troyan-downloader.win32.swizzor.cg

[Davidman]

Mi sono beccato sto troyan, sul web non c'è quasi niente a riguardo, qualcuno sa aiutarmi?
Programmi installati di recente (prima di beccare sto troyan): Messenger plus e Tuneup Utilities 2004, per il resto navigazione tranquilla (no siti pericolosi).
I software di sicurezza che uso sono:
Antivirus:Kaspersky
Firewall:Sygate
Antispyware: adaware e spybot
nessun'altra indicazione su cosa possa aver causato l'infezione.
Aggiornamenti costanti di Windows ma non ho installato il SP2.

[ring]

Prova a postare il log di hijackthis

[Davidman]

Quote:

Originariamente inviato da ring
Prova a postare il log di hijackthis

In italiano non ho trovato nulla su sto swizzor, dai vari forum mondiali ho dedotto che effettivamente è messenger plus la causa, non installatelo!!!
Penso di essere riuscito a rimuoverlo, ecco cosa ho fatto:
dopo aver scansionato con Kaspersky nonostante lo avessi eliminato il troyandownloader ricompariva.
Non ho potuto scansionare da modalità provvisoria perchè stranamente il mio note non me la caricava.
Dopo aver esaminato online il log di hijackthis ho eliminato un paio di righe sospette che non ricordavo di avere mai avuto.
Il vecchio log di hijackthis purtroppo l'ho sovrascritto con quello buono (spero) ovvero il seguente:

Logfile of HijackThis v1.98.2
Scan saved at 11.22.29, on 16/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Dell\QuickSet\Quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Angy\Documenti\My Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .NPSSView: C:\Programmi\Seagate Software\Viewers\ActiveXViewer\NPssView.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094080488836
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

ho segnato in rosso le righe segnalate cmq come sospette ma che non ho cancellato perchè non ne conosco la funzione. Se sapete che sono dannosi avvertitemi please!

Adaware e Spybot sono impotenti, dopo aver eliminato definitivamente la cartella di messenger plus ho riscansionato con Kaspersky e rieliminato il file, ririscansionato e ora sembra che non ci sia più.
Ho anche fatto una scansione online con Panda Titanium e non mi ha trovato nulla

Spero che la mia esperienza possa essere di aiuto a qualcuno anche se inspiegabilmente il tasto cerca sul forum non mi restituisce nessun risultato se scrivo swizzor (nemmeno il mio post)!
Ora o mi sono rinco io o il cerca non funziona a dovere.
Prego qualche mod di verificare .

Spero che sto maledetto sia morto definitivamente!

Ciao a tutti!

[ring]

Il tuo log sembra a posto.
Sono contento che tu abbia risolto.
Ciao