|
|||||||
|
|
|
 |
|
|
Strumenti |
13-06-2007, 11:51
|
#1 |
|
Junior Member
Iscritto dal: Mar 2007
Messaggi: 17
|
PROBLEMA VIRUS 'Trojan horse generic2.OJ'
Salve a tutti,
credo di essere stato infettato da un virus assai balordo!! uso AVG 7.5 free edition, e giorni fà mi ha trovato il seguente Trojan: Trojan horse generic2.OJ in: -->C:\Documents and Settings\...\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe -->C:\Recycled\ctfmon.exe ogni tanto compare l'errore di windows di applicazione non valida, da terminare di questo "generic2 host.." e se ho hd esterni o secondari quando faccio il doppio clic per aprirli, micompare la finestra 'apri con' e per poterli aprire devo sempre fare tasto destro - apri. in più(credo che sia dovuto proprio al virus) alle volte ho problemi con i driver audio e non riesco ad usare l'audio sui siti, e talvolta, dal nulla, si trasforma la barra di avvio ed i caratteri in quelli di Windows 2000(io ho XP) per qualche secondo, anche se poi torna tutto normale(in modalità XP). Ho provato a cercare qualche soluzione su internet con il mio antivirus ma niente... che fare, qualche consiglio, programma da usare, qualsiasi cosa... sono disperato aiutatemi amici... Grazie |
|
|
|
13-06-2007, 12:02
|
#2 |
|
Senior Member
Iscritto dal: Jun 2007
Messaggi: 1306
|
Beh, avg non è proprio il massimo riguardo ad antivirus...
Cmq posta un log di hijackthis e fai una scansione con asquared (programma utilissimo e gratis, dascaricare qua: http://www.emsisoft.com/en/software/download/) |
|
|
|
|
13-06-2007, 12:18
|
#3 | |
|
Senior Member
Iscritto dal: Aug 2006
Città: Treviso
Messaggi: 13364
|
Quote:
__________________
NZXT H710 | RM650x | ASUS PRIME X670E-PRO WiFi | Ryzen 7 7800X3D | Corsair Vengeance CL36 DDR5 2x16 Gb 6000Mhz | RTX 4080 Super Gaming X Trio | Logitech G502 | Logitech G410 | ASUS ROG Swift OLED PG32UCDP | MacBook Pro M4 | Meta Quest 3 PS5 | Nintendo Switch 2 | STEAM | Vodafone FTTH 1000/200 |
|
|
|
|
|
13-06-2007, 12:36
|
#4 |
|
Junior Member
Iscritto dal: Mar 2007
Messaggi: 17
|
Riporto qui sotto il logfile; nel frattempo sto scansionando con a-squared ma per il momento nulla di importante... qualche soluzione fuori dal cappello??? Grazie
Logfile of HijackThis v1.99.1 Scan saved at 12.33.01, on 13/06/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SYSTEM32\USRmlnkA.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\SYSTEM32\USRshutA.exe C:\WINDOWS\SYSTEM32\USRmlnkA.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\a-squared Free\a2service.exe c:\programmi\a-squared free\a2free.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\WinRAR\WinRAR.exe C:\DOCUME~1\AAALAZ~1\IMPOST~1\Temp\Rar$EX03.625\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe |
|
|
|
|
13-06-2007, 12:39
|
#5 |
|
Senior Member
Iscritto dal: Aug 2006
Città: Treviso
Messaggi: 13364
|
sinceramente, per le conoscenze che ho, nel tuo log non vedo nulla di infetto..
__________________
NZXT H710 | RM650x | ASUS PRIME X670E-PRO WiFi | Ryzen 7 7800X3D | Corsair Vengeance CL36 DDR5 2x16 Gb 6000Mhz | RTX 4080 Super Gaming X Trio | Logitech G502 | Logitech G410 | ASUS ROG Swift OLED PG32UCDP | MacBook Pro M4 | Meta Quest 3 PS5 | Nintendo Switch 2 | STEAM | Vodafone FTTH 1000/200 |
|
|
|
|
13-06-2007, 12:48
|
#6 |
|
Junior Member
Iscritto dal: Mar 2007
Messaggi: 17
|
ma anche a-squared continua a non trovarmi nulla di importante... ma possibile che il virus sia stato cancellato dall'antivirus ma che abbia lasciato i danni fatti(anche se improbabile visto che saltuariamente continua a darmi la chiusura dell'applicazione di windows)
.. e volevo anche sapere, aspettando la fine della scansione, se è possibile fare un fanta-trucco: C'è qualche modo per ricreare il ctfmon.exe e rimetterlo nelle cartelle originarie, visto che questo a quanto ho letto è comunque un file vero di xp, almeno così potrei risolvere il problema con gli hd... ditemi un pò se sapete... |
|
|
|
|
13-06-2007, 13:00
|
#7 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
vai in ogni hard disk,chiavetta usb o altro aprendolo col tasto destro>esplora
poi abilita la visualizzazione dei files nascosti e di sistema e cancelli i file autorun.inf
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
13-06-2007, 14:39
|
#8 |
|
Junior Member
Iscritto dal: Mar 2007
Messaggi: 17
|
Scusa Bugs , ma così facendo non li pianto definitivamente... ci avevo già pensato ma gli autorun( in particolare uno quello che chiama in causa ctfmon.exe) non servono per avviare l'Hd
ctfmon non può essere ricreato manualmente o col cd di ripristino vero?? Sicuro che devo fare così?? Io lo faccio eh... P.S.: a-squared non ha trovato niente di rilevante... per di più mi è appena stato detto che dopo un pò che cè l'hai sto coso non da solo più problemi di gestione dell'hd ma si inizia a pappare anche file a random dentro l'hd stesso.... OKKEI .. è il momento del panico... si ... ho il panico... Aiuto Aiuto Aiuto Aiuto ..... |
|
|
|
|
13-06-2007, 17:16
|
#9 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
Innanzitutto calmati,non è il caso per un virus.
1) cancella gli autorun 2) l'unico ctfmon che deve esserci nel tuo sistema è situato in C:\windows\system32 e non vedo perchè dovresti ricrearlo visto che nel log è attivo.
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
14-06-2007, 10:23
|
#10 |
|
Junior Member
Iscritto dal: Mar 2007
Messaggi: 17
|
Grandissimo,
cancellato l'autorun e ora gli hd esterni non danno più problemi, nei prossimi giorni proverò con gli hd interni di un altro pc ma credo che non ci saranno problemi.. Ora non dovrei più avere problemi no? il virus è stato eliminato e il suo autorun pure... Se dovessero ricrearsi i problemi con Audio / interfaccia windows 200 / chiusura applicazioni di Windows ve lo farò sapere in questa discussione, quindi se vi capita ogni tanto date un occhiata... Per il resto grazie mille, in particolare a Bugs... Grande |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 13:04.
