PDA

View Full Version : PROBLEMA VIRUS 'Trojan horse generic2.OJ'

rubas00
13-06-2007, 10:51
Salve a tutti,
credo di essere stato infettato da un virus assai balordo!! uso AVG 7.5 free edition, e giorni fà mi ha trovato il seguente Trojan:

Trojan horse generic2.OJ

in:

-->C:\Documents and Settings\...\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe
-->C:\Recycled\ctfmon.exe

ogni tanto compare l'errore di windows di applicazione non valida, da terminare di questo "generic2 host.." e se ho hd esterni o secondari quando faccio il doppio clic per aprirli, micompare la finestra 'apri con' e per poterli aprire devo sempre fare tasto destro - apri.

in più(credo che sia dovuto proprio al virus) alle volte ho problemi con i driver audio e non riesco ad usare l'audio sui siti, e talvolta, dal nulla, si trasforma la barra di avvio ed i caratteri in quelli di Windows 2000(io ho XP) per qualche secondo, anche se poi torna tutto normale(in modalità XP).

Ho provato a cercare qualche soluzione su internet con il mio antivirus ma niente... che fare, qualche consiglio, programma da usare, qualsiasi cosa... sono disperato aiutatemi amici...
Grazie
Il programmatore
13-06-2007, 11:02
Beh, avg non è proprio il massimo riguardo ad antivirus...
Cmq posta un log di hijackthis e fai una scansione con asquared (programma utilissimo e gratis, dascaricare qua:
http://www.emsisoft.com/en/software/download/)
oasis90
13-06-2007, 11:18
Salve a tutti,
credo di essere stato infettato da un virus assai balordo!! uso AVG 7.5 free edition, e giorni fà mi ha trovato il seguente Trojan:

Trojan horse generic2.OJ

in:

-->C:\Documents and Settings\...\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe
-->C:\Recycled\ctfmon.exe

ogni tanto compare l'errore di windows di applicazione non valida, da terminare di questo "generic2 host.." e se ho hd esterni o secondari quando faccio il doppio clic per aprirli, micompare la finestra 'apri con' e per poterli aprire devo sempre fare tasto destro - apri.

in più(credo che sia dovuto proprio al virus) alle volte ho problemi con i driver audio e non riesco ad usare l'audio sui siti, e talvolta, dal nulla, si trasforma la barra di avvio ed i caratteri in quelli di Windows 2000(io ho XP) per qualche secondo, anche se poi torna tutto normale(in modalità XP).

Ho provato a cercare qualche soluzione su internet con il mio antivirus ma niente... che fare, qualche consiglio, programma da usare, qualsiasi cosa... sono disperato aiutatemi amici...
Grazie

mi permetto di consigliarti, come antivirus free, o Antivr o Active Virus Shiled..;)
rubas00
13-06-2007, 11:36
Riporto qui sotto il logfile; nel frattempo sto scansionando con a-squared ma per il momento nulla di importante... qualche soluzione fuori dal cappello??? Grazie

Logfile of HijackThis v1.99.1
Scan saved at 12.33.01, on 13/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\a-squared Free\a2service.exe
c:\programmi\a-squared free\a2free.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\AAALAZ~1\IMPOST~1\Temp\Rar$EX03.625\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
oasis90
13-06-2007, 11:39
sinceramente, per le conoscenze che ho, nel tuo log non vedo nulla di infetto..
rubas00
13-06-2007, 11:48
ma anche a-squared continua a non trovarmi nulla di importante... ma possibile che il virus sia stato cancellato dall'antivirus ma che abbia lasciato i danni fatti(anche se improbabile visto che saltuariamente continua a darmi la chiusura dell'applicazione di windows)

.. e volevo anche sapere, aspettando la fine della scansione, se è possibile fare un fanta-trucco:
C'è qualche modo per ricreare il ctfmon.exe e rimetterlo nelle cartelle originarie, visto che questo a quanto ho letto è comunque un file vero di xp, almeno così potrei risolvere il problema con gli hd...

ditemi un pò se sapete...
Bugs Bunny
13-06-2007, 12:00
vai in ogni hard disk,chiavetta usb o altro aprendolo col tasto destro>esplora
poi abilita la visualizzazione dei files nascosti e di sistema e cancelli i file autorun.inf
rubas00
13-06-2007, 13:39
Scusa Bugs , ma così facendo non li pianto definitivamente... ci avevo già pensato ma gli autorun( in particolare uno quello che chiama in causa ctfmon.exe) non servono per avviare l'Hd

ctfmon non può essere ricreato manualmente o col cd di ripristino vero??

Sicuro che devo fare così?? Io lo faccio eh...

P.S.: a-squared non ha trovato niente di rilevante... per di più mi è appena stato detto che dopo un pò che cè l'hai sto coso non da solo più problemi di gestione dell'hd ma si inizia a pappare anche file a random dentro l'hd stesso....

OKKEI .. è il momento del panico... si ... ho il panico...

Aiuto Aiuto Aiuto Aiuto .....
Bugs Bunny
13-06-2007, 16:16
Innanzitutto calmati,non è il caso per un virus.

1) cancella gli autorun
2) l'unico ctfmon che deve esserci nel tuo sistema è situato in C:\windows\system32 e non vedo perchè dovresti ricrearlo visto che nel log è attivo.
rubas00
14-06-2007, 09:23
Grandissimo,
cancellato l'autorun e ora gli hd esterni non danno più problemi, nei prossimi giorni proverò con gli hd interni di un altro pc ma credo che non ci saranno problemi..

Ora non dovrei più avere problemi no? il virus è stato eliminato e il suo autorun pure...

Se dovessero ricrearsi i problemi con Audio / interfaccia windows 200 / chiusura applicazioni di Windows ve lo farò sapere in questa discussione, quindi se vi capita ogni tanto date un occhiata...

Per il resto grazie mille, in particolare a Bugs... Grande