aiuto,un cavallo di troia!!!ke faccio!

[acidcool1980]

VI PREGO AIUTATEMI!!ho nod32 ke mi rileva un cavallo di troia denominato win32/wootbot.NBJ,mi dice che e' nella memoria operativa:in effetti ha colpito un file .exe di system32: svhosint32.exe.inoltre dice che alle infezioni nella memoria non puo' essere applicata nessuna azione!!e ke faccio?per adesso l ho messo in quarantena ma nn riesco a disinfettarlo!!ho avuto il computer in palla per settimane,l ho riformattato ma mi dava sempre problemi,pensavo fosse un problema di hardware,ma oggi l ho riformattato nuovamente e ho provato a cambiare antivirus mettendo appunto nod32: appena ho fatto una scansione mi ha rilevato questo cavallo di troia!quindi mi e' venuto il dubbio ke qualcuno mi mandasse un virus appena riformattavo tutto, premetto ke ho fastweb quindi sono online appena accendo il computer!!!
vi prego aiutatemi a trovare una soluzione,almeno riesco a capire se tutti i miei problemi sono dovuti a un virus o ho veramente a problemi di hardware!!!

[PinHead]

Episodio singolare il tuo...a quanto pare questo Trojan è conosciuto solo dal Nod32...sinceramente non saprei come comportarmi...

[Plug & Pray!]

Non so se è quello che penso io, nel caso sappimi dire se trovi da qualche parte, nel tuo pc, questo file "videosd32.exe"

[acidcool1980]

no,quel file che dici nn e' presente sul mio pc.sai piu' o meno come aiutarmi?almeno se lo conosci mi dici cosa fa?dato che ultimamente ho avuto un casino di problemi col computer almeno capisco se dipendeva da lui!

[wgator]

Quote:

Originariamente inviato da acidcool1980
VI PREGO AIUTATEMI!!ho nod32 ke mi rileva un cavallo di troia denominato win32/wootbot.NBJ,mi dice che e' nella memoria operativa: in effetti ha colpito un file .exe di system32: svhosint32.exe

Ciao,

il trojan è proprio lui: svhosint32.exe

Dovresti localizzarlo e cancellarlo. Se non si lascia cancellare, prima lo termini col task manager poi lo cancelli. Altrimenti lo puoi cancellare avviando in modalità provvisoria (F8 all'avvio)

Sono comunque convinto che quel file abbia anche degli amichetti perciò ti consiglio di allegare il log di hijackthis

[acidcool1980]

ma come cancellarlo?!nn e' un file del sistema!nod32 mi dice ke nn e' possibile disinfettare un file di memoria,pero' mi da' la possibilita' di cancellarlo:ke faccio?poi in che senso devo allegare il log....potresti spiegarmi meglio?grazie

[acidcool1980]

ah ho capito cosa intendi per allegare il log.fatto lo scan,ti posto il log,cosi' vedi se sai dirmi qualcosa in piu'!

Logfile of HijackThis v1.98.2
Scan saved at 22.04.04, on 11/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\nmsvc32.exe
C:\dipset.exe
C:\WINDOWS\System32\mswin32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Michele\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Windows System32 Service Manager] nmsvc32.exe
O4 - HKLM\..\Run: [Win32 Usb Driver] svhosint32.exe
O4 - HKLM\..\Run: [Printer] C:\dipset.exe
O4 - HKLM\..\Run: [Microsoft Update Service] mswin32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Windows System32 Service Manager] nmsvc32.exe
O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Service] mswin32.exe
O4 - HKLM\..\RunOnce: [Win32 Usb Driver] svhosint32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 Usb Driver] svhosint32.exe

[eraser]

prima di cancellarlo mandalo pure a fileanalysis@email.it

[Jaguar64bit]

Installati il Kav che i trojani se li pappa tutti.

[wgator]

Ciao,

cerca e cancella:

- svhosint32.exe

- C:\WINDOWS\System32\nmsvc32.exe

- C:\WINDOWS\System32\mswin32.exe


Poi, tramite hijackthis, metti la spunta su queste voci e premi FIX:

O4 - HKLM\..\Run: [Windows System32 Service Manager] nmsvc32.exe
O4 - HKLM\..\Run: [Win32 Usb Driver] svhosint32.exe
O4 - HKLM\..\Run: [Microsoft Update Service] mswin32.exe
O4 - HKLM\..\RunServices: [Windows System32 Service Manager] nmsvc32.exe
O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Service] mswin32.exe
O4 - HKLM\..\RunOnce: [Win32 Usb Driver] svhosint32.exe
O4 - HKCU\..\Run: [Win32 Usb Driver] svhosint32.exe


Cerca di capire cos'è questo:

C:\dipset.exe
O4 - HKLM\..\Run: [Printer] C:\dipset.exe

Se non sai di cosa si tratta, elimina!

Come al solito: attiva visualizzazione di file e cartelle nascoste, cancella i file temporanei e i temp di Internet e disattiva il system restore

[acidcool1980]

ho provato a installare kasper ke mi ha rilevato altri file infetti che nod32 nn rilevava!!
ho eliminato svhosint32.exe come hai detto tu (solo che mi e' uscito un errore al riavvio,mi dice che manca appunto questo file,nn fa niente?).appena ho installato kasper mi rilevava di continuo file infetti (tra cui dipset.exe ,ho notato ke e' un file ke mi riappare da solo,anke dopo che lo cancello,poi altri file tipo abc.exe).dopo un po' nn mi e' apparso piu' niente,ho fatto con kasper la scansione e nn mi ha dato nessun file infetto....boh!!ke ne dici?
ho fatto come tu hai detto per i fix,ho rifatto lo scan ed ho ottenuto questo,vedi se cosi' va bene!


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Michele\Impostazioni locali\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

[wgator]

Ciao,

il log è pulito. Hai ancora il messaggio di errore all'avvio?

Se ti da ancora l'errore forse c'è qualche chiave "RUN" nel registro che lo richiama (dal log però non si vede)

Fammi sapere, vediamo come toglierla

[acidcool1980]

no nn mi da' l errore all avvio!!mitico!grande!grazie!
speriamo che si sia sistemato tutto!!!certo che era un virus bastardino!stavo quasi per spendere centinaia di euro per cambiare pezzi hardware!!!
ma secondo te e' possibile che dopo aver riformattato tutto,appena collegavo il cavo di rete(ho fastweb e sono sempre online) mi riattaccava lo stesso virus?
che programmi mi consigli di avere per stare al sicuro per tutto?