Problema con Trojans sfuggenti

[BittiDj]

Salve ragazzi; ho un problema con alcuni trojans che non riesco ad eliminare.

Vi spiego il problema: ho lanciato Ad-Aware-SE per uno scan del sistema, poi Spybot.

Durante la scansione di Ad-Aware, l'antivirus (NOD32) trovava dei trojans nella cartella dei temporanei di windows, ma non riusciva ad eliminarli.

Anche se cliccavo su "elimina" mi diceva che non poteva eliminare il file.

Ho cercato la cartella; era effettivamente dentro "Temp" e l'ho eliminata.

Ho notato pero' che quella cartella si forma solo quando l'antivirus trova il trojan, che la indica come directory dove ha trovato il file infetto.

Riavviando il pc la cartella non c'era piu' infatti, ma si e' riformata quando ho rifatto uno scan del sistema con AdAware Lavasoft.

Posto qui di seguito il log di HijackThis; potreste indicarmi i processi che non dovrebbero esserci?

Grazie

Logfile of HijackThis v1.99.1
Scan saved at 19.55.54, on 21/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Vypress Chat\VyChat.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Desmo Dromico\Desktop\HijackThis 21_04_06\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: Vypress Chat StartUp.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD 2002 Ita\AcDcToday.ocx
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} (NCSLayeredView Class) - http://www.urbanisticaecasa.regione....lugins/ncs.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3222313-4B56-4D72-B1CE-37F53925E241}: NameServer = 192.168.1.91
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\DOCUME~1\DESMOD~1\IMPOST~1\Temp\IXP000.TMP\MsiExec.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TridiaVNC Server (winvnc) - Tridia Corporation - C:\Programmi\TridiaVNC\win32\WinVNC.exe

[Stev-O]

a parte questo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
ch3e cmq è trascurabile il log è pulito

hai fatto una scansione con ewido?

[BittiDj]

ewido non l'ho usato.

adesso elimino quel processo e poi ci provo.

grazie!

[Stev-O]

no ma quello è solo il settaggio proxy di explorer
assolutamente innocuo ma visto che mette localhost inutile

fai cmq la scansione con ewido che è meglio di adaware

[BittiDj]

ho fatto la scansione con ewido e mi a trovato parecchia roba

ora sento i miglioramenti in effetti

pero' riattuando la stessa procedura (NOD32 aperto e AdAware che scansiona) mi escono fuori dei trojans che non posso eliminare.

e' strano che nemmeno ewido li rilevi

oggi faro' un altro tentativo

[Stev-O]

bisognerebbe vedere che cosa sono

[naso]

ecco un motivo x cui io la scansione antivirus la faccio sempre prendendo il disco da controllare e mettendolo su un altro pc come disco dati.... fai una scansione e hai risolto tutto...
cmq se fossi in te cambierei nod32.... lo scopo dell'antivirus è quella di evitare di prendere i virus.. nn di rilevarli quando li hai già presi... (o avevi l'antivirus nn aggiornato o una versione vecchia... o l'antivirus nod32 nn è così buono...)

[BittiDj]

sul mio pc ho tre sistemi operativi su tre dischi differenti e facendo la scansione con antispiware antitrojan e antivirus (NOD32, Antivir e Avast) non rileva nulla.

Ho provato a fare la scansione da tutti i sistemi, senza risultati.

I trojans che rileva NOD32 li rileva solo quando AdAware Lavasoft fa la scansione del sistema dal sistema operativo che hanno attaccato.

Altrimenti agli occhi di antivirus antispyware antitrojan ecc il mio pc e' pulito.

I bastardini si chiamano java/femad.a e java/femad.c.

NOD li vede ma non puo' eliminarli.

Spero di trovare una soluzione!

[BittiDj]

Forse ho risolto!

Ho installato Bitdefender su un altro disco e ho scansionato il sistema dall'esterno.

Bitdefender ha trovato un sacco di roba, mentre gli altri (NOD32, Antivir ecc) non vedevano nulla.

Bah

[naso]

Quote:

Originariamente inviato da BittiDj

Forse ho risolto!

Ho installato Bitdefender su un altro disco e ho scansionato il sistema dall'esterno.

Bitdefender ha trovato un sacco di roba, mentre gli altri (NOD32, Antivir ecc) non vedevano nulla.

Bah

come volevasi dimostrare... una scansione antivirus si fa su un altro pc con il disco infettato come disco dati...

[BittiDj]

naso, che antivirus usi?

[naso]

Quote:

Originariamente inviato da BittiDj

naso, che antivirus usi?

prima usavo norton, poi x questioni di licenza sono passato a kaspersky, con il quale io pago x 1 anno di antivirus, qualsiasi versione esca.. nn come il norton che se compri il 2006 e dopo esce la 2007, tu rimani con la 2006.. quindi il motore è vecchio....

[*Nexus*]

Quote:

Originariamente inviato da naso

prima usavo norton, poi x questioni di licenza sono passato a kaspersky, con il quale io pago x 1 anno di antivirus, qualsiasi versione esca.. nn come il norton che se compri il 2006 e dopo esce la 2007, tu rimani con la 2006.. quindi il motore è vecchio....

Senza contare che il norton è un macigno.....

[naso]

Quote:

Originariamente inviato da *Nexus*

Senza contare che il norton è un macigno.....

il consumo di ram massimo è lo stesso.. circa 40mb.... cmq sì, leggero è un altra cosa.