Condividi:        

Win32/DELF.ATG- 2° Appello!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Win32/DELF.ATG- 2° Appello!!

Postdi cachero » 01/10/06 10:39

Car Amici sul mio pc compare il messaggio(ho Nod32):Win32/DELF.ATG cavallo di Troia.Come fare per eliminarlo?
Ho fatto il log con Hijackthis che allego . Chi tra i moderatori può darmi na mano? grazie mille
Logfile of HijackThis v1.99.1
Scan saved at 11.32.10, on 01/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Programmi\HPQ\One-Touch\OneTouch.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\yidtjgz.exe
C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\APPS\DataSecure\PBBckupUI.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\svch0st.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\ZipGenius 5\zipgenius.exe
C:\DOCUME~1\Patrizio\IMPOST~1\Temp\ZGTemp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\Programmi\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [Display Settings] C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] msconfigs.exe
O4 - HKLM\..\Run: [Microsoft Windows UpDates] msmsgrs.exe
O4 - HKLM\..\Run: [Realtek Sound Manager] winksas.exe
O4 - HKLM\..\Run: [DRam prosesor] yidtjgz.exe
O4 - HKLM\..\Run: [Microsoft Anti-Spy] bmypfbm.exe
O4 - HKLM\..\Run: [Service Monitor] eaant.exe
O4 - HKLM\..\Run: [AdobeReaderPro] S3rv32.exe
O4 - HKLM\..\Run: [Printerb] C:\WINDOWS\System32\vn32.exe
O4 - HKLM\..\Run: [Fire Well service] mtfhmkp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Microsoft Windows Update] msconfigs.exe
O4 - HKLM\..\RunServices: [Microsoft Windows UpDates] msmsgrs.exe
O4 - HKLM\..\RunServices: [Realtek Sound Manager] winksas.exe
O4 - HKLM\..\RunServices: [DRam prosesor] yidtjgz.exe
O4 - HKLM\..\RunServices: [Microsoft Anti-Spy] bmypfbm.exe
O4 - HKLM\..\RunServices: [Service Monitor] eaant.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] S3rv32.exe
O4 - HKLM\..\RunServices: [Printerb] C:\WINDOWS\System32\vn32.exe
O4 - HKLM\..\RunServices: [Fire Well service] mtfhmkp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Data Secure] C:\APPS\DataSecure\PBBckupUI.exe /HIDDEN
O4 - HKCU\..\Run: [Microsoft Windows UpDates] msmsgrs.exe
O4 - HKCU\..\Run: [Printerb] C:\WINDOWS\System32\vn32.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [Microsoft Windows UpDates] msmsgrs.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programmi\ScannerU\AM32.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5757621315
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/se ... loader.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: Local Network Service (algs) - Unknown owner - C:\WINDOWS\scvh0st.exe (file missing)
O23 - Service: Adaptive Server Anywhere - pat (ASANYs_pat) - Unknown owner - C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\sdktemp.exe (file missing)
O23 - Service: svch0sts (svch0st) - Unknown owner - C:\WINDOWS\svch0st.exe
O23 - Service: WindowsFirewall - Unknown owner - C:\WINDOWS\system32.exe (file missing)
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
cachero
Newbie
 
Post: 3
Iscritto il: 29/09/06 17:55

Sponsor
 

Postdi Luke57 » 01/10/06 11:15

Ciao, crea una cartella apposita nel disco fisso, tipo C:\HJT, ci copi l'eseguibile di hijackthis (.exe), affinchè il programma possa fare un backup delle voci rimosse:

scarica stinger 260 da qui:
http://vil.nai.com/vil/stinger/
e lo metti sul desktop (non va installato)

Apri la cartella appositamente creata, apri hijackthis.exe, premi "open the misc tools section", "open process manager", cerchi ed evidenzi:
C:\WINDOWS\System32\yidtjgz.exe
C:\WINDOWS\svch0st.exe

premi kill process

Torni alla pagina principale con back, premi "scan", cerca e spunta le seguenti voci:
O4 - HKLM\..\Run: [Microsoft Windows Update] msconfigs.exe
O4 - HKLM\..\Run: [Microsoft Windows UpDates] msmsgrs.exe
O4 - HKLM\..\Run: [Realtek Sound Manager] winksas.exe
O4 - HKLM\..\Run: [DRam prosesor] yidtjgz.exe
O4 - HKLM\..\Run: [Microsoft Anti-Spy] bmypfbm.exe
O4 - HKLM\..\Run: [Service Monitor] eaant.exe
O4 - HKLM\..\Run: [AdobeReaderPro] S3rv32.exe
O4 - HKLM\..\Run: [Printerb] C:\WINDOWS\System32\vn32.exe
O4 - HKLM\..\Run: [Fire Well service] mtfhmkp.exe
04 - KLM\..\RunServices: [Microsoft Windows Update] msconfigs.exe
O4 - HKLM\..\RunServices: [Microsoft Windows UpDates] msmsgrs.exe
O4 - HKLM\..\RunServices: [Realtek Sound Manager] winksas.exe
O4 - HKLM\..\RunServices: [DRam prosesor] yidtjgz.exe
O4 - HKLM\..\RunServices: [Microsoft Anti-Spy] bmypfbm.exe
O4 - HKLM\..\RunServices: [Service Monitor] eaant.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] S3rv32.exe
O4 - HKLM\..\RunServices: [Printerb] C:\WINDOWS\System32\vn32.exe
O4 - HKLM\..\RunServices: [Fire Well service] mtfhmkp.exe
O4 - HKCU\..\Run: [Microsoft Windows UpDates] msmsgrs.exe
O4 - HKCU\..\Run: [Printerb] C:\WINDOWS\System32\vn32.exe
O4 - HKCU\..\RunServices: [Microsoft Windows UpDates] msmsgrs.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: Local Network Service (algs) - Unknown owner - C:\WINDOWS\scvh0st.exe (file missing)
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\sdktemp.exe (file missing)
O23 - Service: svch0sts (svch0st) - Unknown owner - C:\WINDOWS\svch0st.exe
O23 - Service: WindowsFirewall - Unknown owner - C:\WINDOWS\system32.exe (file missing)

premi fix cheked.

riparti in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

rendi visibili file e cartelle nascosti:
da risorse del computer Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Cerca ed elimina i seguenti file ( se ci sono tutti):
C:\WINDOWS\System32\yidtjgz.exe
C:\WINDOWS\System32\vn32.exe
C:\WINDOWS\svch0st.exe (non ti confondere con svchost.exe legittimo)
msconfigs.exe (da cercare)
msmsgrs.exe "
winksas.exe "
bmypfbm.exe "
eaant.exe "
S3rv32.exe "
mtfhmkp.exe "
C:\WINDOWS\System32\vbsys2.dll
C:\WINDOWS\sdktemp.exe (file
C:\WINDOWS\system32.exe

Fai una scansione completa con stinger


Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

svuota il cestino.

Da pannello di controllo.installazioni/applicazioni controlla che non vi siano programmi non installati da te

Per finire scansione on line qui:
http://www.bitdefender.com/scan8/ie.html
Posta nuovo log per controllo
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Per Luke 57!!

Postdi cachero » 01/10/06 11:43

Grazie per avermi risposto!!....ma sono un principiante!...sigh.... che intendi per :ci copi l'eseguibile di hjiackthis(.exe)??
cachero
Newbie
 
Post: 3
Iscritto il: 29/09/06 17:55

Postdi Luke57 » 01/10/06 14:50

Ciao, intendo:
apri risorse del computer, vai in C:\, lo apri, click tasto dx, sul menu a discesa scegli Nuovo >Cartella. Nomini la cartella C:\HJT.
Scarichi hijackthis, lo metti sul desktop.
E' un file .zip, quindi lo devi scompattare. Ci clicchi due volte, individui il file hijackthis.exe, click con il destro scegli Copia, ti riporti sulla cartella creata C:\HJT, la apri, click con il tasto dx e scegli Incolla.
A questo punto le operazioni con hijackthis le esegui, utilizzando l'eseguibile di questa cartella. In questo modo, nella stessa cartella, il programma potra fare il backup delle voci rimosse e si potrà ripristinare la situazione antecedente alla manovra in caso di errori.
OK?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 01/10/06 15:06

Ciao, ho visto i post chiusi da Andorra, qui dici che non sai come si copia il file, di là mandi un log con diverse voci eliminate. Non pensare che aiutarti sia tutto quel divertimento incredibile, anzi mi è già passata la voglia.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "Win32/DELF.ATG- 2° Appello!!":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27
win32/sinowal.gen!y
Autore: diego78
Forum: Sicurezza e Privacy
Risposte: 15

Chi c’è in linea

Visitano il forum: Nessuno e 31 ospiti