trojan horse pokapoka79

[dario81]

ciao ragazzi, l'antivirus ANTIVIR mi ha individuato un trojan horse (pokapoka79.exe) ma non riesce ad eliminarlo !!!

cosa posso fare ??

ps: mi sc@zz@ formattare tutto per un fottuto virus...

[andorra24]

Ciao, prova a fare una scansione con questo: http://www.simplytech.it/ETRemover/ETRemover_v212.zip

[dario81]

Quote:

Originariamente inviato da andorra24

Ciao, prova a fare una scansione con questo: http://www.simplytech.it/ETRemover/ETRemover_v212.zip

anche il tuo programmino ha trovato questo virus...sono uscite fuori delle scritte oscene che non ho ben capito (visto che non me ne intendo molto... )
ti farò poi sapere se sono riuscito ad eliminarlo...per il momento grazie !

ps: se conoscete altri programmini per tentare di eliminare il virus fatemi sapere, più ne ho meglio è ! grazie

[andorra24]

Posta un log di hijackthis nel thread in rilievo cosi vediamo di toglierlo.

[dario81]

Quote:

Originariamente inviato da andorra24

Posta un log di hijackthis nel thread in rilievo cosi vediamo di toglierlo.

scusa l'ignoranza ma...NON HO CAPITO NULLA !

[andorra24]

Quote:

Originariamente inviato da dario81

scusa l'ignoranza ma...NON HO CAPITO NULLA !

Scaricati hijackthis, aprilo (e' standalone), chiudi tutte le finestre aperte tra cui il browser e premi il tasto ''do a system scan and save a logfile''. Dopo posta il log sul forum cosi vediamo cosa devi eliminare. Scaricalo da qui: http://www.majorgeeks.com/download3155.html

[Jaguar64bit]

Fatti pure uno scan con ewido e a2.

[dario81]

Quote:

Originariamente inviato da andorra24

Scaricati hijackthis, aprilo (e' standalone), chiudi tutte le finestre aperte tra cui il browser e premi il tasto ''do a system scan and save a logfile''. Dopo posta il log sul forum cosi vediamo cosa devi eliminare. Scaricalo da qui: http://www.majorgeeks.com/download3155.html

allora...ho fatto lo scan ed ecco cosa è uscito come resoconto nel logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12.18.30, on 05/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMMI\ANTIVIR\AVGUARD.EXE
C:\WINDOWS\System32\wuapi.exe
C:\Programmi\AntiVIR\AVWUPSRV.EXE
C:\Programmi\AntiVIR\AVGNT.EXE
C:\Programmi\ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Shareaza\Shareaza.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Dario\IMPOST~1\Temp\Rar$EX00.552\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AntiVIR\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\\\etb\\pokapoka79.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Programmi\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it\PsnLite.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\ANTIVIR\AVGUARD.EXE
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AntiVIR\AVWUPSRV.EXE
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

io non ci capisco nulla , vedi tu se riesci a darmi qualche consiglio utile per evitare la solita formattazione...thanks

[andorra24]

Quote:

Originariamente inviato da dario81

allora...ho fatto lo scan ed ecco cosa è uscito come resoconto nel logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12.18.30, on 05/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMMI\ANTIVIR\AVGUARD.EXE
C:\WINDOWS\System32\wuapi.exe
C:\Programmi\AntiVIR\AVWUPSRV.EXE
C:\Programmi\AntiVIR\AVGNT.EXE
C:\Programmi\ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Shareaza\Shareaza.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Dario\IMPOST~1\Temp\Rar$EX00.552\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AntiVIR\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\\\etb\\pokapoka79.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Programmi\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it\PsnLite.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\ANTIVIR\AVGUARD.EXE
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AntiVIR\AVWUPSRV.EXE
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

io non ci capisco nulla , vedi tu se riesci a darmi qualche consiglio utile per evitare la solita formattazione...thanks

Fixa:
C:\WINDOWS\System32\wuapi.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\\\etb\\pokapoka79.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

Metti la spunta nella casellina accanto alle voci che ti ho indicato e dopo aver chiuso tutte le finestre aperte tra cui il browser premi ''fix checked''.

[dario81]

ok l'ho fatto ma il file WUAPI non lo elimina

ecco cosa dice l'antivirus

C:\WINDOWS\SYSTEM32\WUAPI.EXE

Contains a signature of the (dangerous) backdoor program BDS/Codbot.AZ.1 Backdoor server programs

...f@nculo ai computer, non puoi mai stare tranquillo

[andorra24]

Quote:

Originariamente inviato da dario81

ok l'ho fatto ma il file WUAPI non lo elimina

ecco cosa dice l'antivirus

C:\WINDOWS\SYSTEM32\WUAPI.EXE

Contains a signature of the (dangerous) backdoor program BDS/Codbot.AZ.1 Backdoor server programs

...f@nculo ai computer, non puoi mai stare tranquillo

Disattiva il ripristino di sistema e ripeti la scansione in modalita' provvisoria.

[dario81]

Quote:

Originariamente inviato da andorra24

Disattiva il ripristino di sistema e ripeti la scansione in modalita' provvisoria.

la modalità provvisoria la ottengo premendo F8 all'avvio del pc, vero ?

ps: già che ci siamo ti chiedo un'altra cosa...un programma firewall è utile contro i virus oppure no ??
per scaricare da EMULE però mi hanno detto che è meglio disattivarlo...insomma, da una parte serve ma dall'altra disturba...dammi un consiglio!

grazie per la disponibilità

[andorra24]

Quote:

Originariamente inviato da dario81

la modalità provvisoria la ottengo premendo F8 all'avvio del pc, vero ?

SI

Quote:

Originariamente inviato da dario81

ps: già che ci siamo ti chiedo un'altra cosa...un programma firewall è utile contro i virus oppure no ??
per scaricare da EMULE però mi hanno detto che è meglio disattivarlo...insomma, da una parte serve ma dall'altra disturba...dammi un consiglio!

Devi sempre avere un firewall quando sei in internet altrimenti rischi di essere invaso da malware di ogni tipo. A maggior ragione che usi programmi p2p e' fondamentale proteggerti col firewall.

[dario81]

Quote:

Originariamente inviato da andorra24

Devi sempre avere un firewall quando sei in internet altrimenti rischi di essere invaso da malware di ogni tipo. A maggior ragione che usi programmi p2p e' fondamentale proteggerti col firewall.

mi hanno sempre detto che i firewall respingono i file entranti nel tuo pc, ed è per questo motivo che danno fastidio quando usi un programma p2p...allora non è vero ??

ce n'è in giro qualcuno valido e gratuito da scaricare ??

[andorra24]

Quote:

Originariamente inviato da dario81

mi hanno sempre detto che i firewall respingono i file entranti nel tuo pc, ed è per questo motivo che danno fastidio quando usi un programma p2p...allora non è vero ??

ce n'è in giro qualcuno valido e gratuito da scaricare ??

Basta saper configurare il firewall e non si hanno problemi ad usare i programmi p2p. Per quanto riguarda la tua ultima domanda bisogna dire che non ci sono moltissime alternative in fatto di firewall gratuiti. Io uso il Sygate. Se vuoi farti un'idea sui firewall dai una lettura al relativo thread in rilievo:http://www.hwupgrade.it/forum/showthread.php?t=1012038

[dario81]

ok, ho scaricato il Sygate Personal Firewall 5.6 visto che è il più usato (quindi ci saranno + persone a cui chiedere eventuali consigli...)

per il momento ti ringrazio di tutto...eventualmente mi farò risentire !!!

graaaaaaaaaaaaaaaaaazie

[Alexi@]

io ti consiglierei anche di aggiornare al service pack2 e di fare regolarmente il windows update

[andorra24]

Quote:

Originariamente inviato da dario81

ok, ho scaricato il Sygate Personal Firewall 5.6 visto che è il più usato (quindi ci saranno + persone a cui chiedere eventuali consigli...)

per il momento ti ringrazio di tutto...eventualmente mi farò risentire !!!

graaaaaaaaaaaaaaaaaazie

Leggiti anche questa breve guida all'uso di sygate: http://www.sicurezzainrete.com/Sygate_5.5_1.htm

[Jaguar64bit]

Quote:

Originariamente inviato da andorra24

Devi sempre avere un firewall quando sei in internet altrimenti rischi di essere invaso da malware di ogni tipo. A maggior ragione che usi programmi p2p e' fondamentale proteggerti col firewall.

I firewall non servono solo per le minacce che ti attaccano dall'esterno , ma anche a rilevarti se un trojan/backdoor vuole uscire dall'inteno..a internet , no era guisto per essere precisi.


@ dario81... di firewall free c'è anche zone alarm... che viene aggiornato spesso , oppure il kerio che uso io.

[andorra24]

Quote:

Originariamente inviato da Jaguar64bit

I firewall non servono solo per le minacce che ti attaccano dall'esterno , ma anche a rilevarti se un trojan/backdoor vuole uscire dall'inteno..a internet ,

Certo, ben detto