invasione di trojan..

nausicaa_ · 02-05-2006, 12:17

ho disperatamente bisogno d'aiuto.

win xp sp2.
avast
router.

e.. credo di avere un virus sul pc.
lo deduco dal fatto che.. ho cercato finora di eliminare un trojan che avast mi identifica come "Win32:horst-C [trj]" e che sembra legato al file smss.exe il quale creava in continuazione quel trojan, avast lo rimnuoveva e lui puntualmente riappariva dopo poco.

elimino il file smss.exe (omonimo di un processo windows, solo in una cartella diversa) seguendo i consigli trovati in rete e..al riavvio del pc, nel task manager mi ritrovo "csrss.exe" e "services.exe" ..altri trojan, se nn sbaglio.
perchè questi nn me li rileva??
come li elimino? nn riesco a trovare nulla in rete che mi sia utile..

e poi.. se è un vrus che si diverte a seminare trojan qui e lì e..avast nn me lo vede.. come faccio a sapere chi è il mio nemico?!

grazie dell'aiuto.. sto veramente impazzendo.. =°

Stev-O · 02-05-2006, 12:40

non ti si può lasciare sola un attimo....

fai una scansione con ewido
www.ewido.net

e poi posta un log di hijackthis
http://80.237.140.193/downloads/hijackthis_199.zip

unzippi in una cartella lanci e premi il primo bottone in alto e copi e incolli qui il contenuto del file di testo creato

matteo1 · 02-05-2006, 12:48

lavora in modalità provvisoria;leggi qui come:
http://service1.symantec.com/SUPPORT...20722090503924
poi usa ewido,e anche questo:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

nausicaa_ · 02-05-2006, 14:27

dunque..
ho fatto qnto mi avete detto.
la scansione con ewido però l'ho fatta prima che mi suggeriste la mod.provvis.
dr.web invece è andato in provvisoria.

risultati:

DR.WEB ha trovato qualcosa.

EWIDO ha trovato qualcosa.

eppure i due processi:

csrrs.exe
& services.exe
sn ancora lì nel task manager al riavvio.
e nn è da escludere che anche smss.exe che avevo eliminato in precedenza sia lì di nuovo, solo che qui ho il dubbio tra il processo omonimo di windows che è giusto che sia lì e il trojan..

allego anche il log di hijackthis.

aiuto..! =°°

Stev-O · 02-05-2006, 14:43

dopo aver disattivato il ripristino configurazione di sistema
fixa questi:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe

e disattiva la segnalazione errori windows

e togli la roba indicata da ewido e cure
services.exe se è in windows/system32 è legittimo
csrrs.exe dal log non lo vedo....
ad ogni modo se dovesse essere da qualche parte toglilo con killbox

nausicaa_ · 02-05-2006, 16:52

dunque..

ho cercato le voci di registro corrispondenti a questi file

- che peraltro sono TUTTI omonimi di processi di windows normalmente presenti solo che si trovano in directory diverse da quelle dv si trovano gli omonimi "buoni".

ho cancellato gli omonimi "cattivi" e le voci di registro che ho trovato essere collegate a loro.

riavviato il pc..

e.. nel task manager ci sn ancora gli exe di questi processi ma, se faccio una ricerca in C: x ognuno di questi files, me ne trova uno solo per ognuno e sembrano essere quelli "buoni" nel senso che si trovano nella cartella in cui dovrebbero essere, quella di default di windows.

quelli cattivi sarebbero sistemati tutti altrove.

ciò vuol dire che.. forse..nn era un virus ma tanti trojan indipendenti?
o forse il virus era quello che dr.web ha eliminato e.. eliminati gli ultimi trojan ora il pc è pulito??

qsta è l'unica spiegazione che trovo..
può essere che abbia ragione?

intanto.. grazie infinite per tutto l'aiuto!
siete mitici! ^_^

ps:

Quote:

fixa questi

vuol dire che devo cancellarli?

Quote:

e disattiva la segnalazione errori windows

come si fa?

Quote:

ad ogni modo se dovesse essere da qualche parte toglilo con killbox

dovrebbe essere quello "buono" quindi nn dovrebbe servire "killarlo".
ma x un eventuale futuro: killbox è un programma? e.."killare" cos'ha di diverso da "cancellare"?

sarò una rompib0lle.. =°)

Stev-O · 02-05-2006, 16:57

killbox è un programmino/utility che elimina i files che non si eliminano tramite riavvio ma se non hai più nulla non ti serve

fixare vuol dire selezionare le voci e premere fix (sempre da hijackthis)

per disattivare la segnalazione errori windows:
risorse del computer (tasto destro proprietà) avanzate segnalazione errori
disabilita segnalazione errori
togli la spunta a notifica cmq errori critici

matteo1 · 02-05-2006, 17:35

Devi disabilitare il system restore,perchè i virus si rigenerano da lì:
http://service1.symantec.com/SUPPORT...20823151930924

nausicaa_ · 02-05-2006, 17:37

ti ringrazio!

"notifica cmq errori critici" era già senza spunta così come era già disabilitata la segnalazione errori.

ora provo a "fixare" quelle voci. ^_^

grazie grazie grazie! ^_^

Quote:

Devi disabilitare il system restore,perchè i virus si rigenerano da lì:
http://service1.symantec.com/SUPPOR...020823151930924

mmm.. si può davver arrivare a tanto? nn è "pericolosa" come manovra?
lo chiedo dal basso della mia beata ignoranza..

grazie anche a te, davvero!

Stev-O · 02-05-2006, 22:53

puoi anche tenerlo disabilitato, per quello che serve...

02-05-2006, 12:17	#1
nausicaa_ Member Iscritto dal: Apr 2006 Messaggi: 225	invasione di trojan.. ho disperatamente bisogno d'aiuto. win xp sp2. avast router. e.. credo di avere un virus sul pc. lo deduco dal fatto che.. ho cercato finora di eliminare un trojan che avast mi identifica come "Win32:horst-C [trj]" e che sembra legato al file smss.exe il quale creava in continuazione quel trojan, avast lo rimnuoveva e lui puntualmente riappariva dopo poco. elimino il file smss.exe (omonimo di un processo windows, solo in una cartella diversa) seguendo i consigli trovati in rete e..al riavvio del pc, nel task manager mi ritrovo "csrss.exe" e "services.exe" ..altri trojan, se nn sbaglio. perchè questi nn me li rileva?? come li elimino? nn riesco a trovare nulla in rete che mi sia utile.. e poi.. se è un vrus che si diverte a seminare trojan qui e lì e..avast nn me lo vede.. come faccio a sapere chi è il mio nemico?! grazie dell'aiuto.. sto veramente impazzendo.. =° Ultima modifica di nausicaa_ : 02-05-2006 alle 12:27.

02-05-2006, 12:40	#2
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	non ti si può lasciare sola un attimo.... fai una scansione con ewido www.ewido.net e poi posta un log di hijackthis http://80.237.140.193/downloads/hijackthis_199.zip unzippi in una cartella lanci e premi il primo bottone in alto e copi e incolli qui il contenuto del file di testo creato __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

02-05-2006, 14:43	#5
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	dopo aver disattivato il ripristino configurazione di sistema fixa questi: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe e disattiva la segnalazione errori windows e togli la roba indicata da ewido e cure services.exe se è in windows/system32 è legittimo csrrs.exe dal log non lo vedo.... ad ogni modo se dovesse essere da qualche parte toglilo con killbox __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK* Ultima modifica di Stev-O : 02-05-2006 alle 14:50.

02-05-2006, 16:57	#7
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	killbox è un programmino/utility che elimina i files che non si eliminano tramite riavvio ma se non hai più nulla non ti serve fixare vuol dire selezionare le voci e premere fix (sempre da hijackthis) per disattivare la segnalazione errori windows: risorse del computer (tasto destro proprietà) avanzate segnalazione errori disabilita segnalazione errori togli la spunta a notifica cmq errori critici __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

02-05-2006, 22:53	#10
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	puoi anche tenerlo disabilitato, per quello che serve... __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

02-05-2006, 12:48	#3
matteo1 Senior Member Iscritto dal: Jun 2005 Città: in lombardia Messaggi: 8414	lavora in modalità provvisoria;leggi qui come: http://service1.symantec.com/SUPPORT...20722090503924 poi usa ewido,e anche questo: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

02-05-2006, 17:35	#8
matteo1 Senior Member Iscritto dal: Jun 2005 Città: in lombardia Messaggi: 8414	Devi disabilitare il system restore,perchè i virus si rigenerano da lì: http://service1.symantec.com/SUPPORT...20823151930924

Strumenti
Mostra una versione stampabile Invia questa pagina per email