[win Vista] sono pieno di trojan

salvo.maltese · 23-02-2008, 10:32

Ciao, il mio portatile è infetto da qualche trojan.
In sostanza ho il nod32 che ogni tanto mi avvisa di avere questo tipo di trojan:
hxxp://rel.statadd.com/d/hmrgas5.exe Win32/Zapchast.ES cavallo di troia.
Ho effettuato un analisi profonda con l'antivirus ma mi dice di non essere infetto. Ho già provato con ccleaner e con lavasoft ad aware free ma non riescono ad eliminarlo. Come posso fare per risolvere il mio problema.
Poi non so se è dovuto a questo fatto, ma all'accensione del mio pc con Vista nella schermata in cui devo inserire la password dell'utente, il suono di avvio inizia a scatti. E tutto collegato?
Fatemi sapere cosa fare per piacere. Il mio pc ha ancora 3 mesi di vita.
Spero che qualcuno possa risolvermi il problema

deneb87 · 23-02-2008, 10:33

leggere mia firma

murack83pa · 23-02-2008, 10:37

e modifica quella specie di link come l'ho modificato io

hxxxxp://rel.statadd.com/d/hmrgas5.exe Win32/Zapchast.ES cavallo di troia.

cosi evitiamo ulteriori danni.....nn si sa mai

salvo.maltese · 23-02-2008, 10:41

Il link non porta da nessuna parte. Cosa mi dite di fare. Quali programmi devo eseguire per tentare la rimozione.

deneb87 · 23-02-2008, 10:43

tutti quelli che trovi nel link della mia firma, in ordine e disciplina, salvando i log e poi allegandoli qui nella discussione quando hai finito

murack83pa · 23-02-2008, 11:20

Quote:

Originariamente inviato da salvo.maltese

Il link non porta da nessuna parte. Cosa mi dite di fare. Quali programmi devo eseguire per tentare la rimozione.

veramente il link porta a scaricare nn so che cosa

quindi ripeto: modifica il link.....

**Chill-Out** · 23-02-2008, 11:33

Quote:

Originariamente inviato da salvo.maltese

Il link non porta da nessuna parte. Cosa mi dite di fare. Quali programmi devo eseguire per tentare la rimozione.

Quote:

Originariamente inviato da murack83pa

veramente il link porta a scaricare nn so che cosa

quindi ripeto: modifica il link.....

Da quel link ti scarichi dritto dritto un bel Trojan Trojan-Proxy.Win32.Horst.kz dal momento che hai deciso di non editare, chiederò gentilmente al Mod. di Sezione di farlo

xcdegasp · 23-02-2008, 15:21

@ salvo.maltese:
non ti sei accorto che nod32 ti blocca in entrata quel virus? sopratutto non ti sei accorto che è un indirizzo web e che quindi non sia il percorso del tuo hd??
se ti si chiede di modificare un link per evitare che sprovveduti facciano il "punta e clickka" è buona cosa farlo!!
il fatto che a te dia errore è perchè esiste quel antivirus che sta ancora svolgendo bene il suo lavoro nonostante l'utente ci si metta di impegno ad infettarsi

ma cio non significa che non sia valido quel link!

fai attenzione a queste cose perchè qui nel forum è facile danneggiare altri pc con dei link pubblicati in completa spensieratezza

salvo.maltese · 23-02-2008, 15:43

Scusate, avete ragione. Chiedo scusa per non aver editato io il post. Comunque non sono riuscito ad eliminarlo. Vi posto tutti i logs.
Forse ho trovato un eseguibile che potrebbe causare ciò. Sarebbe C:\Windows\System32\smvss.exe . Può essere?
Ditemi come procedere. Grazie

salvo.maltese · 23-02-2008, 15:47

Per quanto riguarda gli altri allegati (prevxcsi e gmer) come li posto, visto che superano il limite della dimensione? Grazie

deneb87 · 23-02-2008, 15:49

hosta su www.fileup.itadib.com

e posti il link generato

salvo.maltese · 23-02-2008, 16:02

http://www.fileup.itadib.com/downloa...jnPUo2FjEs68zk

http://www.fileup.itadib.com/downloa...tLurPTf0IcNphw

fatemi sapere cosa fare.

murack83pa · 23-02-2008, 17:44

scarica avenger(l'antivirus potrebbe rilevarlo come malware, quindi disattivalo momentaneamente): DOWNLOAD
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):

Quote:

files to delete:
C:\Windows\system\smvss.exe

Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

al riavvio nuovo log di hijackthis

controlla questo file:

Quote:

C:\Program Files\ATKGFNEX\GFNEXSrv.exe

ps: mi raccomando il ripristino disattivato

salvo.maltese · 23-02-2008, 18:52

Avenger non è supportato da vista quindi non lo posso far partire. C'è un altro software per eliminarlo??

**Chill-Out** · 23-02-2008, 20:10

Esegui HJT clicca su Do a system scan olnly - metti il segno di spunta nella casella a sx della sottoindicata voce:

O4 - HKLM\..\Run: [devenv] C:\Windows\system\smvss.exe /w

clicca su Fix checked

Quote:

Avenger non è supportato da vista quindi non lo posso far partire. C'è un altro software per eliminarlo??

si a mano C:\Windows\system\smvss.exe

Quote:

C:\Program Files\ATKGFNEX\GFNEXSrv.exe

questo è legittimo

al termine nuovo log di HJT e Prevx CSI

murack83pa · 23-02-2008, 21:13

cavolo...nn avevo visto che avevi vista, scusa

salvo.maltese · 24-02-2008, 01:17

Ecco qui i due nuovi logs. Con questo pensate di aver risolto il mio problema?
Ho eliminato diversi files eseguibili del tipo "exhmrgas.exe" dalla cartella temp di D:\
Erano tutti derivanti da un unico trojan oppure ce ne può essere qualcun altro oltre il file che mi avete fatto cancellare?
Fatemi sapere.
Intanto vi ringrazio per la disponibilità che offrite agli utenti meno esperti come me. Grazie ancora ragazzi.

http://www.fileup.itadib.com/downloa...W7jTbbt3o0DunU

lancetta · 24-02-2008, 01:28

Quote:

Originariamente inviato da salvo.maltese

Ecco qui i due nuovi logs. Con questo pensate di aver risolto il mio problema?
Ho eliminato diversi files eseguibili del tipo "exhmrgas.exe" dalla cartella temp di D:\
Erano tutti derivanti da un unico trojan oppure ce ne può essere qualcun altro oltre il file che mi avete fatto cancellare?
Fatemi sapere.
Intanto vi ringrazio per la disponibilità che offrite agli utenti meno esperti come me. Grazie ancora ragazzi.

http://www.fileup.itadib.com/downloa...W7jTbbt3o0DunU

i log sono puliti riscontri ancora quel problema?

salvo.maltese · 24-02-2008, 09:23

Adesso non ci sono più i files eseguibili nella cartella temp, quindi penso di aver risolto. Per quanto riguarda il suono a scatti durante l'avvio di Windows (premetto che oggi non l'ho notato se fosse ancora così perchè l'audio era disattivato) dite che può essere collegato a questo trojan oppure ad altro problema?
Grazie ancora ragazzi
Vi farò sapere

xcdegasp · 24-02-2008, 09:39

Quote:

Originariamente inviato da salvo.maltese

Adesso non ci sono più i files eseguibili nella cartella temp, quindi penso di aver risolto. Per quanto riguarda il suono a scatti durante l'avvio di Windows (premetto che oggi non l'ho notato se fosse ancora così perchè l'audio era disattivato) dite che può essere collegato a questo trojan oppure ad altro problema?
Grazie ancora ragazzi
Vi farò sapere

ora prova a usare il pc facendo molta attenzione a come si comporta e in quale occasione, poi se tra qualche giorno non riscontri problema torna qui per dirci che hai risolto

Magari se ti andrà fare un riassunto dei sintomi che avevi, analisi e soluzione te ne saremmo grati così potrà d'esdsere d'aiuto ad altri sventurati

23-02-2008, 10:32	#1
salvo.maltese Member Iscritto dal: Sep 2007 Messaggi: 83	[win Vista] sono pieno di trojan Ciao, il mio portatile è infetto da qualche trojan. In sostanza ho il nod32 che ogni tanto mi avvisa di avere questo tipo di trojan: hxxp://rel.statadd.com/d/hmrgas5.exe Win32/Zapchast.ES cavallo di troia. Ho effettuato un analisi profonda con l'antivirus ma mi dice di non essere infetto. Ho già provato con ccleaner e con lavasoft ad aware free ma non riescono ad eliminarlo. Come posso fare per risolvere il mio problema. Poi non so se è dovuto a questo fatto, ma all'accensione del mio pc con Vista nella schermata in cui devo inserire la password dell'utente, il suono di avvio inizia a scatti. E tutto collegato? Fatemi sapere cosa fare per piacere. Il mio pc ha ancora 3 mesi di vita. Spero che qualcuno possa risolvermi il problema Ultima modifica di xcdegasp : 23-02-2008 alle 15:17.

23-02-2008, 15:21	#8
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	@ salvo.maltese: non ti sei accorto che nod32 ti blocca in entrata quel virus? sopratutto non ti sei accorto che è un indirizzo web e che quindi non sia il percorso del tuo hd?? se ti si chiede di modificare un link per evitare che sprovveduti facciano il "punta e clickka" è buona cosa farlo!! il fatto che a te dia errore è perchè esiste quel antivirus che sta ancora svolgendo bene il suo lavoro nonostante l'utente ci si metta di impegno ad infettarsi ma cio non significa che non sia valido quel link! fai attenzione a queste cose perchè qui nel forum è facile danneggiare altri pc con dei link pubblicati in completa spensieratezza __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 23-02-2008 alle 15:25.

23-02-2008, 10:33	#2
deneb87 Senior Member Iscritto dal: Dec 2006 Città: Cagliari Messaggi: 682	leggere mia firma

23-02-2008, 10:37	#3
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	e modifica quella specie di link come l'ho modificato io hxxxxp://rel.statadd.com/d/hmrgas5.exe Win32/Zapchast.ES cavallo di troia. cosi evitiamo ulteriori danni.....nn si sa mai

23-02-2008, 10:41	#4
salvo.maltese Member Iscritto dal: Sep 2007 Messaggi: 83	Il link non porta da nessuna parte. Cosa mi dite di fare. Quali programmi devo eseguire per tentare la rimozione.

23-02-2008, 10:43	#5
deneb87 Senior Member Iscritto dal: Dec 2006 Città: Cagliari Messaggi: 682	tutti quelli che trovi nel link della mia firma, in ordine e disciplina, salvando i log e poi allegandoli qui nella discussione quando hai finito

23-02-2008, 15:47	#10
salvo.maltese Member Iscritto dal: Sep 2007 Messaggi: 83	Per quanto riguarda gli altri allegati (prevxcsi e gmer) come li posto, visto che superano il limite della dimensione? Grazie

23-02-2008, 15:49	#11
deneb87 Senior Member Iscritto dal: Dec 2006 Città: Cagliari Messaggi: 682	hosta su www.fileup.itadib.com e posti il link generato

23-02-2008, 16:02	#12
salvo.maltese Member Iscritto dal: Sep 2007 Messaggi: 83	http://www.fileup.itadib.com/downloa...jnPUo2FjEs68zk http://www.fileup.itadib.com/downloa...tLurPTf0IcNphw fatemi sapere cosa fare.

23-02-2008, 18:52	#14
salvo.maltese Member Iscritto dal: Sep 2007 Messaggi: 83	Avenger non è supportato da vista quindi non lo posso far partire. C'è un altro software per eliminarlo??

23-02-2008, 21:13	#16
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	cavolo...nn avevo visto che avevi vista, scusa

24-02-2008, 09:23	#19
salvo.maltese Member Iscritto dal: Sep 2007 Messaggi: 83	Adesso non ci sono più i files eseguibili nella cartella temp, quindi penso di aver risolto. Per quanto riguarda il suono a scatti durante l'avvio di Windows (premetto che oggi non l'ho notato se fosse ancora così perchè l'audio era disattivato) dite che può essere collegato a questo trojan oppure ad altro problema? Grazie ancora ragazzi Vi farò sapere

Strumenti
Mostra una versione stampabile Invia questa pagina per email