PDA

Visualizza versione completa : Trojan che non se ne va : Kiss !!


supertraz
22-01-2007, 14.50.54
Ciao,
e' da ieri che ho preso un trojan/dialer che si ripresenta all'avvio di windows e me lo rallenta o blocca. E' un dialer perche' mi apre una finestrella nella quale dovrei inserire un numero e collegarmi a chissa' quale sito a pagamento.
Ho provato con spyware doctor e sembrava averlo tolto, ho fatto la scansione in modalita' provvisoria anche con adaware e sembrava averlo tolto.
Ho fatto lo scan con hijackthis ma non c'e' nulla di pericoloso.
Ho provato 2 antivirus : sophos e antivir ma il dialer resta.
Allego immagine di cosa mi esce :
http://www.auctiva.com/hostedimages/showimage.aspx?gid=19434&image=32742026&images=32742026&formats=0&format=0&lgdin=1

Se qualcuno puoi mi aiuti :-)
Grazie

Semi.genius
22-01-2007, 17.10.35
Non puoi postarlo qui il log con Hijackthis?

payne
22-01-2007, 17.58.33
http://www.wintricks.it/news2/article.php?ID=14320 prova con questo,cmq ora ke antivirus usi

crazy.cat
22-01-2007, 18.00.31
Cancella quel icona, sopratutto se Ŕ un file exe, con i labbroni che si vede nella foto...

Lionsquid
22-01-2007, 20.27.24
per precauzione cancellerei tutti i file temporanei (sia disco che internet)

poi una scansione in mod. provv con rete, ti connetti e fai una scansione anline con l'AV preferito... oppure scegli tra questi > http://news.wintricks.it/article.php?ID=1

PC2007
23-01-2007, 12.52.18
per precauzione cancellerei tutti i file temporanei (sia disco che internet)

poi una scansione in mod. provv con rete, ti connetti e fai una scansione anline con l'AV preferito... oppure scegli tra questi > http://news.wintricks.it/article.php?ID=1


E un ripristino di sistema ad uno stadio precedente?

wind13052003
23-01-2007, 14.03.29
E un ripristino di sistema ad uno stadio precedente?
Ho usato questo sistema 2 volte tutto ok. Vai su START/ACCESSORI/UTILITA DI SISTEMA/RIPRISTINO CONFIGURAZIONE DI SISTEMA :)

PC2007
23-01-2007, 14.13.49
Ho usato questo sistema 2 volte tutto ok. Vai su START/ACCESSORI/UTILITA DI SISTEMA/RIPRISTINO CONFIGURAZIONE DI SISTEMA :)

Perfetto,l'importante e ricordare il punto di ripristino, in maniera tale che se si dovesse presentare qualche altro problema,si possa intervenire senza ripristinare anche eventuali virus,altro..

Naturalmente Supertraz..esegui prima i consigli di Lionsquid,magari riesci a risolvere..e a conservarti questa cartuccia in casi pi¨ gravi..Vedi tu..

supertraz
23-01-2007, 14.29.07
Ciao e grazie dell'aiuto !
Sophos mi ha trovato 5 minacce e le ho eliminate, cancellati i files temporanei, pulito tutto , registro e file non necessari.
Riavvio stamattina e quell'icona a bocca ricompare ancora ! Il pc va ma non credo che un dialer sia ottimo come compagno!
Se qualcuno ha idee senno' ripristino!
Grazie

crazy.cat
23-01-2007, 14.31.41
Non puoi postarlo qui il log con Hijackthis?
Ripeto la richiesta che aveva giÓ fatto...

altrimenti vai su http://www.kaspersky.com/virusscanner fai lo scan online e vedi cosa scopre e poi posta il log se trova dei virus

supertraz
06-02-2007, 21.12.15
Risolto con il ripristino !
Grazie

xxxmor81
25-02-2007, 23.45.08
Ciao ragazzi, anchio h u problema simie:
Ho di programmi(collegamenti a siti strani) che continuo a cancellare ma si "autoinstallano".
Vi posto il file di Hijackthis..sapreste dimi cosa fare??
Grazie mille

Logfile of HijackThis v1.99.1
Scan saved at 23.40.05, on 25/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\apps\ABoard\AOSD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Office Mouse\moffice.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Office Mouse\MOUSE32A.EXE
C:\Programmi\Digital Image\Monitor.exe
C:\Programmi\StopDialers\StopDialer.exe
C:\WINDOWS\system32\prodsrvs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\unieuro\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=IT&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricercaclick.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcDmYReEEaH4 pW0rCHQYSGDaeQBT+E6PRc1b6ID3XDn0qAkHsTjjbA6jGFnBf6 Qbtxn4jjzA87mT/4VhTu7QHk4SS8CAsEMBTSKioWmzD0lm3fGi+iS2m5LieAAmc7D bBBgpxNc63jw8ONqqxANPBMvBSJhfOujwNcw
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 205.214.67.211 AUTO.SEARCH.MSN.COM
O1 - Hosts: 69.41.180.198 AUTO.SEARCH.MSN.COM
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - C:\WINDOWS\system32\pbitv2.dll (file missing)
O3 - Toolbar: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - C:\WINDOWS\system32\pbitv2.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\prodsrvs.exe /res
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1068_em_XP.cab
O16 - DPF: {5FD9726A-4977-449D-8352-25FDD8A510B5} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1067_em_XP.cab
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3BA0D0C-01A4-4E8F-99E1-98DB4A0A2A04}: NameServer = 62.211.69.150 212.48.4.15
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

crazy.cat
26-02-2007, 08.11.48
Cancella queste righe e sopratutto elimina il file prodsrvs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricercaclick.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcDmYReEEaH4 pW0rCHQYSGDaeQBT+E6PRc1b6ID3XDn0qAkHsTjjbA6jGFnBf6 Qbtxn4jjzA87mT/4VhTu7QHk4SS8CAsEMBTSKioWmzD0lm3fGi+iS2m5LieAAmc7D bBBgpxNc63jw8ONqqxANPBMvBSJhfOujwNcw
O1 - Hosts: 205.214.67.211 AUTO.SEARCH.MSN.COM
O1 - Hosts: 69.41.180.198 AUTO.SEARCH.MSN.COM
O2 - BHO: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - C:\WINDOWS\system32\pbitv2.dll (file missing)
O3 - Toolbar: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - C:\WINDOWS\system32\pbitv2.dll (file missing)
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\prodsrvs.exe /res

xxxmor81
26-02-2007, 11.53.50
Ok grazie mille..stasera provo...
Sono andato a vedere da dove parte il link che mi si apre ogni tanto(per entrare in siti a pagamento),sono dei file/exe che ci sono in una cartella in programmi...
Se li cancello loro si ricreano.
Hanno anche un file in istallazioni/applicazioni, ma se tento di far partire la disinstallazione mi scaricano un file che non Ŕ una disinst. ma bho..l'ho cancellato subito..

biologist1972
26-02-2007, 12.34.31
Ripeto la richiesta che aveva giÓ fatto...

altrimenti vai su http://www.kaspersky.com/virusscanner fai lo scan online e vedi cosa scopre e poi posta il log se trova dei virus

ottima soluzione (Y)

Lionsquid
26-02-2007, 19.49.16
...cut...

Hanno anche un file in istallazioni/applicazioni, ma se tento di far partire la disinstallazione mi scaricano un file che non Ŕ una disinst. ma bho..l'ho cancellato subito..

non farlo assolutamente, se sei connesso ad internet ti ricarica il virus

prima disabilita il virus, cancelli tutto e poi rimuovi dal registro la voce dal men¨ aggiungi/rimuovi