Salve, ho un problema con un trojan che non riesco a togliere...è evidente se scrivo qua :D
Vengo subito al sodo, ho installato NIS2008 sul mio pc, e come sistema operativo ho Vista Home premium 32 bit. Da settimane ormai NIS mi trova questo "simpatico" Infostealer.bancos ad ogni scansione , che altro non sarebbe che un trojan, anzi un keylogger (mi pare si chiamino così) conosciuto anche sotto il nome di Win32/Orcu.B. L'unica azione che NIS mi fa compiere riguardo al trojan è "controllo", per ulteriori dettagli mi rimanda ad una pagina (http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2003-071710-2826-99&tabid=3)
dove viene spiegata una procedura per togliere il programmino.
C'è un però...la stringa che il trojan dovrebbe aver creato, e che io dovrei cancellare, non esiste, o almeno io non la trovo.
Mi sono fatto analizzare il log di HijackThis nell'altro post (eccolo hijackthis.log (http://wikisend.com/download/825936/hijackthis.log)) e non mi è stato diagnosticato nulla di grave, se non una versione un pò vecchiotta di java.
Qualcuno può trovarmi una soluzione a questo simpatico baco, considerate anche il fatto che oltre ad un certo punto non vado con il pc, quindi spiegatemi per favore le cose come se avessi 6 anni :)


Grazie in anticipo :)

questa sarebbe la stringa che non trovi?
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"WinMenssage" = "%System%\winmaxy.exe"
il log di hjt sembra a posto, il pc ha problemi stringa a parte??
Altrimenti segui bene la GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Per diminuire i files da scansionare fai prima una bella pulizia con CCleaner come indicato [ qui ] (http://www.hwupgrade.it/forum/showthread.php?t=1589984)al punto 2.
Scarica da [ qui ] (http://www.snapfiles.com/download/dlatfcleaner.html) ATF Cleaner per una velocissima pulizia complementare.
Nella prima schermata -> Select All -> Empty Selected
Nel menù Firefox -> Select All -> NO -> Empty Selected

Se i log non superano i 20Kb allegali tramite il comando Gestisci allegati.
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione.

Si, la stringa che non esiste è proprio quella.
Il pc non sembra abbia problemi, ma ho letto da qualche parte sul web, non ricordo dove però, che questo simpatico programmino parte quando si visitano determinati siti di banche, per fortuna in questa lista ci sono solo banche spagnole o brasiliane. Ma io di queste cose ci capisco il giusto :muro:

Ho fatto qualche giorno fa una scansione online con panda, ovviamente non ha trovato il bancos.
Allego il nuovo log di hjt dopo la pulizia di Ccleaner ed anche ATF cleaner, utilizzando le impostazioni consigliate.
Una domanda: ma quel "controllo" che NIS compie, in cosa consisterebbe alla fine?

non mi sembra il log di hjt.... comunque dopo che hai fatto pulizia cambia ben poco, serve solo per aver meno file da scansionare qualora tu volessi seguire la guida.
nis? mai usato...

Eppure ho usato Hijackthis :confused:



:stordita:

Eppure ho usato Hijackthis :confused:



:stordita:

quello è il log riferito agli ads che dovevi poi fargli eliminare, tutti gli altri log?
se sono richiesti tutti quei log un motivo c'è non va' ne a noi e nemmeno a te di perderre tempo, quindi anzicchè ripetere 5-10 volte "tutti i log" pubblicali direttamente così risparmio enorme tempo :)

altrimenti se vuoi solo far analizzare il log di HiJackThis esiste già un thread specifico e questa diventerebbe un doppione quindi sarebbe da chiudere :)

Chiedo scusa, comunque dovrei aver risolto. Il trojan era in un file scaricato da emule che ancora era compresso con winrar, NIS trovava la sua presenza ma il programmino non era effettivamente installato, ecco perché la famosa stringa non c'era.
Quindi potete chiudere, se volete.
Grazie comunque :)