help: trojan horse (sarò infetto?)

[paditora]

Ciao a tutti.
Non so se sono infetto ma credo di no, dato che di problemi non ne vedo.
Da premettere che come antivirus uso Antivir.
Capita spesso anche una volta al giorno che mentre navigo mi compare il messaggio di guardian per dirmi che ha trovato un virus e nel caso specifico un trojan horse.
Io naturalmente faccio subito delete.
Me li trova sempre nella cartella:
D:\Documents and Settings\padi\Impostazioni locali\Temp
Sono sempre dei file .exe che trova.
Volevo sapere se potrei essere infetto o se è normale che navigando sul web si becchino sti trojan.
Ah non è che visito chissà quali siti, mi capita pure svogliando le pagine di hwupgrade.
Che mi dite?

[wizard1993]

log di hijackthis (www.trendsecure.com), e dimmi se hai un firewall

[Gle89]

puoi scaricarlo velocemente dalla mia firma!

[juninho85]

...anche un log di gmer e findawf non sarebbe male

[paditora]

Quote:

Originariamente inviato da wizard1993

log di hijackthis (www.trendsecure.com), e dimmi se hai un firewall

quello di XP

[paditora]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.24.36, on 12/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
D:\Programmi\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
D:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
D:\WINDOWS\system32\GSICON.EXE
D:\WINDOWS\system32\dslagent.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
D:\windows\system32\winlogon.exe
D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programmi\Outlook Express\msimn.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programmi\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "D:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "D:\Programmi\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ssmala.exe] D:\DOCUME~1\padi\IMPOST~1\Temp\ssmala.exe
O4 - HKLM\..\Run: [manxhbfj] "d:\windows\system32\manxhbfj.exe"
O4 - HKLM\..\Run: [ATIPTA] D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{79E75D3B-FEFE-4DC0-B51A-801CB1A63A9C}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4229 bytes

[juninho85]

Quote:

Originariamente inviato da paditora

O4 - HKLM\..\Run: [ssmala.exe] D:\DOCUME~1\padi\IMPOST~1\Temp\ssmala.exe
O4 - HKLM\..\Run: [manxhbfj] "d:\windows\system32\manxhbfj.exe"

fai analizzare questi 2 qui,almeno sappiamo con che infezione abbiamo a che fare e ci regoliamo di conseguenza.
c'avrei giurato che avessi hwu come homepage!

[paditora]

Quote:

Originariamente inviato da juninho85

fai analizzare questi 2 qui,almeno sappiamo con che infezione abbiamo a che fare e ci regoliamo di conseguenza.

ho fatto la scansione con antivir ma non me li rileva come virus.
cmq come dicevo non ho nessunissimo problema sul pc solo che ogni tot di tempo (fai chessò 24-48 ore) mi scatta il guardian antivir che mi trova un trojan.
magari boh me li piglio navigando

Quote:

Originariamente inviato da juninho85

c'avrei giurato che avessi hwu come homepage!

LOL

[paditora]

Ah poi uso spesso anche Emule.
Da quello si possono prendere trojan?

[juninho85]

Quote:

Originariamente inviato da paditora

ho fatto la scansione con antivir ma non me li rileva come virus.
cmq come dicevo non ho nessunissimo problema sul pc solo che ogni tot di tempo (fai chessò 24-48 ore) mi scatta il guardian antivir che mi trova un trojan.
magari boh me li piglio navigando

non è che te lo pigli,ce l'hai già nel sistema,di tanto in tanto si aziona per questo il guard di avira lo intercetta.
nel post precedente clicca su "qui",ti si apre un sito in cui poter analizzare quegli eseguibili che ti ho indicato prima

[juninho85]

Quote:

Originariamente inviato da paditora

Ah poi uso spesso anche Emule.
Da quello si possono prendere trojan?

se scarichi fakes si,nell'utilizzo comune assoltamente no

[paditora]

Quote:

Originariamente inviato da juninho85

fai analizzare questi 2 qui,almeno sappiamo con che infezione abbiamo a che fare e ci regoliamo di conseguenza.
c'avrei giurato che avessi hwu come homepage!

da quel sito mi esce sta scritta:
0 bytes size received / Se ha recibido un archivo vacio

cmq ora provo con un antispyware e veduma se mi trova qualcosa.

[juninho85]

Quote:

Originariamente inviato da paditora

da quel sito mi esce sta scritta:
0 bytes size received / Se ha recibido un archivo vacio

cmq ora provo con un antispyware e veduma se mi trova qualcosa.

i file intanto gli hai trovati?effettivamente sono di o kb?nel caso non fosse così zippali prima di fare l'upload

[paditora]

ma sto file manxhbfj.exe che caspita sarebbe?
non riesco manco a zipparlo nè a copiarlo.
è un file da 32KB
l'altro file invece non c'è più.

se lo copio mi esce:

[Riverside]

Quote:

Originariamente inviato da paditora

ma sto file manxhbfj.exe che caspita sarebbe?
non riesco manco a zipparlo nè a copiarlo.

disabilita il ripristino configurazione di sistema

ELISTARTA TOOL: clicca qui per il download
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

SYSCLEAN TRENDMICRO clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● crea, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download
● scompatta all’interno della cartella creata, il file zippato contenente le definizioni
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● pubblica, il relativo log

Inoltre, dopo aver eseguito i due tool, pubblica un nuovo log di Hthis.

[paditora]

ecco me ne ha beccato uno proprio ora.
guardate un po'.
ecco sono tipo così

[lucas84]

è in uso ecco perchè non riesci a copiarlo o zipparlo, avvia in provvisoria ed esegui una scansione completa con Antivir, ricordi se i files in questione hanno l'icona con le labbra rosse? ciao

[paditora]

Quote:

Originariamente inviato da lucas84

è in uso ecco perchè non riesci a copiarlo o zipparlo, avvia in provvisoria ed esegui una scansione completa con Antivir, ricordi se i files in questione hanno l'icona con le labbra rosse? ciao

anche in modalità provvisoria non riesco nè a copiarlo nè a zipparlo
sarà quello allora?
uhm sai che non lo so che icona hanno?
quando il guardian segnala faccio delete e li elimino
la prox volta che ricapita vado nella cartella temp e vedo che icona hanno

[juninho85]

Quote:

Originariamente inviato da lucas84

è in uso ecco perchè non riesci a copiarlo o zipparlo, avvia in provvisoria ed esegui una scansione completa con Antivir, ricordi se i files in questione hanno l'icona con le labbra rosse? ciao

non erano igfxsvc e spoolw32 quelli delle labbra rosse+dialer?

[paditora]

cmq vabbè se non provoca danni me lo tengo.
al prossimo format lo eliminerò