PDA

Visualizza versione completa : trojan svchost.exe


vernemaster
09-07-2007, 16.38.03
Salve, da qualche giorno ho nel mio pc un "Backdoor AYU Trojan" chiamato svchost.exe (e relativa svchost.dll), individuatomi da vari antivirus/antitrojan. NON è il svchost "legale" di winXP, solitamente installato in c:\windows\system32, ma uno che si trova nella cartella c:\windows. Mi rallenta notevolmente il sistema, inoltre ogni tanto mi si visualizza il messaggio in figura allegata e dopo 60 sec. mi spegne (e fa poi ripartire) il sistema.

Qualcuno può suggerirmi come eliminare da C:\windows i due file suddetti ed eventualmente quali registri andare a ripulire? In modalità normale di windows non si riesce a cancellare i due file svchost incriminati.

Grazie in anticipo per l'aiuto!!!

Semi.genius
09-07-2007, 21.34.41
1. Posta un log di Hijacthis
2. Usa Unlocker per eliminare i file "bloccati"

vernemaster
09-07-2007, 22.49.08
Ho usato KillBox per eliminare i due file svchost.exe e svchost.dll da c:\windows, speriamo basti...

In allegato il log di Hijackthis, qualche dritta è sempre benvenuta!!

Grazie, ciao.
GM

crazy.cat
10-07-2007, 08.32.47
Niente di pericolo, ma sei vuoi fare un po di pulizia puoi selezionare queste righe e premere Fix checked per eliminarle.
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: (no name) - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -

leofelix
10-07-2007, 09.48.47
Per eliminare le DLL (Librerie Dinamiche) infette dalla memoria e dal registro avrei suggerito questa utility gratuita offerta dalla ESET e che si può liberamente scaricare da qui
http://www.nod32.it/tools/undll.php

da cui traggo
" UnDLL - The DLL Remover permette di eliminare in modo generico le DLL infette, usate come componenti da molti tipi di malware (come ad esempio Agent.CS o Virtumonde).

Il programma neutralizza le DLL in memoria, le cancella e pulisce alcune chiavi di Registro. È richiesto il sistema opertivo Windows 2000 o superiori (ad es. Windows XP)."

vernemaster
10-07-2007, 21.26.10
Il task "dumprep" - vedi riga: O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k - ho già provato in passato a disabilitarlo da Msconfig > Avvio, mi disabilitava però anche alcuni task da cui dipendeva il corretto funzionamento del firewall WinXP, ho dovuto lasciarlo nell'avvio automatico. E' possibile? Cosa rappresenta esattamente "dumprep 0 -k" ?
Grazie per tutto il resto.

Alexsandra
10-07-2007, 21.32.54
Ti compare quando un' applicazione va in crash e viene eseguito quel programma per scaricare il dump della memoria. se guarsi nella cartella Windows\PCHealth troverai il dump stesso. Puoi cancellarlo tranquillamente.
Il problema che ti ha causato non è dovuto alla rimozione di quella riga

vernemaster
05-08-2007, 07.02.07
OK, grazie, risolti i vari problemini di svchost e dumprep, però il messaggio di "Arresto del Sistema" di cui all'immagine allegata continua a comparirmi, allo scadere del timeout (1 min.) il sistema in effetti si arresta, il PC si spegne e poi riparte......fastidiosissimo!!!!! Non capisco se è una protezione di Windows XP, un virus/malware/spyware/ecc. (lo escluderei, ho controllato a fondo con vari programmi) o che altro !?!?!!? Grazie ancora per l'aiuto.

vernemaster
05-08-2007, 07.04.02
..........

vernemaster
05-08-2007, 07.05.09
.....

vernemaster
05-08-2007, 07.46.05
Sembra che il problema si presenti solo quando sono connesso ad internet.......no in locale.....!?!?

Giorgius
19-08-2007, 21.04.20
Fresco fresco di Beta release :)

Prova questo nuovo tool AntiMalware per verificare l'eventuale presenza di "rospi" estranei nel tuo Pc:

Malwarebytes Anti-Malware 0.67 Beta
Download: http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Please send all bugs and comments to marcin@malwarebytes.org

N.B.: Se hai un prodotto Symantec attivo devi disattivarlo compresa l'eventuale connessione ad Internet o Lan, prima di procedere alla scansione del sistema. ;)

leofelix
19-08-2007, 23.58.04
ottima idea,
visto che è una beta in continuo sviluppo, forse faresti bene a iscriverti per ricevere gli aggiornamenti
da qui
http://www.malwarebytes.org/beta/

bye