aiuto,un cavallo di troia!!!ke faccio!

acidcool1980 · 11-10-2004, 00:02

VI PREGO AIUTATEMI!!ho nod32 ke mi rileva un cavallo di troia denominato win32/wootbot.NBJ,mi dice che e' nella memoria operativa:in effetti ha colpito un file .exe di system32: svhosint32.exe.inoltre dice che alle infezioni nella memoria non puo' essere applicata nessuna azione!!e ke faccio?per adesso l ho messo in quarantena ma nn riesco a disinfettarlo!!ho avuto il computer in palla per settimane,l ho riformattato ma mi dava sempre problemi,pensavo fosse un problema di hardware,ma oggi l ho riformattato nuovamente e ho provato a cambiare antivirus mettendo appunto nod32: appena ho fatto una scansione mi ha rilevato questo cavallo di troia!quindi mi e' venuto il dubbio ke qualcuno mi mandasse un virus appena riformattavo tutto, premetto ke ho fastweb quindi sono online appena accendo il computer!!!
vi prego aiutatemi a trovare una soluzione,almeno riesco a capire se tutti i miei problemi sono dovuti a un virus o ho veramente a problemi di hardware!!!

PinHead · 11-10-2004, 00:23

Episodio singolare il tuo...a quanto pare questo Trojan è conosciuto solo dal Nod32...sinceramente non saprei come comportarmi...

Plug & Pray! · 11-10-2004, 08:24

Non so se è quello che penso io, nel caso sappimi dire se trovi da qualche parte, nel tuo pc, questo file "videosd32.exe"

acidcool1980 · 11-10-2004, 19:24

no,quel file che dici nn e' presente sul mio pc.sai piu' o meno come aiutarmi?almeno se lo conosci mi dici cosa fa?dato che ultimamente ho avuto un casino di problemi col computer almeno capisco se dipendeva da lui!

wgator · 11-10-2004, 21:48

Quote:

Originariamente inviato da acidcool1980
VI PREGO AIUTATEMI!!ho nod32 ke mi rileva un cavallo di troia denominato win32/wootbot.NBJ,mi dice che e' nella memoria operativa: in effetti ha colpito un file .exe di system32: svhosint32.exe

Ciao,

il trojan è proprio lui: svhosint32.exe

Dovresti localizzarlo e cancellarlo. Se non si lascia cancellare, prima lo termini col task manager poi lo cancelli. Altrimenti lo puoi cancellare avviando in modalità provvisoria (F8 all'avvio)

Sono comunque convinto che quel file abbia anche degli amichetti perciò ti consiglio di allegare il log di hijackthis

acidcool1980 · 11-10-2004, 21:58

ma come cancellarlo?!nn e' un file del sistema!nod32 mi dice ke nn e' possibile disinfettare un file di memoria,pero' mi da' la possibilita' di cancellarlo:ke faccio?poi in che senso devo allegare il log....potresti spiegarmi meglio?grazie

acidcool1980 · 11-10-2004, 22:21

ah ho capito cosa intendi per allegare il log.fatto lo scan,ti posto il log,cosi' vedi se sai dirmi qualcosa in piu'!

Logfile of HijackThis v1.98.2
Scan saved at 22.04.04, on 11/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\nmsvc32.exe
C:\dipset.exe
C:\WINDOWS\System32\mswin32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Michele\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Windows System32 Service Manager] nmsvc32.exe
O4 - HKLM\..\Run: [Win32 Usb Driver] svhosint32.exe
O4 - HKLM\..\Run: [Printer] C:\dipset.exe
O4 - HKLM\..\Run: [Microsoft Update Service] mswin32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Windows System32 Service Manager] nmsvc32.exe
O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Service] mswin32.exe
O4 - HKLM\..\RunOnce: [Win32 Usb Driver] svhosint32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 Usb Driver] svhosint32.exe

eraser · 11-10-2004, 22:28

prima di cancellarlo mandalo pure a [email protected]

Jaguar64bit · 11-10-2004, 22:36

Installati il Kav che i trojani

se li pappa tutti.

wgator · 11-10-2004, 23:08

Ciao,

cerca e cancella:

- svhosint32.exe

- C:\WINDOWS\System32\nmsvc32.exe

- C:\WINDOWS\System32\mswin32.exe

Poi, tramite hijackthis, metti la spunta su queste voci e premi FIX:

O4 - HKLM\..\Run: [Windows System32 Service Manager] nmsvc32.exe
O4 - HKLM\..\Run: [Win32 Usb Driver] svhosint32.exe
O4 - HKLM\..\Run: [Microsoft Update Service] mswin32.exe
O4 - HKLM\..\RunServices: [Windows System32 Service Manager] nmsvc32.exe
O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Service] mswin32.exe
O4 - HKLM\..\RunOnce: [Win32 Usb Driver] svhosint32.exe
O4 - HKCU\..\Run: [Win32 Usb Driver] svhosint32.exe

Cerca di capire cos'è questo:

C:\dipset.exe
O4 - HKLM\..\Run: [Printer] C:\dipset.exe

Se non sai di cosa si tratta, elimina!

Come al solito: attiva visualizzazione di file e cartelle nascoste, cancella i file temporanei e i temp di Internet e disattiva il system restore

acidcool1980 · 11-10-2004, 23:52

ho provato a installare kasper ke mi ha rilevato altri file infetti che nod32 nn rilevava!!
ho eliminato svhosint32.exe come hai detto tu (solo che mi e' uscito un errore al riavvio,mi dice che manca appunto questo file,nn fa niente?).appena ho installato kasper mi rilevava di continuo file infetti (tra cui dipset.exe ,ho notato ke e' un file ke mi riappare da solo,anke dopo che lo cancello,poi altri file tipo abc.exe).dopo un po' nn mi e' apparso piu' niente,ho fatto con kasper la scansione e nn mi ha dato nessun file infetto....boh!!ke ne dici?
ho fatto come tu hai detto per i fix,ho rifatto lo scan ed ho ottenuto questo,vedi se cosi' va bene!

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Michele\Impostazioni locali\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

wgator · 12-10-2004, 09:03

Ciao,

il log è pulito. Hai ancora il messaggio di errore all'avvio?

Se ti da ancora l'errore forse c'è qualche chiave "RUN" nel registro che lo richiama (dal log però non si vede)

Fammi sapere, vediamo come toglierla

acidcool1980 · 13-10-2004, 18:42

no nn mi da' l errore all avvio!!mitico!grande!grazie!
speriamo che si sia sistemato tutto!!!certo che era un virus bastardino!stavo quasi per spendere centinaia di euro per cambiare pezzi hardware!!!
ma secondo te e' possibile che dopo aver riformattato tutto,appena collegavo il cavo di rete(ho fastweb e sono sempre online) mi riattaccava lo stesso virus?
che programmi mi consigli di avere per stare al sicuro per tutto?

11-10-2004, 00:02	#1
acidcool1980 Member Iscritto dal: Oct 2004 Messaggi: 143	aiuto,un cavallo di troia!!!ke faccio! VI PREGO AIUTATEMI!!ho nod32 ke mi rileva un cavallo di troia denominato win32/wootbot.NBJ,mi dice che e' nella memoria operativa:in effetti ha colpito un file .exe di system32: svhosint32.exe.inoltre dice che alle infezioni nella memoria non puo' essere applicata nessuna azione!!e ke faccio?per adesso l ho messo in quarantena ma nn riesco a disinfettarlo!!ho avuto il computer in palla per settimane,l ho riformattato ma mi dava sempre problemi,pensavo fosse un problema di hardware,ma oggi l ho riformattato nuovamente e ho provato a cambiare antivirus mettendo appunto nod32: appena ho fatto una scansione mi ha rilevato questo cavallo di troia!quindi mi e' venuto il dubbio ke qualcuno mi mandasse un virus appena riformattavo tutto, premetto ke ho fastweb quindi sono online appena accendo il computer!!! vi prego aiutatemi a trovare una soluzione,almeno riesco a capire se tutti i miei problemi sono dovuti a un virus o ho veramente a problemi di hardware!!!

11-10-2004, 08:24	#3
Plug & Pray! Member Iscritto dal: Aug 2001 Messaggi: 158	Non so se è quello che penso io, nel caso sappimi dire se trovi da qualche parte, nel tuo pc, questo file "videosd32.exe" __________________ Alim 300W,MB Asus A7M266,CPU amd 1200 fsb266,Ram samsung 256DDR,HD Maxtor 80Gb,Skaudio SBlaster5.1+casseDTT2200,Sk video Asus V8200Deluxe,DVD panasonic 16x48x,Plex W2410TA.

11-10-2004, 21:58	#6
acidcool1980 Member Iscritto dal: Oct 2004 Messaggi: 143	ma come cancellarlo?!nn e' un file del sistema!nod32 mi dice ke nn e' possibile disinfettare un file di memoria,pero' mi da' la possibilita' di cancellarlo:ke faccio?poi in che senso devo allegare il log....potresti spiegarmi meglio?grazie Ultima modifica di acidcool1980 : 11-10-2004 alle 22:06.

11-10-2004, 23:08	#10
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, cerca e cancella: - svhosint32.exe - C:\WINDOWS\System32\nmsvc32.exe - C:\WINDOWS\System32\mswin32.exe Poi, tramite hijackthis, metti la spunta su queste voci e premi FIX: O4 - HKLM\..\Run: [Windows System32 Service Manager] nmsvc32.exe O4 - HKLM\..\Run: [Win32 Usb Driver] svhosint32.exe O4 - HKLM\..\Run: [Microsoft Update Service] mswin32.exe O4 - HKLM\..\RunServices: [Windows System32 Service Manager] nmsvc32.exe O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe O4 - HKLM\..\RunServices: [Microsoft Update Service] mswin32.exe O4 - HKLM\..\RunOnce: [Win32 Usb Driver] svhosint32.exe O4 - HKCU\..\Run: [Win32 Usb Driver] svhosint32.exe Cerca di capire cos'è questo: C:\dipset.exe O4 - HKLM\..\Run: [Printer] C:\dipset.exe Se non sai di cosa si tratta, elimina! Come al solito: attiva visualizzazione di file e cartelle nascoste, cancella i file temporanei e i temp di Internet e disattiva il system restore __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

11-10-2004, 23:52	#11
acidcool1980 Member Iscritto dal: Oct 2004 Messaggi: 143	ho provato a installare kasper ke mi ha rilevato altri file infetti che nod32 nn rilevava!! ho eliminato svhosint32.exe come hai detto tu (solo che mi e' uscito un errore al riavvio,mi dice che manca appunto questo file,nn fa niente?).appena ho installato kasper mi rilevava di continuo file infetti (tra cui dipset.exe ,ho notato ke e' un file ke mi riappare da solo,anke dopo che lo cancello,poi altri file tipo abc.exe).dopo un po' nn mi e' apparso piu' niente,ho fatto con kasper la scansione e nn mi ha dato nessun file infetto....boh!!ke ne dici? ho fatto come tu hai detto per i fix,ho rifatto lo scan ed ho ottenuto questo,vedi se cosi' va bene! C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\soundman.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ftp.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Michele\Impostazioni locali\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background Ultima modifica di acidcool1980 : 12-10-2004 alle 00:00.

11-10-2004, 00:23	#2
PinHead Bannato Iscritto dal: Aug 2003 Città: Modena ©2004 Tutti I Diritti Riservati Messaggi: 938	Episodio singolare il tuo...a quanto pare questo Trojan è conosciuto solo dal Nod32...sinceramente non saprei come comportarmi...

11-10-2004, 19:24	#4
acidcool1980 Member Iscritto dal: Oct 2004 Messaggi: 143	no,quel file che dici nn e' presente sul mio pc.sai piu' o meno come aiutarmi?almeno se lo conosci mi dici cosa fa?dato che ultimamente ho avuto un casino di problemi col computer almeno capisco se dipendeva da lui!

11-10-2004, 22:21	#7
acidcool1980 Member Iscritto dal: Oct 2004 Messaggi: 143	ah ho capito cosa intendi per allegare il log.fatto lo scan,ti posto il log,cosi' vedi se sai dirmi qualcosa in piu'! Logfile of HijackThis v1.98.2 Scan saved at 22.04.04, on 11/10/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\soundman.exe C:\WINDOWS\System32\nmsvc32.exe C:\dipset.exe C:\WINDOWS\System32\mswin32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programmi\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Michele\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [Windows System32 Service Manager] nmsvc32.exe O4 - HKLM\..\Run: [Win32 Usb Driver] svhosint32.exe O4 - HKLM\..\Run: [Printer] C:\dipset.exe O4 - HKLM\..\Run: [Microsoft Update Service] mswin32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\RunServices: [Windows System32 Service Manager] nmsvc32.exe O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe O4 - HKLM\..\RunServices: [Microsoft Update Service] mswin32.exe O4 - HKLM\..\RunOnce: [Win32 Usb Driver] svhosint32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Win32 Usb Driver] svhosint32.exe

11-10-2004, 22:28	#8
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	prima di cancellarlo mandalo pure a [email protected]

11-10-2004, 22:36	#9
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8046	Installati il Kav che i trojani se li pappa tutti.

12-10-2004, 09:03	#12
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, il log è pulito. Hai ancora il messaggio di errore all'avvio? Se ti da ancora l'errore forse c'è qualche chiave "RUN" nel registro che lo richiama (dal log però non si vede) Fammi sapere, vediamo come toglierla __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

13-10-2004, 18:42	#13
acidcool1980 Member Iscritto dal: Oct 2004 Messaggi: 143	no nn mi da' l errore all avvio!!mitico!grande!grazie! speriamo che si sia sistemato tutto!!!certo che era un virus bastardino!stavo quasi per spendere centinaia di euro per cambiare pezzi hardware!!! ma secondo te e' possibile che dopo aver riformattato tutto,appena collegavo il cavo di rete(ho fastweb e sono sempre online) mi riattaccava lo stesso virus? che programmi mi consigli di avere per stare al sicuro per tutto?

Strumenti
Mostra una versione stampabile Invia questa pagina per email