View Full Version : Win32: tiny-GZ
Salve a tutti
Un paio di giorni fa sono stato infettato da un virus attraverso un allegato trasmesso via Windows Messenger da un contatto che avevo in lista... (purtroppo, trattandosi di un contatto fidatissimo, non ho pensato che il file potesse nascondere una trappola, anche perché era corredato da un messaggio proveniente apparentemente dal contatto stesso)
Il virus in questione manda a mia insaputa lo stesso file infetto ai contatti nella mia lista di MSN.
Dopo aver fatto una scansione completa con i vari Avast eSpyBot, pare che il virus in questione sia il troyan in oggetto.
Anche eliminando a mano i file incriminati, si ripresenta a intervalli più o meno regolari quando sono collegato online.
Come posso rimuoverlo? (per esigenze di lavoro sono "costretto" a stare collegato fisso e a usare MSN per interagire con i miei colleghi e questa cosa potrebbe crearmi non pochi problemi)
Grazie in anticipo
Alfredo8989
08-07-2007, 12:24
fai una scansione on-line con panda
lancetta
08-07-2007, 12:38
posta un log di Hijackthis e se ci dici anche il percorso dove avast rileva il trojan nel frattempo disabilita il ripristino di sistema ( se non sai come fare vedi QUI link (http://support.microsoft.com/kb/310405/it)) e fai fare una scansione di avast all'avvio (è una funzione dell'antivirus si trova nell'impostazioni tasto dx sull'icona nella sistem tray ) dovrebbe farti partire la scansione prima che il pc carichi il sitema operativo...fammi sapere
Ciao
Ho disabilitato il ripristino configurazione sistema e ora faccio fare la scansioen di Avast all'avvio...
I file infetti me li trova su C:\Documents and Settings\Desktop\Impostazioni Locali\Temporary Internet Files o semplicemente su C\Documents and Settings\Desktop. Il bello è che questi file, se li cerco, non li trova.
Aggiungo che poco dopo aver scritto me ne ha trovati un altro paio Winn32:Agent-ITI
Stavo pensando se un formattone potesse risolvere il problema alla radice, eliminando qualsiais traccia, ma temo che il problema sia quando mi collego online
una buona idea sarebbe sostituire Avast o con Antivir o con Active Virus Shield..;)
lancetta
08-07-2007, 13:09
Ho disabilitato il ripristino configurazione sistema e ora faccio fare la scansioen di Avast all'avvio...
I file infetti me li trova su C:\Documents and Settings\Desktop\Impostazioni Locali\Temporary Internet Files o semplicemente su C\Documents and Settings\Desktop. Il bello è che questi file, se li cerco, non li trova.
Aggiungo che poco dopo aver scritto me ne ha trovati un altro paio Winn32:Agent-ITI
Stavo pensando se un formattone potesse risolvere il problema alla radice, eliminando qualsiais traccia, ma temo che il problema sia quando mi collego online
bè il formattone è normale che risolverebbe questo poi dipende da te...comunque otre quello scarica ccleaner da QUI (http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/) non sò se lo conosci è un programma free per la pulizia dei file inutili sul pc sopratutto i temporanei perchè se il malware non ha messo radici così si risolve ah! e il log di hijackthis.........poi se vuoi formattare è inutile che fai procedure...decidi tu...............
SALUTI :cool:
CCleaner lo uso già... per sicurezza avevo anche eliminato tutti i cookie e i file temporanei, ma sembra non essere servito a nulla
Al limite potrei anche formattare, però non vorrei che il problema si ripresentasse non appena mi ricollego online con il mio profilo MSN o su Internet
lancetta
08-07-2007, 13:20
CCleaner lo uso già... per sicurezza avevo anche eliminato tutti i cookie e i file temporanei, ma sembra non essere servito a nulla
Al limite potrei anche formattare, però non vorrei che il problema si ripresentasse non appena mi ricollego online con il mio profilo MSN o su Internet
Considera che se il tuo contatto è ancora infetto potrebbe rimandarti il file tanto per dirne una.....ultimamente girano molti virus che usano msn per diffondersi,l'importante e non accettare nulla e chiedere sempre al contatto se ti ha inviato qualcosa di sua iniziativa senti ma c'è l'hai hijackthis? posta un log così per curiosità....
no, hijack this non ce l'ho... dove posso scaricarlo? (scusate se vi stresso, ma non avevo mai avuto a che fare con virus di questo tipo)
lancetta
08-07-2007, 13:31
scaricalo da QUI LINK (http://www.download.com/3001-8022_4-10379544.html) è stand alone (senza installazione) lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post
Ecco il log generato:
Logfile of HijackThis v1.99.1
Scan saved at 14.36.51, on 08/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programmi\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\Programmi\ASUS\AASP\1.00.01\aaCenter.exe
C:\Programmi\ASUS\Ai Suite\AiNap\AiNap.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Razer\Copperhead\razerhid.exe
C:\Programmi\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\SEC\Natural Color\NaturalColorLoad.exe
C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE
C:\Programmi\Creative\ShareDLL\CADI\NotiMan.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Razer\Copperhead\razerofa.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\TRADOS\T7_FL\TT\TW4Win.exe
C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Ulisse.DESKTOP\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://updates.installshield.com/GetUpdates.asp?p={F843C6A3-224D-4615-94F8-3C461BD9AEA0}&r=9.00&v=ISUA%203.1&u={E779CE1E-F9C7-4EEF-854D-757563A42C22}&l=1033&K=Z
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O3 - Toolbar: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programmi\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programmi\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Programmi\ASUS\AASP\1.00.01\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Programmi\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razer] C:\Programmi\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programmi\Creative\MediaSource\Go\CTCMSGo.exe" /SCB
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: system32 - {889EEA91-2364-4858-86D6-59BC4DEB4819} - sysprinters.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MS Common Service - Unknown owner - C:\WINDOWS\system32\mscomserv.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
wizard1993
08-07-2007, 18:33
disabilita il system restore e fixa
O21 - SSODL: system32 - {889EEA91-2364-4858-86D6-59BC4DEB4819} - sysprinters.dll (file missing)
O23 - Service: MS Common Service - Unknown owner - C:\WINDOWS\system32\mscomserv.exe (file missing)
poi riavvia e fai una scan con panda antirootkit e dopo gmer
Ho fatto uno scan con Avast al riavvio, prima di caricare il SO e mi ha trovato un solo file infetto (quello che mi era stato passato via messenger) che ho provveduto a rimuovere a mano.
Strano che questo file non mi veniva segnalato facendo lo scan da dentro il SO.
Per "disabilita il system restore" intendi disabilitare il ripristino configurazione automatica? (l'avevo già disabilitato)
lancetta
08-07-2007, 19:59
allora apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"-->applica poi da modalità provvisoria cerca e cancella se ci sono:
c:\windows\myalbum.zip
c:\windows\system32\sysprinter.dll i file che ho evidenziato in neretto
e tutta la cartella in
C:\Install poi Start->esegui->nel box scrivi "regedit" si apre il registro di sistema e navighi fino a questa chiave: HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 (se c'è) all'interno della cartella ci dovrebbe essere insieme ad altri file " sysprinters.dll" se così cancella tutta la cartella,solo fai attenzione nel registro di sistema...facci sapere
Saluti:cool:
Ho disabilitato il ripristino configurazione sistema e fixato le due voci che mi erano state consigliate, quindi ho scaricato panda antirootkit e ho fatto una scansione anche con quello, rimuovendo la voce sospetta che mi aveva trovato (relativa a msn.exe).
Ho provato a scaricare gmer, ma ogni volta che lo lancio, a un certo punto l'applicazione mi dà errore e mi costringe a chiuderla.
Comunque spero che tutto ciò che ho fatto e rimosso finora possa essere servito ad arginare il problema
Per ora grazie a tutti per i consigli
Il file myalbum.zip l'avevo già cancellato (è quello a cui facevo riferimento prima, che mi era stato trovato da Avast durante la scansione al riavvio)
il file sysprinter.dll contenuto nella cartella C:\windows\system32 va cancellato?
Nel registro, nella cartella che mi hai indicato non ci sono altri file "sysprinters.dll
lancetta
08-07-2007, 20:23
si cancellalo senza pietà...!!!come và il pc adesso?
Ok, ho cancellato anche sysprinters.dll.
Il registro non l'ho toccato, visto che non ho trovato i file che mi avevi segnalato (c'è solo la cartella 5603, ma all'interno non c'è traccia di file con nome sysprinters.dll).
Speriamo che ora sia tutto ok. Domani credo avrò la controprova e ti saprò dire.
lancetta
08-07-2007, 20:36
molto probabilmente qualcosa te l'aveva già cancellato i soft di sicurezza:) comunque se la situazione si dovesse essere normalizzata ti raccomando di riabilitare i file di sistema nascosti eccetera, basta che fai il percorso inverso che ti ho indicato qualche post fà,poi al limite ti leggi qualche post in sezione per la messa in sicurezza del pc..e se ti è possibile cerca di navigare con account user e non admin...fammi sapere:D
Saluti :cool:
Pare che il virus sia stato debellato... sono stato collegato tutto ieri e, a quanto pare, non è partito più alcun messaggio strano, né ne ho ricevuti
Grazie di nuovo a tutti per i preziosi suggerimenti
lancetta
10-07-2007, 15:28
lieto di esserti stato di aiuto:D :D
Saluti :cool:
Mi sono appena accorto di avere lo stesso identico problema..solo che da quello che ho letto ho paura di creare problemi irrimediabili...volevo chiedere a qualcuno di competente se poteva spiegarmi nel dettagliuo cosa devo fare...grazie
juninho85
11-09-2007, 21:34
Mi sono appena accorto di avere lo stesso identico problema..solo che da quello che ho letto ho paura di creare problemi irrimediabili...volevo chiedere a qualcuno di competente se poteva spiegarmi nel dettagliuo cosa devo fare...grazie
è stato indicato come procedere nei post precedenti al tuo,provaci ;)
il problema è che non capisco che file devo eliminare doo aver utilizzato hijackthis, non potresti aiutarmi se sai come risolverlo?
juninho85
11-09-2007, 21:41
il problema è che non capisco che file devo eliminare doo aver utilizzato hijackthis, non potresti aiutarmi se sai come risolverlo?
posta pure te un log di hijackthis
MSNFix 1.495
C:\Documents and Settings\Giovanni\Desktop\MSNFix
Fix effettuato il 11/09/2007 - 23.25.49,28 By Giovanni
modalità normale
************************ Cercare i files presenti
... C:\WINDOWS\winfp.exe
************************ Ricerca le cartelle presenti
Nessuna cartella trovata
************************ Eliminazione dei files
/!\ ... C:\WINDOWS\winfp.exe
************************ Pulizia del Registro
I files ancora presenti saranno eliminati al prossimo riavvio
... C:\WINDOWS\img09-11-07.zip
... C:\WINDOWS\img4851.zip
************************ Eliminazione dei files
.. OK ... C:\WINDOWS\winfp.exe
.. OK ... C:\WINDOWS\img09-11-07.zip
.. OK ... C:\WINDOWS\img4851.zip
************************ Files sospetti
/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento
[C:\WINDOWS\hahahha.zip] 4939B6C2A3445AD94C2A148C433C8AE1
[C:\WINDOWS\lastnight.zip] 7A64D7332BDE2280F58C9C058FDE65E8
[C:\WINDOWS\Sep11thSlideShow.zip] 24C4F42B33D29CB91E4014FCDC13E911
[C:\WINDOWS\September11thTribute.zip] 5C8264E86210114DDDCB6C48ACC6A6AE
[C:\WINDOWS\system32\MGB_ScreenSaver.scr] D8B384418013244A67BC4B29A5679752
[C:\WINDOWS\system32\vaiomov.scr] 0ABD246E655E920C7AF43C3D9755AD91
[C:\WINDOWS\system32\Vista.scr] B3CE2948DCBA4D7C88C24F89039BB387
I files e le chiavi di registro eliminati sono stati salvati nel file 11092007_23.32.4768.zip
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
lancetta
12-09-2007, 11:19
potevi postare anche nel thread ufficiale dei virus msn..vabbè ormai cerca e cancella :C:\WINDOWS\hahahha.zip il file in neretto e posta un log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricalo da QUI LINK (http://www.download.com/3001-8022_4-10379544.html) è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.