[Win XP]Infetto con problemi da Torpig (spyware trojan)...non riesco a toglierlo

Junior83 · 14-12-2007, 22:30

Come da titolo, il mio pc risulta infetto da Torpig, che ho scoperto essere uno spyware trojan di quelli str**zi.

Da un paio di giorni ho problemi di lentezza al pc, totale incapacità di avviare msn, e ad ogni avvio l'icona degli aggiornamenti di qindows (sempre allo 0%); ad ogni spegnimento mi dice che ci sono aggiornamenti da installare (sapete come fa windows).

Ho rilevato l'intruso tramite spybot s&d, che faccio girare spesso poichè sto molto tempo online. Come al suo solito mi ha trovato e corretto i vari problemi, tranne questo, dice che non può correggerlo perchè i file sono in uso.
In particolare mi indica 2 file:
C:\WINDOWS\Temp\$_2341233.TMP
C:\WINDOWS\Temp\$_2341234.TMP
inutile dire che non è possibile eliminarli manualmente, poichè mi da errore dicendo che i file sono in uso.

Ho cercato, ad un altro utente tempo fa era stato consigliato avenger...io non ho avuto successo. Magari sono io incompetente ma quel bastardello è ancora lì a fare chissà cosa nel mio portatile.

Mi sapete consigliare come risolvere il problema? Possibilmente senza formattare perchè il pc lo uso per università e lavoro e non avrei tempo per ripristinare tutto.

Come software ho Active Virus Shield e Spybot S&D (AVS non ha trovato nessun problema nella scansione)

Grazie in anticipo

P.S: in questa sezione sono un pesce fuor d'acqua...abbiate pazienza se vi chiedo di spiegarmi le procedure come si fa ad un bambino di 3 anni

Nuz · 14-12-2007, 23:15

Ciao, inizia con l'eseguire la prima analisi preliminare che trovi nella GUIDA alla DISINFEZIONE per INFETTI. Poi posta qui i risultati usando la funzione gestisci allegati o facendo l'upload su www.zshare.net.

Junior83 · 15-12-2007, 16:19

Allora, ho seguito tutti i passi del topic.

ESET ADS revealer: eseguito e corretto un paio di problemi trovati

A-Squared: eseguito e quarantena (allego log)

Prevx-CSI: eseguito, mi indica questo file
C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00002.dll
nella stessa cartella però ne ho un'altro chiamato ibm00001.dll...entrambi i file sono stati creati il 12/12/2007, ore 13.08...come tempo ci siamo con l'inizio dei problemi, infatti il 12 di mattina tutto ok, dopo pranzo non sono più riuscito ad usare msn...poi ho scoperto torpig nel mio pc

Scansione online con eset online scanner...non ha trovato niente (ieri sotto consiglio di un amico avevo scansionato con bitdefender, che mi aveva cancellato due file poichè non riparabili)

HiJackThis: scansionato (allego log), analizzato il log su http://www.hijackthis.de come segnalato sul topic apposito, incollo qui i risultati per alcuni elementi

Codice:

 	O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
"Da eliminare! Questa voce è stata classificata dai nostri visitatori come sicura."

Sconosciuto
	O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://indahousejr.spaces.live.com/PhotoUpload/MsnPUpld.cab
"Controllate se conoscete il sito web altrimenti eliminatelo (Fix). Oggetti ActiveX sconosciuti oppure oggetti ActiveX provenienti da siti web sconosciuti devono sempre essere eliminati. Se il nome dell'oggetto ActiveX o dell'indirizzo (URL) contiene le parole 'dialer', 'casino', 'free plugin' ecc, deve essere immediatamente cancellato (pulsante Fix di HijackThis)!"

Più un paio di file "abbastanza sospetti" poichè nell'analizzatore sono di solito conosciuti su un percorso diverso (cambia una cartella), comunque riconosco i file e ci sono da sempre. Poi magari mi è fuggito davanti agli occhi qualcosa di rilevante, ma io sono troppo ignorante in materia...

Io brancolo nel buio, anche perchè più che premere un pulsante "scansiona" non so fare in materia di virus/spyware.
L'unica cosa sicura è quei due file di torpig nn li riesco a togliere, il pc è più lento e non posso usare msn...il problema non è tanto questo quanto la definizione che ho visto di torpig e quello che fa...di certo non sono tranquillo.

Come dicevo, il format per me dovrebbe essere proprio l'ultimissima spiaggia perchè in questo periodo devo continuare a lavorare col pc ecc...

Sono 2 giorni che faccio scansioni e cerco con google...tutto quello che ho trovato sono consigli sempre diversi e risultati sempre uguali...ma non c'è un modo per togliere definitivamente questo bastardello nel pc?

Nuz · 15-12-2007, 16:40

Prima che mi controllo i log esegui questo:

1) Scarica SDFix e salvalo sul desktop
Fai doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix

Poi avvia il sistema in modalità provvisoria.
Apri la cartella SDFix situata in C:\ e fai un doppio click su RunThis.bat per lanciare lo script, seleziona Y per avviare la pulizia. Quando te lo chiederà premi un tasto per riavviare (il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati). Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished". Premi un tasto per terminare lo script e ricaricare le icone del desktop. Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

2) Per il log di A-squared non si tratta di quello della scansione.

3) Poi apri HJT e fixa questa:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Junior83 · 15-12-2007, 19:24

Non vorrei correre a conclusioni affrettate ma....YOU DA MAN!

(vabè che solo per l'avatar ti darei un trofeo

)
Fatto come hai detto, ora msn funge senza problemi e spybot non trova più il famoso torpig

dal log di sdfix risultano stati eliminati i file citati in precedenza più un altro che non era venuto fuori

Codice:

Normal Mode:
Checking Files: 

Trojan Files Found:

C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.dll  - Deleted
C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00002.dll  - Deleted
C:\WINDOWS\Temp\$_2341233.TMP  - Deleted
C:\WINDOWS\Temp\$_2341234.TMP  - Deleted
C:\WINDOWS\Temp\$b17a2e8.tmp  - Deleted

Spero solo che non si ripresenti il problema al prossimo riavvio perchè ora ho un dubbio, quindi altra domanda...

Continuo ad avere l'icona che indca un aggiornamento disponibile (ce l'ho da quando sono stato infettato)...che faccio? Procedendo in modo normale, allo spegnimento pareva stesse installando l'aggiornamento, ma poi ad ogni avvio di windows ecco l'icona degli aggiornamenti disponibili e il download fisso a 0%, poi il messaggio che ci sono aggiornamenti disponibili e via con la stessa storia ripetuta a oltranza.
...non è che è farlocco? posso fare in modo di ignorare questo specifico aggiornamento o presunto tale senza togliere la possibilità di aggiornare Windows? (visto che è originale)

Altra cosa: precauzioni particolari per non riprendermi sto dannatissimo torpig?

Grazie mille

wizard1993 · 15-12-2007, 19:30

fai una scan con asquared e vedamo cosa altro hai?

Nuz · 15-12-2007, 19:32

Per l'aggiornamento potrebbe essere che devi installare Microsoft Update. Almeno mi sembra quello che accadeva a me con un aggiornamento qualche settimana fa:

http://www.hwupgrade.it/forum/showth...crosoft+update

Oppure c'è questa guida:

http://www.hwupgrade.it/forum/showthread.php?t=1542152

Per non riprendere il torpig bisogna valutare la tua configurazione di sicurezza e comunque poi dipende anche da quello che scarichi.
Qui puoi chiede consiglio:

http://www.hwupgrade.it/forum/showthread.php?t=1476319

14-12-2007, 22:30	#1
Junior83 Senior Member Iscritto dal: Jul 2004 Città: Pescara Messaggi: 879	[Win XP]Infetto con problemi da Torpig (spyware trojan)...non riesco a toglierlo Come da titolo, il mio pc risulta infetto da Torpig, che ho scoperto essere uno spyware trojan di quelli strzi. Da un paio di giorni ho problemi di lentezza al pc, totale incapacità di avviare msn, e ad ogni avvio l'icona degli aggiornamenti di qindows (sempre allo 0%); ad ogni spegnimento mi dice che ci sono aggiornamenti da installare (sapete come fa windows). Ho rilevato l'intruso tramite spybot s&d, che faccio girare spesso poichè sto molto tempo online. Come al suo solito mi ha trovato e corretto i vari problemi, tranne questo, dice che non può correggerlo perchè i file sono in uso. In particolare mi indica 2 file: C:\WINDOWS\Temp\$_2341233.TMP C:\WINDOWS\Temp\$_2341234.TMP inutile dire che non è possibile eliminarli manualmente, poichè mi da errore dicendo che i file sono in uso. Ho cercato, ad un altro utente tempo fa era stato consigliato avenger...io non ho avuto successo. Magari sono io incompetente ma quel bastardello è ancora lì a fare chissà cosa nel mio portatile. Mi sapete consigliare come risolvere il problema? Possibilmente senza formattare perchè il pc lo uso per università e lavoro e non avrei tempo per ripristinare tutto. Come software ho Active Virus Shield e Spybot S&D (AVS non ha trovato nessun problema nella scansione) Grazie in anticipo P.S: in questa sezione sono un pesce fuor d'acqua...abbiate pazienza se vi chiedo di spiegarmi le procedure come si fa ad un bambino di 3 anni __________________ Asrock 990FX Extreme3 AM3+ / AMD FX-8350 Vishera 4GHz / Thermaltake Frio Silent 12 / DDR3 Corsair Vengeance 1600MHz 4x4GB CL9 / MSI Radeon RX470 Gaming X GDDR5 4GB / Seagate 1TB 7200rpm 64MB Sata3 / Corsair CS550M 80+ Gold / Cooler Master K380 Ho trattato positivamente con:** Franx1508, Ciupy, Brudicchio, Thundertrucks, Quezcolaz

14-12-2007, 23:15	#2
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Ciao, inizia con l'eseguire la prima analisi preliminare che trovi nella GUIDA alla DISINFEZIONE per INFETTI. Poi posta qui i risultati usando la funzione gestisci allegati o facendo l'upload su www.zshare.net. __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.

15-12-2007, 16:40	#4
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Prima che mi controllo i log esegui questo: 1) Scarica SDFix e salvalo sul desktop Fai doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix Poi avvia il sistema in modalità provvisoria. Apri la cartella SDFix situata in C:\ e fai un doppio click su RunThis.bat per lanciare lo script, seleziona Y per avviare la pulizia. Quando te lo chiederà premi un tasto per riavviare (il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati). Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished". Premi un tasto per terminare lo script e ricaricare le icone del desktop. Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt 2) Per il log di A-squared non si tratta di quello della scansione. 3) Poi apri HJT e fixa questa: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No. Ultima modifica di Nuz : 15-12-2007 alle 16:51.

15-12-2007, 19:24	#5
Junior83 Senior Member Iscritto dal: Jul 2004 Città: Pescara Messaggi: 879	Non vorrei correre a conclusioni affrettate ma....YOU DA MAN! (vabè che solo per l'avatar ti darei un trofeo ) Fatto come hai detto, ora msn funge senza problemi e spybot non trova più il famoso torpig dal log di sdfix risultano stati eliminati i file citati in precedenza più un altro che non era venuto fuori Codice: Normal Mode: Checking Files: Trojan Files Found: C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.dll - Deleted C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00002.dll - Deleted C:\WINDOWS\Temp\$_2341233.TMP - Deleted C:\WINDOWS\Temp\$_2341234.TMP - Deleted C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted Spero solo che non si ripresenti il problema al prossimo riavvio perchè ora ho un dubbio, quindi altra domanda... Continuo ad avere l'icona che indca un aggiornamento disponibile (ce l'ho da quando sono stato infettato)...che faccio? Procedendo in modo normale, allo spegnimento pareva stesse installando l'aggiornamento, ma poi ad ogni avvio di windows ecco l'icona degli aggiornamenti disponibili e il download fisso a 0%, poi il messaggio che ci sono aggiornamenti disponibili e via con la stessa storia ripetuta a oltranza. ...non è che è farlocco? posso fare in modo di ignorare questo specifico aggiornamento o presunto tale senza togliere la possibilità di aggiornare Windows? (visto che è originale) Altra cosa: precauzioni particolari per non riprendermi sto dannatissimo torpig? Grazie mille __________________ Asrock 990FX Extreme3 AM3+ / AMD FX-8350 Vishera 4GHz / Thermaltake Frio Silent 12 / DDR3 Corsair Vengeance 1600MHz 4x4GB CL9 / MSI Radeon RX470 Gaming X GDDR5 4GB / Seagate 1TB 7200rpm 64MB Sata3 / Corsair CS550M 80+ Gold / Cooler Master K380 Ho trattato positivamente con: Franx1508, Ciupy, Brudicchio, Thundertrucks, Quezcolaz

15-12-2007, 19:30	#6
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	fai una scan con asquared e vedamo cosa altro hai? __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

15-12-2007, 19:32	#7
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Per l'aggiornamento potrebbe essere che devi installare Microsoft Update. Almeno mi sembra quello che accadeva a me con un aggiornamento qualche settimana fa: http://www.hwupgrade.it/forum/showth...crosoft+update Oppure c'è questa guida: http://www.hwupgrade.it/forum/showthread.php?t=1542152 Per non riprendere il torpig bisogna valutare la tua configurazione di sicurezza e comunque poi dipende anche da quello che scarichi. Qui puoi chiede consiglio: http://www.hwupgrade.it/forum/showthread.php?t=1476319 __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.

Strumenti
Mostra una versione stampabile Invia questa pagina per email