problema rimozione trojan

[peus]

ciao ragazzi ,qualcuno mi può spiegare come rimuovere questo virus?
NOME FILE:
C:/Windows/AppPatch/DvdDns.dll
NOME MALWARE:
Win32 Trojano-1165[Trj]
il virus è nel pc di un mio amico che aveva norton,gli ho installato avast che rileva questo problema.
vi sarei grato per una spiegazione passo passo.

vi ringrazio anticipatamente.

[ercolino]

Potrebbe trattarsi di questo

http://securityresponse.symantec.com...n.vundo.b.html


Per prima cosa fai disattivare il ripristino di configurazione(restore),poi rifai la scansione con Avg e ti consiglio anche di fare un giro qui:

http://it.trendmicro-europe.com/cons...all_launch.php

[YMen]

Inoltre ti consiglio di fare una scansione con a-squared

[bluepix]

Quote:

Originariamente inviato da ercolino

Potrebbe trattarsi di questo

http://securityresponse.symantec.com...n.vundo.b.html


Per prima cosa fai disattivare il ripristino di configurazione(restore),poi rifai la scansione con Avg e ti consiglio anche di fare un giro qui:

http://it.trendmicro-europe.com/cons...all_launch.php

se è vundo c'è il tool di rimozione in symantec proprio nella pagina indicata

[peus]

vi ringrazio molto.

[MrOZ]

ciao mi puoi mandare il file DvdDns.dll al mio indirizzo [email protected]???

[peus]

fortunatamente non è nel mio pc,comunque appena posso te lo mando.

[lord2]

anche a me un trojano ha rotto il ca**0 oggi ma è stato bloccato dalla mia difesa incrociata il trojano era QLowZones-15 e viruscan l ha eliminato in automatico saluti

[fabio80]

ho anche io sto bastardo di trojano sul pc grazie a mio fratello che si ostina a usare explorer nonostante le mie minacce di ritorsioni

norton manco se ne è accorto... avast che è gratuito lo rivela, cancella il file infetto e corregge il sys volume info dove c'è il problema ma al riavvio della macchina puntuale come la peste torna a rompere le balle, anche facendo uno scan prima dell'avvio di winzoz

il virus si insedia nel system volume information del boot disk, pare generi degli eseguibili che poi copia nella cartelle windows/system32 e che intercetto col firewall

al riavvio della macchina avast blocca un accesso alla macchina da parte di 69.50.166.92 (ho una mezza idea di denunciare sto ip ma dal whois pare un ip di qualche macchina zombie... è di un provider...) ma qualcosa non funziona, il trojan si rimette all'opera e mostra quei fottuti messaggi dicendo che la mia macchina non è protetta con invito a fare qualcoa ( che ovviamenti faculizzo la volo)

ho cercato in rete e ho disabilitato il ripristino di winzozzo... niente da fare

non riesco nemmeno a capire quale cazz di applicazione tenti il download, non passa su zonealarm eppure vi riesce, perchè rimette tutto come prima...

se avete qualche suggerimento please, altrimenti appea ho tempo piallo tutto e tanti saluti, ma non commetterò la leggerezza di sconsigliare explorer, provvederò a sradicarlo con qualsiasi mezzo...

[andorra24]

Quote:

Originariamente inviato da fabio80

ho anche io sto bastardo di trojano sul pc grazie a mio fratello che si ostina a usare explorer nonostante le mie minacce di ritorsioni

norton manco se ne è accorto... avast che è gratuito lo rivela, cancella il file infetto e corregge il sys volume info dove c'è il problema ma al riavvio della macchina puntuale come la peste torna a rompere le balle, anche facendo uno scan prima dell'avvio di winzoz

il virus si insedia nel system volume information del boot disk, pare generi degli eseguibili che poi copia nella cartelle windows/system32 e che intercetto col firewall

al riavvio della macchina avast blocca un accesso alla macchina da parte di 69.50.166.92 (ho una mezza idea di denunciare sto ip ma dal whois pare un ip di qualche macchina zombie... è di un provider...) ma qualcosa non funziona, il trojan si rimette all'opera e mostra quei fottuti messaggi dicendo che la mia macchina non è protetta con invito a fare qualcoa ( che ovviamenti faculizzo la volo)

ho cercato in rete e ho disabilitato il ripristino di winzozzo... niente da fare

non riesco nemmeno a capire quale cazz di applicazione tenti il download, non passa su zonealarm eppure vi riesce, perchè rimette tutto come prima...

se avete qualche suggerimento please, altrimenti appea ho tempo piallo tutto e tanti saluti, ma non commetterò la leggerezza di sconsigliare explorer, provvederò a sradicarlo con qualsiasi mezzo...

Eventualmente posta il log di hijackthis sul forum.

[sagitta74]

Scusate raga ma la scansione la fate in modalità provvisoria??
Di norma quando un'antivirus rileva ed affema di eliminare un virus, se al riavvio successiovo compare allora significa che c'era un programma caricato nella memoria d'avvio, e, questo problema a volte viene risolto dalla modalità provvisoria

[fabio80]

a tempo perso mi dedico alla battaglia.

dunque, avevo già provato a fare la scansione in modalità provvisoria ma risultava tutto pulito, poi avast consente di farla all'avvio...

ho disabilitato il ripristino di sistema e questo pare abbia sistemato molte cose ma ho qualche problema all'avvio, probabile che qualche file di sistema sia stato sfanculato irrimediabilmente ma poco male, come detto devo formattare a breve

in compenso credo di avere beccato la porta di accesso di sto bastardo: explorer + msn!

explorer è bloccato su firewall ma quando mio fratello usa msn deve fare in modo che risulti connesso (da modalità offline a online) o msn non parte... cmq è bloccato, non so come possa rimettersi in rete....

la giornata di ieri non mi ha dato nessun problema, ieri sera ha usato msn e avast ha beccato qualche rogna... stamane avvio la macchina e avast ferma un tentativo di download da parte del solito ip (ho sempre più voglia di fare una segnalazione....anzi una mail la mando proprio....)

posterò anche il log di hijackthis ma mi pare pulito....

ormai è una questione di principio

[sagitta74]

Quote:

Originariamente inviato da fabio80

...

... come detto devo formattare a breve..

Ma che SI usi? visto che devi formattare installati WinXp cosi a tuo fratello li crei un account limitato e la finisce di farti danno

[fabio80]

giuro che non capisco

se avast mi segnala che il pc è pulito, e partendo dall'ipotesi che lo sia (diversamente se nn trova files infetti non saprei che pensare..) come £$%& è possibile che io abbia sempre sto coso tra i piedi? da che parte ritorna? i tentativi di download da chi partono? e anche partiti, se avast li blocca, perchè mi trovo sempre irrimediabilmente il pc sputtanato?

qua mi da l'impressione che io pulisca ma ci sia un qualcosa che richiami sto trojano e nonostante il controllo di avast su http o msn riesca sempre a tornare dentro

sto realmente perdendo la pazienza
pagherei per avere chi ha scritto sto virus, io lui e un machete

no so più che pensare, o avast fallisce nel dichiarare il pc pulito, o fallisce nel fermare il download... oppure boh, ditemi voi perchè mi pare assurdo...

[andorra24]

Quote:

Originariamente inviato da fabio80

giuro che non capisco

se avast mi segnala che il pc è pulito, e partendo dall'ipotesi che lo sia (diversamente se nn trova files infetti non saprei che pensare..) come £$%& è possibile che io abbia sempre sto coso tra i piedi? da che parte ritorna? i tentativi di download da chi partono? e anche partiti, se avast li blocca, perchè mi trovo sempre irrimediabilmente il pc sputtanato?

qua mi da l'impressione che io pulisca ma ci sia un qualcosa che richiami sto trojano e nonostante il controllo di avast su http o msn riesca sempre a tornare dentro

sto realmente perdendo la pazienza
pagherei per avere chi ha scritto sto virus, io lui e un machete

no so più che pensare, o avast fallisce nel dichiarare il pc pulito, o fallisce nel fermare il download... oppure boh, ditemi voi perchè mi pare assurdo...

Eventualmente prova a scansionare con hijackthis e posta il log sul forum.

[fabio80]

Quote:

Originariamente inviato da andorra24

Eventualmente prova a scansionare con hijackthis e posta il log sul forum.

giusto hai ragione me ne ero scordato totalmente

Codice:

G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
c:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
c:\Programmi\Alwil Software\Avast4\ashServ.exe
c:\Programmi\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
G:\WINDOWS\System32\CTsvcCDA.EXE
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\WINDOWS\System32\MsPMSPSv.exe
c:\Programmi\Alwil Software\Avast4\ashWebSv.exe
c:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
G:\WINDOWS\System32\rmctrl.exe
C:\Programmi\Easy CD Creator 5\DirectCD\DirectCD.exe
G:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
G:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\GetRight\getright.exe
C:\Programmi\GetRight\getright.exe
G:\Programmi\WinRAR\WinRAR.exe
G:\DOCUME~1\Fabio\IMPOST~1\Temp\Rar$EX00.822\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "c:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] G:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [zBrowser Launcher] c:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programmi\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] c:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Edit with &XML Spy - c:\Programmi\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - c:\Programmi\Altova\XMLSPY2004\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - c:\Programmi\Altova\XMLSPY2004\spy.htm (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{997C1DF6-0CCE-4353-AB8D-86E2EC683D8F}: NameServer = 151.99.125.1,151.99.125.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - c:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - c:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - c:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - c:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - c:\Programmi\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\Software Bluetooth\bin\btwdins.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - G:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - G:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINDOWS\system32\ZoneLabs\vsmon.exe

ci sono quei cab scaricati per msn che mi lasciano un pò perplesso, poi boh....

[andorra24]

Ma queste voci ti dicono qualcosa? Se non le riconosci fixale altrimenti le tieni:
O8 - Extra context menu item: Edit with &XML Spy - c:\Programmi\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - c:\Programmi\Altova\XMLSPY2004\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - c:\Programmi\Altova\XMLSPY2004\spy.htm (HKCU)

[fabio80]

Quote:

Originariamente inviato da andorra24

Ma queste voci ti dicono qualcosa? Se non le riconosci fixale altrimenti le tieni:
O8 - Extra context menu item: Edit with &XML Spy - c:\Programmi\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - c:\Programmi\Altova\XMLSPY2004\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - c:\Programmi\Altova\XMLSPY2004\spy.htm (HKCU)

è un editor per xml, quelle son regolari... di strano mi pare di vedere i cab di messenger ( mi fido poco di quel programmma e ancora meno di mio fratello...) e alcune voci HKLM: kernel fault check ad esempio, è roba di winzozz sana o è una porcheria sotto false vesti?

[andorra24]

Quote:

Originariamente inviato da fabio80

è un editor per xml, quelle son regolari... di strano mi pare di vedere i cab di messenger ( mi fido poco di quel programmma e ancora meno di mio fratello...) e alcune voci HKLM: kernel fault check ad esempio, è roba di winzozz sana o è una porcheria sotto false vesti?

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Questa puoi fixarla tranquillamente ma comunque non e' di vitale importanza

[matita]

Salve a tutti! Anzitutto complimenti per questo utilissimo sito!
Ho trovato questo forum cercando notizie sul virus che mi affligge da ieri...
Veramente sapreste darmi una mano? Io sono davvero inesperta: non so che significa "scansionare", "fixare"...

Premetto che lavoro su un portatile Acer Aspire molto recente, con s. o. Windows XP Home.
Il problema è questo: aprendo un "innocuo" sito che prometteva immagini free, mi sono ritrovata lo schermo invaso da finestre che si aprivano su pagine non richieste e da avvisi anonimi di farabutti che si complimentavano con me (!) perché avevo attivato un servizio (a pagamento...) riservato ai maggiorenni . Voi capite...!
Dopo un po' il mio antivirus McAfee (sempre aggiornato da me) mi segnalava il virus QLowZones-15 ovvero il file 1684[1].exe , ma non era possbile eliminarlo... (ma a che servono gli antivirus?)
Intanto da tutte le parti (desktop, menu avvio, programmi, documenti) il PC si è riempito di file dai nomi molto subdoli: exsplorer, esplorer, WinMoviePlugin... Guai a cliccarci sopra: le finestre si moltiplicano a ritmo continuo, gli avvisi si ripetono e lavorare sui miei programmi è impossibile.
Internet Explorer si apre su un maledetto sito dal colore rosa di nome realarea.biz/?1684, che diventa anche l'indirizzo preimpostato del browser.
Ho cercato di eliminare manualmente tutti i file sospetti, ne ho scovato parecchi, ma, essendo digiuna di informatica, da sola non so come eliminare la causa
Più che eliminare i cookies e i file temporanei, cancellare la cronologia... altro non so davvero!
Qualcuno mi ha consigliato di riavviare il PC in modalità provvisoria. Ieri l'ho fatto, ho cercato il virus nel percorso indicato da McAfee, ho trovato un paio di file temporanei ancora "in vita", li ho eliminati. Oggi non riesco più a riavviare il computer in modalità provvisoria. O il mio PC è impazzito o sono confusa io...
Ma ogni volta che apro I.E. i maledetti si riproducono e il problema si ripresenta!
Che posso fare???? Uso il computer per lavorare e sono molto preoccupata!
Qualcuno può seguirmi passo passo, senza infierire con i termini tecnici?
Grazie!!!