NOD32: CAVALLO DI TROIA (HELP)

[moresimon]

Ciao a tutti, il mio NOD32 ha rilevato un virus dalla seguente dicitura: "cavallo di troia Win32/Dialer.NDM trovato nella memoria operativa".

Non riesco ad eliminarlo e non riesco ad accedere a vari servizi: sono in completa fibrillazione...

Qualcuno mi puo' aiutare??

[Riverside]

Quote:

Originariamente inviato da moresimon

Qualcuno mi puo' aiutare??

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Scarica questi software e tool per eseguire una pulizia:

ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
Al termine allega il Report che verrà rilasciato

Installa HIJACKTHIS: clicca qui per il download
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
Allega, nella discussione, il log di HijackThis per farlo controllare

pulisci gli gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

ATTENZIONE:

Per quanto riguarda la pubblicazione dei log e/o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download

[moresimon]

Ho fatto quanto da te indicato, direi che un po' di infezioni si sono tolte ma ancora non funziona perfettamente (per esempio non si avvia Messenger e in alcuni siti non riesco a navigare).
Cosa puo' essere?

[moresimon]

Ovviamente chiunque è in grado di aiutarmi puo' rispondermi...

Grazie.

[murack83pa]

x rispondere alla tua domanda, devi prima allegare tutti i log che ti sono stati richiesti, x favore

regole x postare i log, hai 3 possibilità:

-utilizzare i tag (code) (/code)
-utilizzare la funziona allegati
-caricare il log su un server come www.zshare.net e copiare qui il link x il download

nb: ricorda di rinominare il log in .txt altrimenti nn te lo allega

[moresimon]

non so se ho caricato l'allegato correttamente...

[Riverside]

Quote:

Originariamente inviato da moresimon

non so se ho caricato l'allegato correttamente...

Una notevole raccolta, non c'è che dire ..... manca il log di HThis
Controlla se riesci a recuperare ed allegare anche quello di ASquared

[moresimon]

Quote:

Originariamente inviato da Riverside

Una notevole raccolta, non c'è che dire ..... manca il log di HThis
Controlla se riesci a recuperare ed allegare anche quello di ASquared

Il log di ASquared ce l'ho tra un po'...

Nel frattempo sai dirmi qualcosa??

Il mio nod32 mi dice che non ci sono più virus, pero' se lo lancio dalla modalità provvisoria mi dice che la memoria non puo' essere controllata perchè si è verificato un errore in fase di scansione (e il virus originale era proprio nella memoria).
E in più continuo a non avviare Messenger (conviene reinstallarlo??)...

[moresimon]

Questo l'ho ripetuto, questa mattina gli oggetti infetti erano 32...ma non ho salvato il rapporto

[Riverside]

Disattiva il Ripristino configurazione di sistema e lascialo disattivato fino a quando non avremo risolto il problema.

Rliancia Hthis e fixa queste voci:

O2 - BHO: TotoDesk Class - {1B689522-64CD-46A3-B454-BCB4A7F55E78} - C:\WINDOWS\system32\toto.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" –atboottime

O4 - HKLM\..\Run: [italy] C:\WINDOWS\smernic.exe –start

O4 - HKLM\..\Run: [proksiak] C:\WINDOWS\prossl.exe –start

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

QUello che ti indico in rosso, qui sotto, lo devi fare analizzare su VirusTotal: http://www.virustotal.com/it/

C:\WINDOWS\prossl.exe

Al termine, allega il report di VirusTotal ed allega un nuovo log di HThis


Alla fine di tutta la storia, dovrai, anche, aggiornare Internet Explorer ed JavaSun.

[Chill-Out]

River fagli svuotare la cartella Prefetch una variante bastardella di questo Win32/Dialer.NDM si infila anche li.

[moresimon]

Per River:Non riesco neanche più a navigare in internet con explorer...Ora ho cambiato browser di navigazione e sto facendo le prove...

Per Chill: ?????

[moresimon]

Quote:

Originariamente inviato da Riverside

Disattiva il Ripristino configurazione di sistema e lascialo disattivato fino a quando non avremo risolto il problema.

Rliancia Hthis e fixa queste voci:

O2 - BHO: TotoDesk Class - {1B689522-64CD-46A3-B454-BCB4A7F55E78} - C:\WINDOWS\system32\toto.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" –atboottime

O4 - HKLM\..\Run: [italy] C:\WINDOWS\smernic.exe –start

O4 - HKLM\..\Run: [proksiak] C:\WINDOWS\prossl.exe –start

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

QUello che ti indico in rosso, qui sotto, lo devi fare analizzare su VirusTotal: http://www.virustotal.com/it/

C:\WINDOWS\prossl.exe

Al termine, allega il report di VirusTotal ed allega un nuovo log di HThis


Alla fine di tutta la storia, dovrai, anche, aggiornare Internet Explorer ed JavaSun.

Ti allego il report di VirusTotal ed anche il log di HThis ma le voci che hai indicato NON le ho trovate tutte, probabilmente perchè ho dovuto reinstallare della roba (altrimenti non potevo + navigare! e quindi leggere qui!!).
Quindi te lo allego, pero' non so cosa intendi per "fixare", ma se non leggi prima che finisco io ci provo lo stesso...

Thanks.

[wizard1993]

Quote:

Originariamente inviato da moresimon

Ti allego il report di VirusTotal ed anche il log di HThis ma le voci che hai indicato NON le ho trovate tutte, probabilmente perchè ho dovuto reinstallare della roba (altrimenti non potevo + navigare! e quindi leggere qui!!).
Quindi te lo allego, pero' non so cosa intendi per "fixare", ma se non leggi prima che finisco io ci provo lo stesso...

Thanks.

per fixare nella finestra di scansione di hijackthis selezioni le voci e poi clikki su fix checked

[moresimon]

Per il report di virustotal mi ci va un attimo...scusate...

[wizard1993]

fixa questi
C:\WINDOWS\prossl.exe
O2 - BHO: TotoDesk Class - {1B689522-64CD-46A3-B454-BCB4A7F55E78} - C:\WINDOWS\system32\toto.dll

poi se virustotal dice che è un virus fixa anche questi

O4 - HKLM\..\Run: [italy] C:\WINDOWS\smernic.exe --start
O4 - HKLM\..\Run: [italy] C:\WINDOWS\smernic.exe --start

se non te lo dice sarei contento di avere il file

[moresimon]

Grazie, ci provo subito.

Questo è il link...
http://www.virustotal.com/it/resulta...18c7ade897f02e

[moresimon]

Quote:

Originariamente inviato da wizard1993

fixa questi
C:\WINDOWS\prossl.exe
O2 - BHO: TotoDesk Class - {1B689522-64CD-46A3-B454-BCB4A7F55E78} - C:\WINDOWS\system32\toto.dll

poi se virustotal dice che è un virus fixa anche questi

O4 - HKLM\..\Run: [italy] C:\WINDOWS\smernic.exe --start
O4 - HKLM\..\Run: [italy] C:\WINDOWS\smernic.exe --start

se non te lo dice sarei contento di avere il file

Ho fixato la prima voce...cosa devo fare ora??

[moresimon]

??

[Riverside]

lascia disattivato Il Ripristino configurazione di sistema fino a quando il problema non sarà risolto

svuota del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Installa CCLEANER:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

esegui una scansione online da Bitdefender: clicca qui per la Scansione online
Ti chiederà di scaricare un ActiveX (e comunque devi utlizzare Internet Explorer): allega il Report che verrà rilasciato

rilancia PANDA ANTIROOTKIT e fai una nuova scansione

Al termine, dopo aver riavviato allega un nuovo log di HThis.