINDOWS\syshost.dll
C:\WINDOWS\svchost.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi ale3_v » 24/09/06 11:29

Dopo aver impostato le spunte come mi hai indicato, mi sono fatto aiutare dalla funz. Trova per cercare i file che dicevi, ho trovato solo questi:

SVCHOST.EXE-3530F672.pf in C:\WINDOWS\Prefetch
svchost.exe in C:\WINDOWS\system32
svchost.exe in C:\WINDOWS\system32\dllcache (scritto in blu!!!)

degli altri files nessuna traccia
ale3_v
Newbie
 
Post: 3
Iscritto il: 23/09/06 21:32

Postdi andorra24 » 24/09/06 11:45

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice in neretto:

Files to delete:
C:\WINDOWS\syst32.dll


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lammyyy » 24/09/06 14:39

ciao, sn nuovo d qua è ho lo stesso problema degli altri... a parte il fatto ke il mio file infetto è:
D:\WINDOWS\winsmgr32.dll
ke devo fare???

Ringrazio vivamente in anticipo...
lammyyy
Newbie
 
Post: 2
Iscritto il: 24/09/06 14:35

Postdi andorra24 » 24/09/06 14:57

lammyyy ha scritto:ciao, sn nuovo d qua è ho lo stesso problema degli altri... a parte il fatto ke il mio file infetto è:
D:\WINDOWS\winsmgr32.dll
ke devo fare???

Ringrazio vivamente in anticipo...


scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice in neretto:

Files to delete:
D:\WINDOWS\winsmgr32.dll


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "TR/Click.SMall.KJ.14":


Chi c’è in linea

Visitano il forum: Nessuno e 27 ospiti