Problemi con trojan (Win XP)

karim1 · 11-03-2009, 19:20

Ciao, mi stanno arrivando diversi avvisi di trojan ed altre minacce da diversi antivirus: AVG e Pc tools Spyware Doctor.
Io gli elimino quando posso ma mi da spesso altri avvisi come il file svchost.exe o altri file soprattutto del sistema.
Non so più che fare, ho provato ad usare il ripristino configurazione di sistema di 4 giorni fa ma non funziona, mi dice errore e questo non è un buon segno.
Ho provato anche a fare uno scan con Hijackthis ma non so leggere bene i risultati e temo di poter eliminare le cose sbagliate. Se lo volete vedere chiedetemi.
Potreste aiutarmi p.f.?

wjmat · 11-03-2009, 20:05

Ciao

segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse effettua prima una scansione con il rescue cd di Kaspersky o di Avira per fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM
Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto
Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione
Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link caricamento log generici ► fileqube.com ■ wikisend.com ■ mediafire.com
link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us

karim1 · 12-03-2009, 21:09

Ecco la maggior parte dei log:

Malwarebytes:

Malwareb

ytes.txt
Questa era la prima scansione veloce.

mbam-log-2009-03-11 (22-40-35).txt
E questa quella completa.

quarantine.tx

t

Poi quella di A-Squared:
quarantine.tx

t

Quella di Dr.Web:
DrWeb.csv

Quella di SysInspector:
SysInspector Log.xml

F Secure:
F-Secure

Log.txt

Hijackthis:
hijackthis

Log.txt

E PrevXCSI:

questa quella fatta all'inizio:
PrevxCSI.log

E questa alla fine:
PrevX LOG

0.log

wjmat · 12-03-2009, 21:16

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (

)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Codice:

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

manca il log di gmer ma per il resto mi sembra tutto ok, confermi?

karim1 · 12-03-2009, 22:00

Con Hijackthis ho eliminato le tre stringhe, grazie.
Mi potresti suggerire quali stringe 04 eliminare per un avvio più veloce?
Per gmer invece, come faccio ad ottenere il log?

wjmat · 12-03-2009, 22:31

non ho visto nulla di particolare da farti fizare altrimenti l'avrei già fatto

se non hai altri problemi ti consiglio il trattamento in firma per consigli vari
tra cui aggiornare ie alla versione 7

**Chill-Out** · 12-03-2009, 22:39

Quote:

Originariamente inviato da karim1

Con Hijackthis ho eliminato le tre stringhe, grazie.
Mi potresti suggerire quali stringe 04 eliminare per un avvio più veloce?
Per gmer invece, come faccio ad ottenere il log?

E' importante vedere il log di Gmer quindi:

Quote:

Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

karim1 · 13-03-2009, 11:18

Ecco il Log di Gmer:

Gmer LOG.txt

**Chill-Out** · 13-03-2009, 11:27

Quote:

Originariamente inviato da karim1

Ecco il Log di Gmer:

Gmer LOG.txt

Ok

karim1 · 15-03-2009, 11:32

Ho fatto un altro scan con MalwareBytes e mi ha trovato diverse cose.
MalwareBytes LOG.txt

Cosa ne dite? Adesso è pulito o c'è ancora qualche rischio?

**Chill-Out** · 15-03-2009, 11:48

Tuo log di MBAM del 11.03.09

Quote:

Malwarebytes' Anti-Malware 1.34
Versione del database: 1836
Windows 5.1.2600 Service Pack 3

11.03.2009 22:40:35
mbam-log-2009-03-11 (22-40-35).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 155000
Tempo trascorso: 1 hour(s), 7 minute(s), 10 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

confrontandolo con il log adesso allegato si evince che ti sei reinfettato

11-03-2009, 19:20	#1
karim1 Junior Member Iscritto dal: Mar 2009 Messaggi: 5	Problemi con trojan (Win XP) Ciao, mi stanno arrivando diversi avvisi di trojan ed altre minacce da diversi antivirus: AVG e Pc tools Spyware Doctor. Io gli elimino quando posso ma mi da spesso altri avvisi come il file svchost.exe o altri file soprattutto del sistema. Non so più che fare, ho provato ad usare il ripristino configurazione di sistema di 4 giorni fa ma non funziona, mi dice errore e questo non è un buon segno. Ho provato anche a fare uno scan con Hijackthis ma non so leggere bene i risultati e temo di poter eliminare le cose sbagliate. Se lo volete vedere chiedetemi. Potreste aiutarmi p.f.?

11-03-2009, 20:05	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi. Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse effettua prima una scansione con il rescue cd di Kaspersky o di Avira per fare una pulizia preliminare. In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni. Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo... link caricamento log generici ► fileqube.com ■ wikisend.com ■ mediafire.com link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

12-03-2009, 21:09	#3
karim1 Junior Member Iscritto dal: Mar 2009 Messaggi: 5	Log Ecco la maggior parte dei log: Malwarebytes: Malwareb ytes.txt Questa era la prima scansione veloce. mbam-log-2009-03-11 (22-40-35).txt E questa quella completa. quarantine.tx t Poi quella di A-Squared: quarantine.tx t Quella di Dr.Web: DrWeb.csv Quella di SysInspector: SysInspector Log.xml F Secure: F-Secure Log.txt Hijackthis: hijackthis Log.txt E PrevXCSI: questa quella fatta all'inizio: PrevxCSI.log E questa alla fine: PrevX LOG 0.log

12-03-2009, 21:16	#4
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio () _______________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Codice: O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab manca il log di gmer ma per il resto mi sembra tutto ok, confermi? __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

12-03-2009, 22:31	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	non ho visto nulla di particolare da farti fizare altrimenti l'avrei già fatto se non hai altri problemi ti consiglio il trattamento in firma per consigli vari tra cui aggiornare ie alla versione 7 __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

12-03-2009, 22:00	#5
karim1 Junior Member Iscritto dal: Mar 2009 Messaggi: 5	Con Hijackthis ho eliminato le tre stringhe, grazie. Mi potresti suggerire quali stringe 04 eliminare per un avvio più veloce? Per gmer invece, come faccio ad ottenere il log?

13-03-2009, 11:18	#8
karim1 Junior Member Iscritto dal: Mar 2009 Messaggi: 5	Ecco il Log di Gmer: Gmer LOG.txt

15-03-2009, 11:32	#10
karim1 Junior Member Iscritto dal: Mar 2009 Messaggi: 5	Ho fatto un altro scan con MalwareBytes e mi ha trovato diverse cose. MalwareBytes LOG.txt Cosa ne dite? Adesso è pulito o c'è ancora qualche rischio?

Strumenti
Mostra una versione stampabile Invia questa pagina per email