PDA

Visualizza versione completa : trojan horse aiuto!!!!!


Danko
19-04-2008, 10.12.50
mi sono beccato questo virus Trojan horse downloader.delf.12.AE la prime due volte lo eliminato con avg adesso mi si ripresenta adesso sto rifacendo la scansione vediamo cosa esce...qualcuno sa come eliminarlo definitivamente?
il log di hijackthis mi sembra appostose volete lo posto
nota crea dei file .exe con nomi casuali in C:\Documents and Settings\Antonello ke avg rileva come trojan
per favore qualcuno potrebbe aiutarmi a eliminarlo definitivamente?

Diablos
19-04-2008, 11.02.57
fai anche una scansione con un altro antivirus in versione online come http://www.eset.com/onlinescan/ per esempio e vedi se lo elimina lui

Danko
19-04-2008, 11.25.52
provo a fare la scansione cmq il problema ke avg lo elimina ma poi ricompare

leofelix
19-04-2008, 18.18.07
ciao danko,
s posta il log di hijackthis cortesemente.
AVG non riesce a rimuovere il malware molto probabilmente perch si infilato anche nel "System restore"

http://www.microsoft.com/windowsxp/using/helpandsupport/getstarted/ballew_03may19.mspx

(o anche "Punto di ripristino")

in ogni caso quegli exe casuali che hai nel sistema mi ricordano un malware piuttosto diffuso.

Prova anche una scansione on line (via Internet Explorer) da qui

http://support.f-secure.com/enu/home/ols.shtml

Danko
19-04-2008, 19.38.15
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.28.33, on 19/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\IObit\Advanced WindowsCare V2\MemCleaner.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\uTorrent\uTorrent.exe
C:\Programmi\Nero\Nero 7\Core\nero.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\Sonique\Sonique.exe
C:\Programmi\Sonique\sqstart.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [SmartRAM] C:\Programmi\IObit\Advanced WindowsCare V2\MemCleaner.exe /m
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201246430439
O17 - HKLM\System\CCS\Services\Tcpip\..\{70536C44-AE49-4019-A647-8F627A20328B}: NameServer = 85.37.17.51 85.38.28.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{70536C44-AE49-4019-A647-8F627A20328B}: NameServer = 85.37.17.51 85.38.28.97
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

--
End of file - 6994 bytes


Questo il log il problema e ke i virus ricompagliono in C:\Documents and Settings\Antonello\Impostazioni locali\Temp coi nomi di jar_cache 63088
jar_cache 63089 jar_cache 63090 e jar_cache 63091 per poi creare file .exe in C:\Documents and Settings\Antonello dai nomi casuali

leofelix
19-04-2008, 20.14.13
a prima vista il log sembra pulito,
prova a scaricare questo tool gratuito
http://www.protectorplus.com/download/cleandelf.exe

e a eseguirlo.

Inoltre non hai la Sun Java pi recente installata.
Vai su pannello di controllo apri il pannello di Sun Java e svuotalo dai files temporanei.
Quindi aggiorna la Sun Java e disinstalla la 6 update 3.

Mi diresti i nomi degli eseguibili che AVG ha messo nel Vault?

leofelix
19-04-2008, 21.24.43
prova anche questo removal tool specifico della ESET NOD32

http://nod32.it/tools/cleaners/TBFCLEAN.ZIP

(pagina di riferimento: http://www.nod32.it/download/free-virus-remover.php )

quindi considera che puoi avere gratis per 6 mesi quello che considerato il miglior antivirus (con antispyware, antirookit e protezione web e antibot inclusa) del momento, L'AVIRA AntiVir PREMIUM 8.1:

https://license.avira.com/en/promotion-t0q1aatr05zwftftgnqr

;)

Inoltre fossi in te scaricherei il MalwareBytes' Antimalware 1.11 (freeware ma senza protezione in tempo reale e in italiano) da qui:

http://www.besttechie.net/tools/mbam-setup.exe

e gli farei fare una bella scansione del sistema, considera che ha anche una funzione chiamata FILEAssassin e che serve a fare fuori files infetti che non si riescono a eliminare con altri sistemi (da usare con cautela)

pagina di riferimento

http://www.malwarebytes.org/mbam.php

Danko
19-04-2008, 21.51.38
adesso sto facendo la scansione con totalprotector....i nomi ke crea il trojan per i file exe sn del tutto casuali tipo nbmxaybb.exe seconde te il problema da imputare a java?l'antivir premium meglio del nod?ho provato sia antivir la versione freeware ke nod il primo lo disinstallato xk nn riuscivo a configurarlo bene con outpost nod nn mi faceve gli aggiornamenti

leofelix
19-04-2008, 22.18.48
adesso sto facendo la scansione con totalprotector....i nomi ke crea il trojan per i file exe sn del tutto casuali tipo nbmxaybb.exe seconde te il problema da imputare a java?l'antivir premium meglio del nod?ho provato sia antivir la versione freeware ke nod il primo lo disinstallato xk nn riuscivo a configurarlo bene con outpost nod nn mi faceve gli aggiornamenti

dunque, fai la scansione con "totalprotector"???!!?
Forse intendi il tool gratuito offerto da protectorplus che ti ho indicato, visto che non mi risulta che totalprotector.com permetta delle scansioni on line;)

Per la Java: la versione che utilizzi vulnerabile, non escludo che sia una delle cause dell'infezione. Meglio aggiornare, svuotare la cache e disinstallare la precedente versione.


Sia AVIRA AntiVir PREMIUM sia NOD32 sono degli ottimi antivirus e anche molto leggeri.
OutPost Firewall + NOD32 dovrebbero funzionare bene in accoppiata visto che la ESET raccomanda proprio Outpost.


In quanto ad AntiVir free qualche volta non si aggiorna facilmente ma questo perch la priorit data alla versione PREMIUM.
Forse avevi settato OutPost perch bloccasse AntiVir Personal Edition Classic, ma la nuova versione dell'antivirus tedesco sia gratuita sia a pagamento nettamente migliorata in tutti i sensi;)

Danko
20-04-2008, 13.34.55
Grazie leofelix per i preziosi consigli sembra ke il virus sia debellato completamente ho disinstallato java e messo la versione + recente per adesso va tutto bene ;)

leofelix
20-04-2008, 13.42.33
Grazie leofelix per i preziosi consigli sembra ke il virus sia debellato completamente ho disinstallato java e messo la versione + recente per adesso va tutto bene ;)

Di niente Danko:)
Buona domenica