Trojan Horse Psw.banker4.apsa

[kokekokko]

salve a tutti rieccomi qui infettato

In pratica AVG 8 ha iniziato a rilevarmi questo virus,ma ogni volta che tentavo di metterlo in quarantena o di eliminarlo direttamente mi si bloccava tutto ed ero costretto a riavviare il computer. Allora ho detto all'antivirus di ignorarlo in modo tale da poter continuare a usare il computer e poter fare qualche scansione da farvi leggere, e devo dire che per fortuna sto virus per ora sembra non aver causato nessun tipo di problema. in ogni caso chiedo un vostro aiuto per ripulirmi da questa scocciatura...naturalmente vi ringrazio in anticipo e vi mostro tutta la mia riconoscenza con questo mazzo di fiori

dato che non capisco il motivo ma non riesco ad inserire allegati a questo messaggio vi incollo qui sotto il Log di HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:19:39, on 09/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\PC Tools Firewall Plus\FWService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programmi\Spyware Terminator\sp_rsser.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/def...://it.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [spywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEA361E6-2061-4334-A795-685908AE28A4}: NameServer = 85.37.17.9 85.38.28.75

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programmi\PC Tools Firewall Plus\FWService.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--

End of file - 4703 bytes

e invece qui c'è la scansione di Kaspersky:

[$angelique!?]

Ciao kokekokko

il log di hijackthis è pulito, i files rilevati da kaspersky in system32 sono parte di SmitFraudFix,

mentre restore desktop se non lo conosci eliminalo

Per il problema del Trojan Horse Psw.banker4.apsa rilevato da AVG potrebbe essere questo

http://forum.wininizio.it/index.php?showto...mp;#entry515445

[kokekokko]

hey angelique grazie per avermi risposto. Ho letto la conversazione che mi hai proposto e ho trovato però una piccola differenza: mentre li si dice (se non sbaglio) che il computer si sarebbe bloccato al nuovo avvio d windows dopo aver eliminato o comunque messo in quarantena i file incriminati, a me capitava invece che si bloccasse non appena io facevo la suddetta operazione. Detto questo comunque se tu mi dici che il log di Hijack è pulito e che dalla scansione con Kaspersky non è uscito nessun problema, a me non resta che fidarmi di te ad occhi chiusi naturalmente ...

Dopo questa lunga premessa arriva però il momento della domanda stupida :che faccio allora? Lascio tutto così com'è?

[the doctor]

Qui c'è la soluzione di avg al problema!

[kokekokko]

Grazie per la risposta, anche se a dire il vero a me non è successo niente perchè ho detto ad AVG di ignorarlo dato che mi si bloccava tutto solo se provavo a metterlo in quarantena, quindi sono stato costretto a fare così...e a quanto pare è stato meglio!

ancora tante grazie

[$angelique!?]

Ciao kokekokko,

se vuoi possiamo fare un controllo con Combofix

[kokekokko]

Ecco fatto

ComboFix.txt

[$angelique!?]

Scarica the Avenger

inserisci questo script nel box bianco

Files to delete:

c:\windows\imsins.BAK

c:\windows\system32\SET9.tmp

C:\sqmnoopt03.sqm

C:\sqmdata03.sqm

Clicca su Execute

Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

[kokekokko]

Fatto

non so perchè ma non si legge il text di avanger nell'allegato,lo incollo ok?

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Error: file "c:\windows\imsins.BAK" not found!

Deletion of file "c:\windows\imsins.BAK" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

File "c:\windows\system32\SET9.tmp" deleted successfully.

File "C:\sqmnoopt03.sqm" deleted successfully.

File "C:\sqmdata03.sqm" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

avenger.txt

Modificato November 13, 2008 da angelique
Unito post consecutivi

[$angelique!?]

Mi pare tutto in ordine

[kokekokko]

Ok ne sono felice

tante grazie per l'interessamento

[$angelique!?]

Di nulla!