Rimozione trojan Nobicyt.exe

[VegetaSSJ5]

Ultimamente il pc si comporta in modo strano, alcune applicazioni mi crashano e il sistema è anche un po' più lento. Inoltre ogni tanto mi appaiono delle finestre di errore che non avevo mai visto prima, quindi suppongo si tratti di finestre causate da qualche trojan, virus o cose del genere.

Ho letto ed effettuato le scansioni necessarie secondo la guida ufficiale, questi sono i log:

1- Asquared -> http://pastebin.com/m46ffb46
2- Kaspersky -> http://pastebin.com/mc45a5d5
3- Dr.Web cure it -> LOG VUOTO!
4- HiJackThis -> http://pastebin.com/m429fb702
5- Gmer -> http://pastebin.com/m30ab2374

Che dite me ne sono liberato o ancora c'è da combatterci?
Grazie

[wjmat]

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O20 - AppInit_DLLs: C:\WINDOWS\system32\rserver30\newtstop.dll
O20 - Winlogon Notify: cbXQkjIb - cbXQkjIb.dll (file missing)
O20 - Winlogon Notify: winmxw32 - winmxw32.dll (file missing)
O23 - Service: perfmons - Unknown owner - C:\WINDOWS\system32\perfs.exe

Fai start →Esegui → digita

Codice:

sc stop perfmons (invio)
sc delete perfmons (invio)

carica anche i log mancanti

[VegetaSSJ5]

eccomi di nuovo qui...
innanzitutto grazie per l'intervento. ho fatto ciò che mi hai detto, riavviato il pc e rilanciato una scansione di hijackthis e a quanto pare i risultati non sono affatto confortanti...
ecco il log. ma di che virus/trojan/rompip@lle si tratta?!?

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.35.10, on 22/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\system32\afinding.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\is-GVF4F\is-GVF4F.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\perfs.exe
C:\WINDOWS\system32\routing.exe
C:\Programmi\Windows Live\Mail\wlmail.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wserving.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Armando\Desktop\remove virus\6- HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B42F493E-6960-4A1D-AC36-22F377C4314C}: NameServer = 192.168.0.1
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AFinding  Service (AFinding) - Unknown owner - C:\WINDOWS\system32\afinding.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: is-GVF4F - Kaspersky Lab - C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\is-GVF4F\is-GVF4F.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
O23 - Service: perfmons - Unknown owner - C:\WINDOWS\system32\perfs.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32\routing.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\WINDOWS\system32\wserving.exe

--
End of file - 4594 bytes

[Chill-Out]

Esegui HijackThis - clicca su Do a system scan only e metti il segno di spunta nella casella bianc a sx delle sotto indicate voci:

Quote:

O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\WINDOWS\system32\afinding.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
O23 - Service: perfmons - Unknown owner - C:\WINDOWS\system32\perfs.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32\routing.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\WINDOWS\system32\wserving.exe

clicca su Fix checked


Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Quote:

Files to delete:
C:\WINDOWS\system32\afinding.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\perfs.exe
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\wserving.exe

clicca su execute e poi su Ok al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente, allega il log che trovi in C:\Avenger.txt

Poi fai girare DrWeb CureIt nota bene scansione completa



Riepilogo log da allegare
Nuovo log HijackThis
Avenger
CureIt
Prevx CSI

Mi dici dov'è il tuo antivirus e firewall???? Inoltre durante la procedura di disinfezione cerca di rimanere disconnesso da Internet sei pieno di Trojan Downloader

[VegetaSSJ5]

ragazzi basta così evitiamo l'accanimento terapeutico....

formatto e non se ne parla più.... ora faccio un backup di quello che mi serve, mi preparo una copia di xp con nlite e reinstallo il sistema operativo... uff che palle....


P.S.
Chill-Out cmq io non ho (non ho mai avuto e non lo avrò mai) un antivirus.

[Gle89]

Quote:

Originariamente inviato da VegetaSSJ5

ragazzi basta così evitiamo l'accanimento terapeutico....

formatto e non se ne parla più....

non mi sembra accanimento terapeutico ma solo delle normali fasi per la pulizia del tuo pc Non mi sembra poi cosi tanto difficile e tanto lungo

Quote:

Chill-Out cmq io non ho (non ho mai avuto e non lo avrò mai) un antivirus.

Scusa se te lo dico ma fai di molto male a non avere un antivirus,poi ci credo che ti infetti! Posso sapere quale è il motivo del perchè non tieni un antivirus?

[VegetaSSJ5]

Quote:

Originariamente inviato da Gle89

non mi sembra accanimento terapeutico ma solo delle normali fasi per la pulizia del tuo pc Non mi sembra poi cosi tanto difficile e tanto lungo

guarda probabilmente è un buon motivo per cogliere l'occasione per formattare. ho usato questo pc per installare/disinstallare di tutto e questa installazione di windows dura ormai da fine 2007. gentoo non l'avrei mai formattata (la sua unica installazione mi è durata 2 anni ) ma xp probabilmente è meglio piallarlo.

Quote:

Originariamente inviato da Gle89

Scusa se te lo dico ma fai di molto male a non avere un antivirus,poi ci credo che ti infetti! Posso sapere quale è il motivo del perchè non tieni un antivirus?

mai usato perchè non mi è mai servito. non mi sono mai infettato, a parte una volta col vundo. e cmq diciamo che me la sono andata a cercare, ho scaricato certa robaccia dal p2p ultimamente...

[wjmat]

Quote:

Originariamente inviato da VegetaSSJ5

guarda probabilmente è un buon motivo per cogliere l'occasione per formattare. ho usato questo pc per installare/disinstallare di tutto e questa installazione di windows dura ormai da fine 2007. gentoo non l'avrei mai formattata (la sua unica installazione mi è durata 2 anni ) ma xp probabilmente è meglio piallarlo.

mai usato perchè non mi è mai servito. non mi sono mai infettato, a parte una volta col vundo. e cmq diciamo che me la sono andata a cercare, ho scaricato certa robaccia dal p2p ultimamente...

se devi "testare" tanti programmi/giochi puoi farlo su un disco virtuale, con sandbox o returnil in modo da non appesantire il sistema base

anche senza navigare o fare cose strane ci si può infettare... basta la chiavetta infetta dell'amica svampita....
poi c'è l'ottimo e free antivir... perchè farsi i problemi

[Chill-Out]

Quote:

Originariamente inviato da VegetaSSJ5

ragazzi basta così evitiamo l'accanimento terapeutico....

formatto e non se ne parla più.... ora faccio un backup di quello che mi serve, mi preparo una copia di xp con nlite e reinstallo il sistema operativo... uff che palle....


P.S.
Chill-Out cmq io non ho (non ho mai avuto e non lo avrò mai) un antivirus.

Contento tu = Contento io