Virus Trojan, come debellarlo?

Arcano2210 · 04-02-2007, 03:10

Mi sono beccato un virus eseguendo una crack per un'applicazione.

Adesso nelle mie 2 partizioni (in tutte e due) vengono creati 2 file: AUTORAN.inf (che contiene questo codice "[autorun]open=setup.exe icon=setup.exe,0" ed un file SETUP.exe

Ho fatto una scansione sia con NOD32 che con spyboot che con adaware, ed ho rimosso tutti i file che venivano ritenuti pericolosi.

NOD32 ha individuato inoltre svariati file di questi tipi:
- variante modificata di Win32/Tool.TPE.A applicazione
- probabilmente una variante di Win32/Genetik cavallo di troia

Il programma me li ha fatti rimuovere correttamente, ma al riavvio del sistema compaiano sempre i 2 file setup.exe e autoran.inf

Nei processi attivi c'è un eseguibile che cambia nome in continuazione, per esempio adesso si chiama "81exinjs.a2.exe".

C'è modo di liberarsene senza dover formattare tutto?

Allego il file log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 3.02.21, on 04/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\RealPopup\RealPopup.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Arcano\IMPOST~1\Temp\81exinjs.a2.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Arcano\IMPOST~1\Temp\Rar$EX00.641\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPopup] "C:\Programmi\RealPopup\RealPopup.exe" BOOT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.line6.net
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4D55D7C-1743-4132-90B3-C13FDAADF1F1}: NameServer = 213.156.54.80,1.253.128.31
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Grazie mille.

ania · 04-02-2007, 03:18

Ciao

hai sbagliato sezione, ti suggerisco un paio di links che penso potranno esserti utili sin da questa circostanza ed anche in futuro.

Inizia da questa sezione:
http://www.hwupgrade.it/forum/forumdisplay.php?f=125
Aiuto sono infetto! Cosa faccio?

in particolare, segui quanto suggerito da Eraser nei suoi due post che costituiscono il thread che ti linko
http://www.hwupgrade.it/forum/showthread.php?t=1142673
Prima di chiedere aiuto leggete qui! COMPORTAMENTO DA SEGUIRE!

e segui quanto indicato da Eraser nell' articolo linkato nel primo post:
http://www.hwupgrade.it/articoli/so...1439/index.html

infine, dopo avere posto in essere la procedura indicata da Eraser nei suoi due post e nell'articolo linkato, se davvero pensi di non avere risolto il tutto , ma secondo me ce la fai alla grande

seguendo quanto indicato, allora come ultima tappa:

posta un logfile di HJT nel thread ufficiale dedicato ad HJT:
http://www.hwupgrade.it/forum/showthread.php?t=937676
HiJackThis [Official Thread]

P.S. non mi azzardo nell'analisi del logfile perchè non mi ritengo all'altezza, ma ti suggerirei di aggionrnare Acrobat Reader ( siamo arrivati alla ver.8 in italiano)
ciao

giannola · 04-02-2007, 07:45

chiudere pls

04-02-2007, 03:10	#1
Arcano2210 Member Iscritto dal: May 2005 Città: Pistoia Messaggi: 121	Virus Trojan, come debellarlo? Mi sono beccato un virus eseguendo una crack per un'applicazione. Adesso nelle mie 2 partizioni (in tutte e due) vengono creati 2 file: AUTORAN.inf (che contiene questo codice "[autorun]open=setup.exe icon=setup.exe,0" ed un file SETUP.exe Ho fatto una scansione sia con NOD32 che con spyboot che con adaware, ed ho rimosso tutti i file che venivano ritenuti pericolosi. NOD32 ha individuato inoltre svariati file di questi tipi: - variante modificata di Win32/Tool.TPE.A applicazione - probabilmente una variante di Win32/Genetik cavallo di troia Il programma me li ha fatti rimuovere correttamente, ma al riavvio del sistema compaiano sempre i 2 file setup.exe e autoran.inf Nei processi attivi c'è un eseguibile che cambia nome in continuazione, per esempio adesso si chiama "81exinjs.a2.exe". C'è modo di liberarsene senza dover formattare tutto? Allego il file log di HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 3.02.21, on 04/02/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programmi\Eset\nod32kui.exe C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\RealPopup\RealPopup.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\DOCUME~1\Arcano\IMPOST~1\Temp\81exinjs.a2.exe C:\Programmi\WinRAR\WinRAR.exe C:\DOCUME~1\Arcano\IMPOST~1\Temp\Rar$EX00.641\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RealPopup] "C:\Programmi\RealPopup\RealPopup.exe" BOOT O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: *.line6.net O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A4D55D7C-1743-4132-90B3-C13FDAADF1F1}: NameServer = 213.156.54.80,1.253.128.31 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Grazie mille.

04-02-2007, 07:45	#3
giannola Senior Member Iscritto dal: Oct 2005 Città: Palermo Messaggi: 2579	chiudere pls __________________ Utente gran figlio di Jobs ed in via di ubuntizzazione Lippi, perchè non hai convocato loro ?

04-02-2007, 03:18	#2
ania Senior Member Iscritto dal: Nov 2006 Messaggi: 1886	Ciao hai sbagliato sezione, ti suggerisco un paio di links che penso potranno esserti utili sin da questa circostanza ed anche in futuro. Inizia da questa sezione: http://www.hwupgrade.it/forum/forumdisplay.php?f=125 Aiuto sono infetto! Cosa faccio? in particolare, segui quanto suggerito da Eraser nei suoi due post che costituiscono il thread che ti linko http://www.hwupgrade.it/forum/showthread.php?t=1142673 Prima di chiedere aiuto leggete qui! COMPORTAMENTO DA SEGUIRE! e segui quanto indicato da Eraser nell' articolo linkato nel primo post: http://www.hwupgrade.it/articoli/so...1439/index.html infine, dopo avere posto in essere la procedura indicata da Eraser nei suoi due post e nell'articolo linkato, se davvero pensi di non avere risolto il tutto , ma secondo me ce la fai alla grande seguendo quanto indicato, allora come ultima tappa: posta un logfile di HJT nel thread ufficiale dedicato ad HJT: http://www.hwupgrade.it/forum/showthread.php?t=937676 HiJackThis [Official Thread] P.S. non mi azzardo nell'analisi del logfile perchè non mi ritengo all'altezza, ma ti suggerirei di aggionrnare Acrobat Reader ( siamo arrivati alla ver.8 in italiano) ciao

Strumenti
Mostra una versione stampabile Invia questa pagina per email