Condividi:        

Trojan Clicker Agent.NBW

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Trojan Clicker Agent.NBW

Postdi simonoir » 17/07/07 16:59

Ho questo Trojan trovato nella memoria operativa. Qualcuno mi sa dire come posso eliminarlo? Non ho trovato un trojan simile nei post precedenti... se qualcuno puiò aiutarmi :D
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Sponsor
 

Postdi edo_aol » 17/07/07 20:53

Ciao, vai qui:
http://www.suspectfile.com/forum/viewtopic.php?t=466
scarica systemscan, decomprimilo sul desktop, con le applicazioni chiuse e antivirus disattivatro, apri il programma, spunti tutte le opzioni, premi scan now.
Al termine della scansione ti sarà rilasciato un report (report.txt) nella cartella C:\suspectfile.
Allega tale file in un prossimo post, se le dimensioni fossero troppo imponenti per essere allegato, vai qui:
http://www.easy-share.com/
inseriscilo il file e poi indica in un post il link che ti sarà fornito (il primo) per scaricarlo
Avatar utente
edo_aol
Utente Senior
 
Post: 415
Iscritto il: 13/04/07 14:26

Postdi simonoir » 18/07/07 17:00

http://w13.easy-share.com/2000271.html

Ecco il link: ho seguito le tue istruzioni; in più, come avevo scritto in un altro post di cui non ho però risposta, il pc spesso si riavvia e dice che "l'arresto è stato iniziato da NT AUTHORITY/SYSTEM" poi c'è c/windows/system32/service.exe codice di stato 1073741819
Comunque sull'altro post ho linkato il logfile di Hijackthis: può esserti utile?

E ancora, il NOD all'avvio mi da un virus in quarantena legato a Firefox (e prima ancora da Explorer)

Un casino, insomma...

Grazie per l'aiuto, comunque! :oops:
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Postdi Luke57 » 18/07/07 17:08

Ciao, il report è illeggibile, carica nel sito la cartella zip che trovi in C.\suspectfile.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi simonoir » 18/07/07 17:18

link del file zip caricato su easyshare:

http://w13.easy-share.com/2000841.html

va bene così?
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Postdi simonoir » 18/07/07 17:41

Ho trovato anche il link del forum dove ho postato il logfile di Hijackthis (se può essere utile):

http://www.pc-facile.com/forum/viewtopi ... ht=#371362
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Postdi Luke57 » 18/07/07 17:57

Scarica The Avenger
http://swandog46.geekstogo.com/avenger.zip
Avvia il programma,clicca su Input Script Manually
clicca sulla icona con la lente di ingrandimento
si aprirà una nuova finestra con scritto View/edit script

In quella finestra bianca copia e incolla (ctrl+v) le scritte in neretto:


Folders to delete:
C:\DOCUME~1\F&A\IMPOST~1\Temp
C:\Windows\temp

Files to delete:
C:\WINDOWS\svchost.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\xpdx.sys
C:\WINDOWS\system32\~.exe


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | 5T19I3B27A


Clicca sul pulsante Done
Adesso clicca sul semaforo con la luce verde
Rispondi Yes 2 volte
Il pc si dovrebbe riavviare,se non si riavvia,riavvialo manualmente

Al riavvio collegati e posta il contenuto del file C:\Avenger.txt
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi simonoir » 18/07/07 18:23

Fatto. Per cronaca, al riavvio si è aperta una finestra dos che dice c/windows/system32/cmd.exe : c/avenger/1.reg - 1 file copiati.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qsalghah

*******************

Script file located at: \??\C:\nsgrorqf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\DOCUME~1\F&A\IMPOST~1\Temp deleted successfully.
Folder C:\Windows\temp deleted successfully.
File C:\WINDOWS\svchost.dll deleted successfully.
File C:\WINDOWS\svchost.exe deleted successfully.


File C:\WINDOWS\system32\xpdx.sys not found!
Deletion of file C:\WINDOWS\system32\xpdx.sys failed!

Could not process line:
C:\WINDOWS\system32\xpdx.sys
Status: 0xc0000034

File C:\WINDOWS\system32\~.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|5T19I3B27A deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

HELP MEEEEE!!!!!!!!!!!!!!!!!

Postdi alexgermy » 21/07/07 20:11

Ho lo stesso problema !
Dopo ke mi spunta l'avviso !
si spegne il pc...!
vorrei sapere cosa devo fare !
spiegatemi passo x passo tutto cio ke devo fare!
help me!
grazie e ciao!
alexgermy
Newbie
 
Post: 7
Iscritto il: 21/07/07 20:06

Postdi simonoir » 21/07/07 20:13

Eh, purtroppo ho seguito le istruzioni ma il pc continua a riavviarsi.
Che facciamo, adesso?
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Dimenticavo!

Postdi alexgermy » 21/07/07 20:14

Non posso scaricare SYSTEMSCAN da suspectfile!
alexgermy
Newbie
 
Post: 7
Iscritto il: 21/07/07 20:06

Postdi Luke57 » 21/07/07 22:49

simonoir ha scritto:Eh, purtroppo ho seguito le istruzioni ma il pc continua a riavviarsi.
Che facciamo, adesso?

esegui un'altra scansione con system scan e colloca il report nel sito di hosting.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Dimenticavo!

Postdi Luke57 » 21/07/07 22:49

alexgermy ha scritto:Non posso scaricare SYSTEMSCAN da suspectfile!

Ciao, prelevalo da qui:
http://www.sendmefile.com/00550922
eseguilo come spiegato nei post precedenti.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

nuovo report

Postdi simonoir » 23/07/07 19:02

http://w13.easy-share.com/2211651.html
Il file del nuovo report.
La finestra di cui ti accennavo sopra continua ad aprirsi ad ogni riavvio.
Fammi sapere se il file è leggibile.
Grazie!
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Postdi Luke57 » 24/07/07 09:06

Ciao, non è leggibile, inserisci la cartella zip.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi simonoir » 24/07/07 15:13

http://w13.easy-share.com/2251311.html

Pardon, ecco la cartella zip.
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Postdi Luke57 » 24/07/07 21:44

Ciao, riutilizza Avenger con questo script:


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | qpfvndby
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | isamonitor.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | none
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | isamini.exe

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SAcc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SideFind
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object

Folders to delete:
C:\windows\temp
C:\Documents and Settings\F&A\Impostazioni locali\Temp
C:\Programmi\Video ActiveX Object
C:\Programmi\Sidefind


Files to delete:
C:\dwjdvpoo.bat



Posta poi il report.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi simonoir » 24/07/07 22:02

Fatto. Continua ad aprirsi la cartella del prompt, ma stavolta sono comparsi tutte scritte tipo avenger1 avenger2, ecc...


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mvcraraf

*******************

Script file located at: \??\C:\WINDOWS\klolyxaa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\windows\temp deleted successfully.
Folder C:\Documents and Settings\F&A\Impostazioni locali\Temp deleted successfully.


Folder C:\Programmi\Video ActiveX Object not found!
Deletion of folder C:\Programmi\Video ActiveX Object failed!

Could not process line:
C:\Programmi\Video ActiveX Object
Status: 0xc0000034

Folder C:\Programmi\Sidefind deleted successfully.
File C:\dwjdvpoo.bat deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|qpfvndby deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|isamonitor.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|none deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|isamini.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SAcc deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SideFind deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Postdi Luke57 » 25/07/07 12:00

Ciao, da start>esegui>msconfig (lo digiti nello spazio)>OK
nella finestra che si apre premi il tab. Avvio, poi deselezioni qualsiasi riferimento ad Avenger>applica>OK.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi simonoir » 26/07/07 16:40

Ho controllato ma nell'avvio non ho trovato file relativi ad Avenger.
Ho notato che se il pc non è connesso, non avviene l'errore in service.exe che lo fa riavviare. Con la conessione il tempo prima del riavvio si aggira intorno ai 10 minuti.
Che faccio, passo alla canna del gas? :cry:
simonoir
Utente Junior
 
Post: 72
Iscritto il: 20/11/06 20:46
Località: napoli

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Trojan Clicker Agent.NBW":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27

Chi c’è in linea

Visitano il forum: Nessuno e 79 ospiti