PDA

View Full Version : Trojan-Downloader.wma.getcodec.c

adigar
21-02-2009, 09:58
Nonh so se questo è il posto giusto per postare la mia faccenda. Kaspersky ha trovato questo Trojan. Trojan-Downloader.wma.getcodec.c. Riavviando il pc il trojan veniva eliminato. Ma la causa era Emule. e tutte le volte ke avviavo il mulo, il Trojan tornava all'attacco. Ho notato che si trovava nella cartella Temp di emule. ed aveva sempre lo stesso nome. 057.part. io lo provato a cancellare. Ma con il mulo attaccato, non riuscivo. Ed scollegato si. Per non farlo più tornare "mia speranza". ho cancellato sia 057.part, sia 057.part.met ed 057.part.met.bak. Poi ho rinominato il 056.part ecc. in 057.part. ecc. Oggi ho fatto una scanzione con Kas e tutto ok non lo vede più. Ora volevo chiedere ad uno più esperto di me se la procedura può andare bene. Ma sicuramente il mulo prima o poi scarichera il 056 rinominato, ed la mia paura che si ripresenti il Trojan. Si può creare un file con nome 057. che emule non scaichi?
Rigrazio chi mi possi dare una mano. E chi mi legge. A sono un principiante. Grazie.
breaker27
21-02-2009, 18:36
Scarica http://download.hijackthis.eu/HJTInstall.exe e posta il log. Ciao :)
adigar
21-02-2009, 19:14
Scusa l'inioranza scarico il programma. E poi coppio il risultato ed lo coppio su il topic che ho aperto?
adigar
21-02-2009, 19:19
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.17.07, on 21/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\nvraidservice.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Alice ti aiuta\McciTrayApp.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe
C:\Program Files\NCH Swift Sound\Recordpad\recordpad.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\VEXPLITE\MONLITE.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe
C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9g.exe
C:\Program Files\Acer GameZone\Backspin Billiards\Backspin.exe
C:\Program Files\Acer GameZone\Backspin Billiards\Backspin.exe
C:\Windows\System32\mobsync.exe

I log vanno allegati nel rispetto delle Regole di sezione, grazie.
breaker27
21-02-2009, 20:24
Allora...fai così:

Per lo scan classico
Lancialo (HijackThis) e clicca su "Do a system scan and save a log file"

Il log da caricare, che si apre alla fine dello scan, lo trovi nella cartella dove hai installato o estratto HijackThis

Trovato il log, ti dirigi su questo sito http://wikisend.com/ e lo carichi. Completata la procedura di upload mi dai il link del file caricato...Ciao :cool:
adigar
21-02-2009, 21:11
Ho fatto come mi hai detto. Ho scaricato dopo un pò un file. di un report. Simile a quello prima. Almeno io penso che sia simile. Ora cosa faccio?
breaker27
21-02-2009, 21:14
Ora vai su http://wikisend.com/ ----> clicchi sul tasto sfoglia e selezioni l'ultimo log o report che il programma ha creato ----> clicca su upload file ----> completato il caricamento del file mi dai il link che mi rimanda a quest'ultimo.
adigar
21-02-2009, 21:28
Log rimosso, leggere le Regole di Sezione in firma, grazie.
Chill-Out
21-02-2009, 21:34
Per quanto concerne il tuo problema se il Kav non rileva nulla, non ci dovrebbere essere problemi, per quanto concerne il discorso Emule elimina tutti i dowload in corso od eventulamente quello che ritieni responsabile dell'infezione, anche perchè il Kav ha provveduto a falciare il .part infetto.
breaker27
21-02-2009, 21:37
Adesso segui questo procedimento:

Per fixare le voci
Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti verranno segnalate
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati per verifica

C:\Program Files\Acer GameZone\Backspin Billiards\Backspin.exe

C:\Program Files\Acer GameZone\Backspin Billiards\Backspin.exe

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\partner.dll

O4 - HKLM\..\Run: [RestartNeroSetup] "C:\Users\Andrea\AppData\Local\Temp\NERO13824\setupx.exe"

O4 - Global Startup: ASETRES.EXE

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/...oUploader5.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe...bat/nos/gp.cab

O23 - Service: Partner Service - Google Inc. - c:\programdata\partner\partner.exe
adigar
21-02-2009, 21:39
Ti ringrazzio tantissimo. Sopratutto per la tua pazienza.
Ciao.:D :)
breaker27
21-02-2009, 21:45
Fixato le voci inutili con hijackthis? Ciao ;)
adigar
21-02-2009, 21:50
Scusa la mia eterna ignoranza non so quali sono le voci inutili. Ed paura tacare. Xké qualchè prgramma non mi vada più.:rolleyes:
breaker27
21-02-2009, 21:54
Segui quanto è scritto in questo messaggio: http://www.hwupgrade.it/forum/showpost.php?p=26397257&postcount=10

Le voci inutili sono quelle dentro al riquadro mezzo blu!
adigar
21-02-2009, 22:02
Grazie ho visto. Ma le voci inutili vanno x forza cancellate. Sai il pc è nuovo. Cmq Grazie.
breaker27
21-02-2009, 22:04
Si, tanto non succede niente. Vai tranquillo ;)
xcdegasp
22-02-2009, 17:59
Grazie ho visto. Ma le voci inutili vanno x forza cancellate. Sai il pc è nuovo. Cmq Grazie.

era nuovo prima che fosse acceso e usato, quello che è successo dopo non ha nulla a che vedere con la quantità di tempo nella quale è stato usato :)
per infettare un pc bastano 10 secondi (il tempo di eseguire un doppio click), sopratutto se è nuovo inquanto non aggiornato con tutte le patch ;)