Rilevato Trojan TROJ VB.FT

[massimo1234]

Da qualche giorno in seguito all'avvio continuo del pc ho fatto la scansione con pc-cillin online e mi ha rilevato questo trojan in un file presente nella cartella TEMPORARYINTERNET FILES.
Lo cancellato ma secondo me c'è qualche chiave di registro da cancellare, giacchè esso risiede nel settore di boot.
Sul sito trendmicro non ci sono spiegazioni al riguardo.

[BravoGT83]

disabilita il ripristino di sistema

poi fai 2 scansione di antivirus in modalita' prov.

poi posta il log di hijackthis

dopo risolto il problema abilita il ripristino

[massimo1234]

L'antivirus non ha rilevato niente in mod. provvisoria.

Logfile of HijackThis v1.99.1
Scan saved at 10.43.16, on 27/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijactthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=050405 serial=dr12wex-1504397-kty lang=IT
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

[bluepix]

Il log sembra OK.

Scarica CCleaner da http://www.ccleaner.com/ccdownload.asp e, in modalità provvisoria, fai pulizia. (Solo Windows e Applicazioni)

ciao

[BravoGT83]

non e' che manca un pezzo del log...cmq e' pulito

cmq usi il norton quanto pare...

prova a fare la scansione con antivir o fai l'aggiornmento di norton e poi fai la scansione

[bluepix]

Ops.... scusa Bravo se mi sono intromesso

[BravoGT83]

Quote:

Originariamente inviato da bluepix

Ops.... scusa Bravo se mi sono intromesso

ma xche

importante e' che il prblema venga risolto....

meglio 2 teste che 1




ot per caso conosci qualcuno di magenta che si chiama caimi?

[bluepix]

No, ma, sai, forse siamo di due età mooolto distanti.

ciao

[BravoGT83]

Quote:

Originariamente inviato da bluepix

No, ma, sai, forse siamo di due età mooolto distanti.

ciao

non ci avevo fatto caso

[massimo1234]

Allora, Norton mi ha rilevato solo il file adware saveinswm.exe, che ho rimosso.
Devo fare altro?

[bluepix]

Ti dirò......

Ho un grosso sospetto su queste righe:

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

perchè il programma di MSN Messenger è msmsgr.exe e il programma con lo stesso nome msmsgs.exe dovrebbe essere in c:\windows\System32.
Il fatto che si trovi in C:\Programmi\Messenger\ è molto sospetto.

Vorrei sentire il pareri di altri però.

Ciao

[massimo1234]

Come posso disinstallare messenger giacchè non lo uso?

[bluepix]

Segui le istruzioni indicate qui:

http://www.tacktech.com/display.cfm?ttid=288

[BravoGT83]

Quote:

Originariamente inviato da bluepix

Ti dirò......

Ho un grosso sospetto su queste righe:

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

perchè il programma di MSN Messenger è msmsgr.exe e il programma con lo stesso nome msmsgs.exe dovrebbe essere in c:\windows\System32.
Il fatto che si trovi in C:\Programmi\Messenger\ è molto sospetto.

Vorrei sentire il pareri di altri però.

Ciao

è tutto nella norma xche quello che stai dicendo è msn messenger

mentre quello è windows messenger

http://www.liutilities.com/products/...ibrary/msmsgs/

[BravoGT83]

Quote:

Originariamente inviato da massimo1234

Allora, Norton mi ha rilevato solo il file adware saveinswm.exe, che ho rimosso.
Devo fare altro?

riposta il log che è meglio