[win XP] Trojan impedisce cambio rapido utente

[pollione]

Salve a tutti, è il mio primo post

Avrei bisogno di un aiuto: il mio Acer (travelmate 4201WLMi con XPprof SP2) non mi permette, da un paio di giorni, il cambio rapido utente (ci sono due account utilizzati). Sono costretto, infatti, a riavviare il PC ogni volta che desidero cambiare utente.

Contemporaneamente a questo problema.. il Norton Internet Security (eh.. lo so: dovrei disinstallarlo ) mi segnala la presenza di un trojan (Infostealer.Wowcraft). Ho provato già a seguire il thread Norton e quello presente nel forum hwupgrd ma senza risultati.

Direi che il primo problema dipenda dal secondo. Qualcuno potrebbe darmi un aiuto? Grazie in anticipo.

[murack83pa]

ciao,
hai seguito le indicazioni di river?
guarda questo post:
http://www.hwupgrade.it/forum/showpo...6&postcount=11

c aiuteresti se posti un po di log....incominciando da quelli della la guida alla disinfezione


stai attento a come posti i log: no copia/incolla

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

[pollione]

[quote=murack83pa;20770060]ciao,
hai seguito le indicazioni di river?
guarda questo post:
http://www.hwupgrade.it/forum/showpo...6&postcount=11

Grazie murack: mi metto subito all'opera, appena finito allego i rispettivi log.

[pollione]

Allora.. rieccomi. Ho eseguito quanto consigliatomi da murack e river.

Posto i log richiesti: bitdefender - sysclean - hijackthis .

Grazie per quanto potrete fare.

PS: non mi è ancora apparso l'avviso di NAV relativo al trojan.. problema risolto?

[murack83pa]

Quote:

Originariamente inviato da pollione

....

allora, una cosa ti chiedo: il ripristino configurazione sistema è disattivato?lascialo disattivato x il momento

un consiglio: svuota la quarantena di norton ogni tanto.....una volta assodato che quello che ha trovato il povero norton è un virus,xchè tenerlo in quarantena?elimana...bitdefender ha cancellato tutta l'enorme quarantena di norton

manca il log di hijackthis, il link è sbagliato, hai caricato 2 volte il log di sysclean

hai pulito gli ads con hijackthis come spiegato da quella procedura?

ora segui questi piccoli passi di pulizia del tuo pc:
1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2-Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

NB: nn devi limitarti a fare un po di pulizia con ccleaner, devi fare la pulizia del registro cosi come indicato....

ora scaricati questo tool e vediamo se c'è ancora qualke traccia:

PREVX CSI: DOWNLOAD
questo piccolo tool serve a rilevare traccia di malware, rileva solo e nn rimuove nulla, a fine scansione nn devi dire si x scaricarti la versione a pagamento x la rimozione dei malware, devi solamente andare su options e poi save log, e posta qui il log di prevx csi

quindi,ricapitolando: posta un log di hijackthis e il log di prevx csi

ciao

[pollione]

Ripristino config sistema disattivato.
La pulizia degli ADS con hijackthis non è stata possibile per via del sistema NFTS non riconosciuto (vedi bitmap).
Svuotata la cartella Prefetch.
Eseguite le operazioni suggerite con Ccleaner e Prevx csi.

Scusa per il link hijackthis di prima.. la fretta!

Allego, come richiesto, i link per report hijackthis e prevx csi.

Fammi sapere se (come sembra) è tutto ok. Per ora.. voglio ringraziarti per la tua competenza e professionalità con cui hai gestito le operazioni di aiuto "a distanza"

[xcdegasp]

modificato il titolo..

[murack83pa]

Quote:

Originariamente inviato da pollione

Ripristino config sistema disattivato.
La pulizia degli ADS con hijackthis non è stata possibile per via del sistema NFTS non riconosciuto (vedi bitmap).
Svuotata la cartella Prefetch.
Eseguite le operazioni suggerite con Ccleaner e Prevx csi.

Scusa per il link hijackthis di prima.. la fretta!

Allego, come richiesto, i link per report hijackthis e prevx csi.

Fammi sapere se (come sembra) è tutto ok. Per ora.. voglio ringraziarti per la tua competenza e professionalità con cui hai gestito le operazioni di aiuto "a distanza"

mi dispiace, ma nn abbiamo ancora finito:

1- PREVX CSI rileva questo dialer:

Quote:

C:\Documents and Settings\Gian Marco\Desktop\PRT.exe

lo conosci? forse si riferisce ad un software: "PC Spy"

2-HIJACKTHIS rileva questa voce (trojan):

Quote:

O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll

la devi fixare, e poi prova a cercare questo file in system32 (abilitando i file nascosti) e vedi se c'è ancora o se riesci ad eliminarla...

ricapitolando:
mi devi dire se conosci quel file
devi fixare quella voce e poi la elimini manualmente
nuova scansione e log di hijackthis

[pollione]

Murack volevo confermarti il corretto funzionamento della macchina.

Il cambio rapido utente ha ripreso a funzionare normalmente.

Ho notato nel report di prevx csi una presenza sospetta relativa al Perlovga Removal Tool presente sul desktop.. strano, l'ho scaricato da un indirizzo "sicuro" qualche tempo fa

http://www.softpedia.com/get/Securit...val-Tool.shtml

per rimuovere un virus preso da una chiavetta.

A proposito di chiavetta: credi che il trojan sia migrato dalle due chiavette che ogni giorno passano tra una decina di computer, tra un ufficio e l'altro? Non le ho ancora collegate al pc.. per timore di ritrovarmi il trojan per i piedi. Qualche consiglio sul da farsi??

Grazie, come sempre.

[murack83pa]

Quote:

Originariamente inviato da pollione

Murack volevo confermarti il corretto funzionamento della macchina.

Il cambio rapido utente ha ripreso a funzionare normalmente.

Ho notato nel report di prevx csi una presenza sospetta relativa al Perlovga Removal Tool presente sul desktop.. strano, l'ho scaricato da un indirizzo "sicuro" qualche tempo fa

http://www.softpedia.com/get/Securit...val-Tool.shtml

per rimuovere un virus preso da una chiavetta.

A proposito di chiavetta: credi che il trojan sia migrato dalle due chiavette che ogni giorno passano tra una decina di computer, tra un ufficio e l'altro? Non le ho ancora collegate al pc.. per timore di ritrovarmi il trojan per i piedi. Qualche consiglio sul da farsi??

Grazie, come sempre.

ok, nn conosco la bontà di questo tool, ma se è un tool leggittimo, è normale che programmi di sicurezza a sua volta lo reputano malevolo...se è un tool affidabile....

fixa quella voce e dimmi se sei riuscita ad eliminarla
fai un nuovo giro con hijackthis e posta qui il log

[pollione]

Allora:
1.cancellato PRT (non si sa mai..)
2.fixata voce C:\WINDOWS\SYSTEM32\fsmgmt.dll
3. eliminata voce #2.
4. giro panoramico con hijackthis
5. report

Fammi sapere se abbiamo altro da cuocere..

PS: per le chiavette infette che facciamo?

[murack83pa]

Quote:

Originariamente inviato da pollione

....

sembra che c siamo, tutto pulito, riscontri ancora problemi?

fixa queste voci, cosi rendiamo l'avvio piu veloce (nn ti preoccupare di quello che c'è scritto: i programmi continueranno a funzionare).

Quote:

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] c:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?

è chiaro che se vuoi che alcuni di questi programmi partano all'avvio con windows, nn fixare la corrispondente voce

sicuramente, devi assolutamente fare i seguenti aggiornamenti di sicurezza:

1-devi aggiornare internet explorer all'ultima versione, DOWNLOAD

2-devi assolutamente aggiornare JAVA :http://www.java.com/it/

infine, un ultimo consiglio: hai almeno 2 toolbar installati... a parte la loro discutibile utilità, sono portatori sani di malware, quindi eliminali

[pollione]

Quote:

Originariamente inviato da murack83pa

sembra che c siamo, tutto pulito, riscontri ancora problemi?

Ho fixato quanto mi hai suggerito, la macchina è tornata in forma, grazie, sei stato bravissimo murack! complimenti

Un ultima cosa:
ho aggiornato JAVA e.. anziché aggiornare Explorer alla 7, sarei intenzionato a passare ad un browser alternativo, come quello suggerito da river nel tuo precedente #2. Che ne dici? E se disinstallassi anche NAV.. (lo so, era ora..) mi sapresti dire se ANTIVIR PE FREE possiede antispam?

[xcdegasp]

il free (ossia Antivir Classic) non lo so ma il Antivir Premium Edition (20€ all'anno) ha il mailguard..
molti filtri antispam sono gratuiti e dovrebebro fornirteli il gestore dell'account

[murack83pa]

Quote:

Originariamente inviato da pollione

Ho fixato quanto mi hai suggerito, la macchina è tornata in forma, grazie, sei stato bravissimo murack! complimenti

Un ultima cosa:
ho aggiornato JAVA e.. anziché aggiornare Explorer alla 7, sarei intenzionato a passare ad un browser alternativo, come quello suggerito da river nel tuo precedente #2. Che ne dici? E se disinstallassi anche NAV.. (lo so, era ora..) mi sapresti dire se ANTIVIR PE FREE possiede antispam?

fai bene a passare ad un broser alternativo

xò è anche vero che ti conviene aggiornare internet explorer....ti puo sempre servire.....e poi è gratuito

ottima scelta avira antivir..guardare giu la mia firma

ciao ciao