win32.trojan-gen

[valeriaccio]

Qualcuno sa come aiutarmi?
Collegandomi ad internet avast mi avvisa che ha bloccato il malware win32:trojan-gen dal file http://counter.advancedtrafficnetwork.com/_/di.exe?...... e come unica possibilità da "termina connessione"
Ho provato ad eseguire varie scansioni antivirus (aggiornato), anche la scansione all'avvio con il ripristino configur. di sistema disabilitato. Solo una volta ha trovato ed eliminato il file ma il problema non è sparito.
Da un po di tempo il video è diventato anche rosa.
Ho provato ad eseguire software tipo hijackthis, con il seguente risultato

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Ada\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ComCap - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\system32\comcap16.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1138451230986
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E8F0DC9-EFDD-4C68-9443-0B24BC2DDD0D}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E8F0DC9-EFDD-4C68-9443-0B24BC2DDD0D}: NameServer = 62.211.69.150 212.48.4.15
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)





adesso non so piu' cosa fare

grazie

[Jenet82]

Elimina
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E8F0DC9-EFDD-4C68-9443-0B24BC2DDD0D}: NameServer = 62.211.69.150 212.48.4.15
(nel caso in cui non conosci quell'ip!Ovvero se il dominio non appartiene al tuo provider Internet od alla tua rete aziendale)
mettendo la spunta accanto alla casellina in hijackthis e selezionando kill process che trovi in basso,

Elimina
C:\WINDOWS\system32\comcap16.dll

con killbox che puoi scaricare da:
http://www.bleepingcomputer.com/files/killbox.php



Jen

[valeriaccio]

no, non ho alcuna rete aziendale, il computer è in locale con adsl Alice.
Elimino quindi le 2 righe O17?

[Jenet82]

No elimina solo comcap16






Jen

[valeriaccio]

grazie penso di aver risolto. Il problema non si presenta piu'

[DarkEngel]

mi si ripresenta se3mpre lo stesso virus worm

Win32:Trojan-gen. {Other}

e anche se avast lo cancella mi si ripresenta cmq..

qua il risultato di hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:37:34, on 12.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\arservice.exe
C:\Installationsordner\Avast4\aswUpdSv.exe
C:\Installationsordner\Avast4\ashServ.exe
C:\Installationsordner\programmi\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Installationsordner\programmi\ewido anti-malware\ewidoctrl.exe
C:\Installationsordner\programmi\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Installationsordner\Avast4\ashMaiSv.exe
C:\Installationsordner\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ARPWRMSG.EXE
C:\INSTAL~1\Avast4\ashDisp.exe
C:\Installationsordner\ZoneAlarm\zlclient.exe
C:\Installationsordner\Dragdiag.exe
C:\Installationsordner\programmi\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\notepad.exe
C:\HP\KBD\KBD.EXE
c:\windows\system\hpsysdrv.exe
C:\Installationsordner\aggoirnamenti\java\bin\jusched.exe
C:\INSTAL~1\MOZILL~1\FIREFOX.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\HP_Administrator\Desktop\pc\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [avast!] C:\INSTAL~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Installationsordner\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Installationsordner\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Installationsordner\programmi\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Startup: MSWINSCK.OCX
O4 - Startup: SYSINFO.OCX
O4 - Startup: Win32.dll
O4 - Startup: Windows SN sk.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4BA4A93-301A-4B9F-B3AE-7745DF288ED6}: NameServer = 195.34.133.21 195.34.133.22
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Installationsordner\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Installationsordner\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Installationsordner\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Installationsordner\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Installationsordner\programmi\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Installationsordner\programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Installationsordner\programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

grazie a tutti

[FOXYLADY]

Disattiva il ripristino di configurazione di sistema di windows xp
fixa in hijackthis le seguenti voci
O4 - Startup: MSWINSCK.OCX
O4 - Startup: SYSINFO.OCX
O4 - Startup: Win32.dll
O4 - Startup: Windows SN sk.exe
rifai una scansione col tuo antivirus in modalità provvisoria, eventualmente scansiona anche con questo tool
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

[DarkEngel]

Quote:

Originariamente inviato da FOXYLADY

Disattiva il ripristino di configurazione di sistema di windows xp
fixa in hijackthis le seguenti voci
O4 - Startup: MSWINSCK.OCX
O4 - Startup: SYSINFO.OCX
O4 - Startup: Win32.dll
O4 - Startup: Windows SN sk.exe
rifai una scansione col tuo antivirus in modalità provvisoria, eventualmente scansiona anche con questo tool
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

grazie!!! ma.. ho giá resettato il tutto^^.. cmq tengo i file sotto mano.. non si sa mai^^

ps: perché disattivare il ripriostino di configurazione di xp.. e, detto in parole piu´semplici.. cosa é?^^ ( pardoon la niubbaggine.. ma primo lavoro su un pc in ligua tedesca, e secondo, su alcune cose, davvero, non ci capisco quasi nulla..)

[FOXYLADY]

Inanzitutto spero che tu sappia cosa è il ripristino di configurazione di sistema, presente solo in windows ME e Windows xp.
In pratica è una funzione tramite la quale, ad intervalli regolari o su richiesta dell'utente, viene eseguito il backup di alcuni file di sistema in modo da poterli successivamente ripristinare in caso di malfunzionamento.
Se al momento della creazione del punto di ripristino il sistema è infetto è possibile che anche il nostro virus venga incluso nel backup. Questo può portare a due spiacevoli inconvenienti:

- l'antivirus non riesce a ripulire i file perché l'area di System Restore è una zona di sistema protetta non accessibile ai programmi (nemmeno all'antivirus).
- se in futuro dovessimo avvalerci della funzione di ripristino rischiamo di infettare nuovamente quello che apparentemente è un sistema pulito.

Per questo motivo, prima di procedere a qualsiasi operazione di rimozione è quindi importante disabilitare il Ripristino Configurazione di Sistema in modo che gli strumenti antivirus possano operare correttamente sull'intero sistema.

In windows xp la procedura corretta per disabilitarlo è la seguente:

Fare clic su Start-> Programmi->Accessori->Esplora risorse.
Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.
Selezionare la scheda "Ripristino configurazione di sistema".
Selezionare la voce "Disattiva ripristino configurazione di sistema"
Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.

Ciao

[DarkEngel]

Quote:

Originariamente inviato da FOXYLADY

Inanzitutto spero che tu sappia cosa è il ripristino di configurazione di sistema, presente solo in windows ME e Windows xp.
In pratica è una funzione tramite la quale, ad intervalli regolari o su richiesta dell'utente, viene eseguito il backup di alcuni file di sistema in modo da poterli successivamente ripristinare in caso di malfunzionamento.
Se al momento della creazione del punto di ripristino il sistema è infetto è possibile che anche il nostro virus venga incluso nel backup. Questo può portare a due spiacevoli inconvenienti:

- l'antivirus non riesce a ripulire i file perché l'area di System Restore è una zona di sistema protetta non accessibile ai programmi (nemmeno all'antivirus).
- se in futuro dovessimo avvalerci della funzione di ripristino rischiamo di infettare nuovamente quello che apparentemente è un sistema pulito.

Per questo motivo, prima di procedere a qualsiasi operazione di rimozione è quindi importante disabilitare il Ripristino Configurazione di Sistema in modo che gli strumenti antivirus possano operare correttamente sull'intero sistema.

In windows xp la procedura corretta per disabilitarlo è la seguente:

Fare clic su Start-> Programmi->Accessori->Esplora risorse.
Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.
Selezionare la scheda "Ripristino configurazione di sistema".
Selezionare la voce "Disattiva ripristino configurazione di sistema"
Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI

Ciao

ahh okok.. si.. wiedererstellung ihihihi l´ho detto, lavorando su un pc tedesco so solo le varie cose in tendesco^^.. cmq ho capito cosa sia^^ grazie!!!