Trojan horse downloader

[palimmo]

Antivirus avg 6.0 mi avverte di questo virus, ma poi nella scansione non lo trova.......

Penso sia un cavallo di troia, anche perchè mi sconnette e tenta di collegarmi a siti a pagamento (eludendo digisoft antidialer....)
Ho provato a2 e spyhunter ma nulla da fare....non lo trovano........


Che fare?????

[Jaguar64bit]

Disinstalla Avg.... installa Avast! , e vedi che te ne liberi.

[palimmo]

Quote:

Originariamente inviato da Jaguar64bit
Disinstalla Avg.... installa Avast! , e vedi che te ne liberi.

ma è gratuito come avg? avg mi piaceva anche perchè si aggiorna molto semplicemente..... avast com'è (e che versione mi consigli)?

[Jaguar64bit]

Quote:

Originariamente inviato da palimmo
ma è gratuito come avg? avg mi piaceva anche perchè si aggiorna molto semplicemente..... avast com'è (e che versione mi consigli)?

www.avast.com la versione Home in italiano e' gratuita , devi lasciare i dati e la mail e ti spediscono gratuitamente un codice che ti da la licenza x 14 mesi , gli aggiornamenti sono fatti benissimo sia automatici che manuali.

[palimmo]

Quote:

Originariamente inviato da palimmo
Antivirus avg 6.0 mi avverte di questo virus, ma poi nella scansione non lo trova.......

Penso sia un cavallo di troia, anche perchè mi sconnette e tenta di collegarmi a siti a pagamento (eludendo digisoft antidialer....)
Ho provato a2 e spyhunter ma nulla da fare....non lo trovano........


Che fare?????

installatto avast... ma il problema persiste.
posto il log di hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 18.36.18, on 22/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programmi\Avast4\aswUpdSv.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programmi\Logitech\iTouch\iTouch.exe
D:\Programmi\Avast4\ashServ.exe
D:\Programmi\Free Surfer\fs20.exe
D:\PROGRA~1\Avast4\ashDisp.exe
D:\PROGRA~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
D:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
c:\programmi\internet explorer\iexplore.exe
D:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\TAMBUR~1\IMPOST~1\Temp\Rar$EX00.485\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hkcu
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [freesurfer] D:\Programmi\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] D:\PROGRA~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [browser] C:\WINDOWS\daemon.exe /i aolnc
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Digisoft AntiDialer.lnk = D:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - D:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: Free Surfer (HKLM)
O9 - Extra 'Tools' menuitem: Free Surfer (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {FFFF0029-0001-101A-A3C9-08002B2F49FB} - http://www.appunti.per-studenti.com/8ALL147.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C7042EB-8732-460A-ACAD-0A7AA948A28F}: NameServer = 212.245.255.2

[requiem70]

prova il kav 5.

[wgator]

Ciao,

sospetto fortemente questa cosa:
O4 - HKLM\..\Run: [freesurfer] D:\Programmi\Free Surfer\fs20.exe

Aspetta conferme, mi raccomando ma secondo me è porcheria e va eliminata

[MrOZ]

Prova in sequenza: CWShredder, spybot 1.3 e adaware6 e poi riposta un nuovo log di hijackthis.

[MrOZ]

PS: palimmo ma hai postato lo stesso log in 2 3d differenti????

[palimmo]

Quote:

Originariamente inviato da wgator
Ciao,

sospetto fortemente questa cosa:
O4 - HKLM\..\Run: [freesurfer] D:\Programmi\Free Surfer\fs20.exe

Aspetta conferme, mi raccomando ma secondo me è porcheria e va eliminata

free surfer è un'utility che non fa aprire le finestre pop up.
E' già da un pò che ce l'ho, finora non mi aveva recato danni..... non penso sia ciò......

[palimmo]

Quote:

Originariamente inviato da MrOZ
Prova in sequenza: CWShredder, spybot 1.3 e adaware6 e poi riposta un nuovo log di hijackthis.

allora, ho provato con cwshredder 10 minuti fa e mi ha corretto qualcosa.... per ora tutto ok....
se ho problemi ti posto ancora il log hijackthis, ok?

[wgator]

Quote:

Originariamente inviato da palimmo
free surfer è un'utility che non fa aprire le finestre pop up.
E' già da un pò che ce l'ho, finora non mi aveva recato danni..... non penso sia ciò......

Ciao,

si mi sono documentato, non lo conoscevo

grazie x la precisazione

[palimmo]

Quote:

Originariamente inviato da MrOZ
Prova in sequenza: CWShredder, spybot 1.3 e adaware6 e poi riposta un nuovo log di hijackthis.

sono connesso da 23 minuti e il problema non è ancora sorto.... FORSE posso cantar vittoria.......
ti farò sapere come va

comunque, in futuro come potrò evitare questi imprevisti di "intrusi" o che sia....????

[Dandrake]

CIAO RAGAZZI!

Oggi è la seconda volta che il NOD32 affaccia segnalandomi un file dentro la cartella System Volume Information (la prima volta però l'ha trovato dentro c:\programmi con il seguente virus

TroianDownloader.Small.FO

Chiaramente riesco a metterlo in quarantena...ma oggi pomeriggio facendo la scansione completa non me l'aveva rilevato!

Palmino...dici che sia lo stesso?

[palimmo]

Quote:

Originariamente inviato da Dandrake
CIAO RAGAZZI!

Oggi è la seconda volta che il NOD32 affaccia segnalandomi un file dentro la cartella System Volume Information (la prima volta però l'ha trovato dentro c:\programmi con il seguente virus

TroianDownloader.Small.FO

Chiaramente riesco a metterlo in quarantena...ma oggi pomeriggio facendo la scansione completa non me l'aveva rilevato!

Palmino...dici che sia lo stesso?

a me avg6 (che ora ho sostituito con avast4....) indicava la presenza di un virus nominato trojan horse downloader.small.5.z.
Da quel momento la connessione mi saltava e il pc tentava di collegarsi (presumo) ad un numero a pagamento....
comunque non so dirti per certo se fosse proprio quel virus a recarmi quel problema....boh
spero adesso di averlo risolto..........

[Dandrake]

Non ho trovato nulla con questi "CWShredder, spybot 1.3 e adaware6 "...

Help!
Ho messo su internet il nome di questo Trojan....e l'ho trovato, ma solo in un elenco!! Nessuno ne parla!
Sul sito della Symantec sembra non comparire...

[MrOZ]

fai uno scan con hijackthis, salva il log e copia-incollalo qui.

ciao.

[Dandrake]

Ok...ora lo faccio! Intanto ti ho inviato l'e-mail con il file...

[Dandrake]

Ecco il risultato del log!


Logfile of HijackThis v1.97.7
Scan saved at 12.49.26, on 25/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\Executive Software\Diskeeper\DkService.exe
D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
D:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\MegaTec\UPSilon 2000\Rupsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
D:\Programmi\Eset\nod32kui.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\MegaTec\UPSilon 2000\Monw32.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Real\Update_OB\realevent.exe
C:\Programmi\Outlook Express\msimn.exe
C:\tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/broadband/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = InterNient Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] D:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programmi\RivaTuner\RivaTuner.exe" /S
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Rupsmon Daemon.lnk = C:\Programmi\MegaTec\UPSilon 2000\Monw32.exe
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...ctor/swdir.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE0EE8FC-4241-4A74-994E-2EA23A86822F}: NameServer = 193.70.192.25 193.70.152.25

[palimmo]

Quote:

Originariamente inviato da MrOZ
fai uno scan con hijackthis, salva il log e copia-incollalo qui.

ciao.

Io colgo l'occasione x ringraziarti MrOZ, penso proprio di aver risolto il problema (grazie a CWshredder a quanto pare).
Scusami ancora per la scorrettezza nel postare il log in più thread.

grazie!