Trojan Horse TR/Click.HTML.IFrame.FP

[Super Vegetto]

Ciao a tutti, Antivir mi continua a segnalare questo Trojan denominato "TR/Click.HTML.IFrame.FP"; me lo segnala nella cartella "C:\Documents and Settings\utente\Impostazioni locali\Temporary Internet Files\Content.IE5\UGQY8PYX\go[1].htm", e ogni volta che me lo segnala cambia la cartella dopo "...Content.IE5\....(cioè ogni volta cambia l' ultimo pezzo) ma il Trojan di riferimento è sempre lo stesso.
Ho fatto come da topic in evidenza; tolto il ripristino e i vari passaggi successivi ma non è cambiato nulla.
Per completezza metto il mio log di Hijackthis

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.39.27, on 13/02/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Bus\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Bus\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programmi\File comuni\Logitech\KHAL\KHALMNPR.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DIALux 3.1 ULDBrowserHelper Class - {69AB812A-8CE4-4BF3-B49B-3B60A9F31FB2} - C:\Programmi\DIALux\DLXShellExtension.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min -nosplash"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://212.162.68.213/rainet02/Rawflow.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1191168864406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1191168851078
O17 - HKLM\System\CCS\Services\Tcpip\..\{F54B8162-3A59-4367-B099-D8932C35E5AF}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Intel(R) Desktop Utilities Service (iHCService) - Intel Corporation - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 5630 bytes

Per ora me lo segnala solo durante la navigazione internet, facendo una ricerca con google ho trovato un altro con il medesimo problema ma senza soluzioni, ringrazio chiunque mi voglia aiutare .

[deneb87]

modifica il tuo messaggio postando il log secondo le regole di sezione.

quelle sono le cartelle dei file temporanei di internet, e quello è un trojan che sta negli iframe nascosti delle pagine web che visiti, direi di cambiare abitudini


per cominciare esegui ccleaner come indicato nelle regole di sezione, quindi passa a fare la guida alla disinfezione in rilievo e posta i reletivi log rilasciati dai programmi allegandoli su www.fileup.itadib.com

[Super Vegetto]

Quote:

Originariamente inviato da deneb87

modifica il tuo messaggio postando il log secondo le regole di sezione.

quelle sono le cartelle dei file temporanei di internet, e quello è un trojan che sta negli iframe nascosti delle pagine web che visiti, direi di cambiare abitudini


per cominciare esegui ccleaner come indicato nelle regole di sezione, quindi passa a fare la guida alla disinfezione in rilievo e posta i reletivi log rilasciati dai programmi allegandoli su www.fileup.itadib.com

Innanzitutto ti ringrazio per la risposta e spero di aver editato giusto il log.
Riguardo a dove ho beccato questo trojan seppur sono ben conscio che il più delle volte è perchè si visitano sitacci ( ) segnalo che questa segnalazione mi è venuta fuori stamattina e che ieri sera ho girovagato un po' in siti di giochini in flash; per esempio ora se entro su flashgames.it Antivir mi segnala il Trojan due volte. Poi magari è tanto che ce l' ho lì ma mi è saltato fuori questa mattina. Ora provo ccleaner

[murack83pa]

x la cronoca: nn è assolutamente detto che si ci si infetta solo visitando siti porno o di hacker......vedasi alla voce google....oppure blog di msn e nn solo....
evidentemente i siti che visiti al momento sono infetti....x svariati motivi...

oltre ccleaner, svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

fai anche una scansione completa di avira e posta qui il report

[deneb87]

assicurati inoltre di avere le ultime versione, che correggono numerosi bug, di

flash player: sito adobe
adobe reader: sito adobe (primi disinstalla la vers 7)
java: https://cds.sun.com/is-bin/INTERSHOP...-CDS_Developer


aggiungo anche che, se nn ricordo male, ewido antispy non esiste piu perchè assorbito da avg, quindi puoi disinstallarlo

[Super Vegetto]

Quote:

Originariamente inviato da murack83pa

oltre ccleaner, svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

Qui non ti seguo: nel pannello di controllo non ho nessuna icona Java

[murack83pa]

Quote:

Originariamente inviato da Super Vegetto

Qui non ti seguo: nel pannello di controllo non ho nessuna icona Java

controlla che versione di java hai:
http://www.java.com/it/download

nb: prima di installare la nuova versione di java, disinstalla quella precedente

[Super Vegetto]

Quote:

Originariamente inviato da murack83pa

controlla che versione di java hai:
http://www.java.com/it/download

nb: prima di installare la nuova versione di java, disinstalla quella precedente

Fatto, ho installato Java e mi è apparsa l' icona, poi ho fatto come mi hai detto. Ho aggiornato Flah Player dal sito Adobe mentre Adobe Reader era già a posto. E' vero, Ewido è da un po' che è stato assorbito da AVG ma vedo che gli aggiornamenti delle signatures continuano quindi per ora l' ho lasciato lì, visto che è leggerissimo. Anche il mio firewall Sygate non esiste più, mi ero ripromesso di sostituirlo ma per pigrizia non l' ho mai toccato, vedrò di sistemare.

[Super Vegetto]

Ora sono entrato in flashgames.it come prova e tutto liscio, ho provato anche a far caricare un gioco e Antivir tace. Faccio un restart del pc e vediamo se è sistemato

[Super Vegetto]

Ok, il problema sembra essersi eliminato con l' aggiornamento di Flash Player (o di Java), se si ripresenta ri-uppo questo thread.
Intanto ringrazio tutti e due per il vostro aiuto e la vostra assistenza, siete stati molto gentili.
Ciao e grazie!

[murack83pa]

Quote:

Originariamente inviato da Super Vegetto

Ok, il problema sembra essersi eliminato con l' aggiornamento di Flash Player (o di Java), se si ripresenta ri-uppo questo thread.
Intanto ringrazio tutti e due per il vostro aiuto e la vostra assistenza, siete stati molto gentili.
Ciao e grazie!

una bella scansione completa con avira io la farei

ciao ciao

[deneb87]

Quote:

Originariamente inviato da Super Vegetto

Fatto, ho installato Java e mi è apparsa l' icona, poi ho fatto come mi hai detto. Ho aggiornato Flah Player dal sito Adobe mentre Adobe Reader era già a posto. E' vero, Ewido è da un po' che è stato assorbito da AVG ma vedo che gli aggiornamenti delle signatures continuano quindi per ora l' ho lasciato lì, visto che è leggerissimo. Anche il mio firewall Sygate non esiste più, mi ero ripromesso di sostituirlo ma per pigrizia non l' ho mai toccato, vedrò di sistemare.

ero sicuro d aver letto versione 7 nel log di hijackthis