Darking

Trojan Rilevato Da Avira

10 messaggi in questa discussione

Salve, è un paio di settimane che avira all'avvio di windows mi rileva questo trojan, che se eliminato tramite avira stesso ricompare subito dopo pochi secondi...ecco uno screen:

34y2z9u.png

Come devo muovermi? Grazie.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scarica ed installa Hijackthis: http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi

Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.

● lancia Hijackthis

● clicca sul pulsante Do a system scan and save a logfile

● verrà rilasciato automaticamente un file di testo: allegalo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14.26.42, on 16/05/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

C:\Programmi\Avira\AntiVir Desktop\avgnt.exe

C:\Programmi\File comuni\Java\Java Update\jusched.exe

C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Avira\AntiVir Desktop\avguard.exe

C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Programmi\Bonjour\mDNSResponder.exe

C:\Programmi\Java\jre6\bin\jqs.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\SupportAppXL\onda_mon.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

C:\Programmi\Hewlett-Packard\Shared\hpqToaster.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\Programmi\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Mozilla Firefox\plugin-container.exe

C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-19\..\Run: [sidebar] C:\Programmi\Windows Sidebar\sidebar.exe /autoRun (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O13 - Gopher Prefix:

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/it/uno1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{50738966-1BC7-4B70-BA0D-C13CCD8438F2}: NameServer = 192.168.0.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Autodesk Network Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskNetSrv.exe

O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe

O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ONDA Autorun CDROM Monitor - Unknown owner - C:\WINDOWS\system32\SupportAppXL\onda_mon.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe (file missing)

O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 8676 bytes

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Start, esegui e digita:

sc delete CRVS service

premi invio, poi:

Avvia HiJackThis e:

● clicca sul pulsante Do a system scan only/Scan

metti la spunta accanto ad ogni singola voce indicata sotto

● una volta spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet

● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su

Queste sono le voci da fixare:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zon...1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zon...nt.cab56907.cab

Infine:

Scarica Malwarebytes' Anti-Malware Free Version: http://www.malwarebytes.org

● doppio click su mbam-setup per avviare il setup

● in fase di installazione, lascia la spunta a:

Aggiorna Malwarebytes' Anti-Malware

Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:

● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )

● verrà mostrata la schermata principale del tool

● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione

● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione

● attendi pazientemente il termine della scansione

● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo

● se vengono rilevate infezioni: eliminale, cliccando su Rimuovi elementi selezionati

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Grazie..

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Versione database: 6588

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

16/05/2011 17.15.55

mbam-log-2011-05-16 (17-15-55).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|H:\|)

Elementi esaminati: 294859

Tempo trascorso: 2 ore, 7 minuti, 20 secondi

Processi infetti in memoria: 0

Moduli di memoria infetti: 1

Chiavi di registro infette: 1

Valori di registro infetti: 0

Voci infette nei dati di registro: 0

Cartelle infette: 1

File infetti: 4

Processi infetti in memoria:

(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:

c:\WINDOWS\system32\riched.dll (Malware.Packer.Gen) -> Delete on reboot.

Chiavi di registro infette:

HKEY_CURRENT_USER\Software\Visicom Media (Adware.KeenValue) -> Quarantined and deleted successfully.

Valori di registro infetti:

(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:

(Non sono stati rilevati elementi nocivi)

Cartelle infette:

c:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

File infetti:

c:\WINDOWS\system32\riched.dll (Malware.Packer.Gen) -> Delete on reboot.

c:\documents and settings\User\impostazioni locali\Temp\svchost.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.

c:\documents and settings\User\impostazioni locali\Temp\tasks\OB_IT.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\windows\temp\37f.tmp (Trojan.Malagent) -> Quarantined and deleted successfully.

Modificato da Darking

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

@fdac

consiglierei al nostro amico un pò di prudenza nei consigli da fornire per disinfestare i pc degli iscritti... :thumbdown1:

ben vengano le giuste tecniche di rilevamento delle minacce certe e/o possibili, ma è necessario tenere bene a mente che molte voci di registro, attivazioni di task/driver/processi, sono relative a sw legittimi (vedi il BHO di Messenger), che l'utente vorrebbe magari conservare o quanto meno vorrebbe decidere autonomamente se eliminare.

Detto poi per inciso, non consiglierei di fare operazioni di questo genere attraverso HiJackThis, che usa metodi "giustamente" drastici...

Le abitudini nostre sono diverse da quelle degli altri !!

Lodi invece per la precisione delle istruzioni e per il loro formato.... :thumbsup5:

Ciao, Dinop...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

@fdac

consiglierei al nostro amico un pò di prudenza nei consigli da fornire per disinfestare i pc degli iscritti... :thumbdown1:

ben vengano le giuste tecniche di rilevamento delle minacce certe e/o possibili,

Ricordiamoci sempre che tali tecniche giuste o sbagliate che siano hanno bisogno di un'attenta analisi e di un'altrettanta attenta interpretazione, per poter intervenire sugli stessi con gli strumenti più idonei :think1:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Dopo questi processi il virus non mi viene più rilevato, ma quando accendo il pc, appena windows carica la schermata di inserimento password si sente uno strano bip, mai sentito prima...di che si tratta?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Processi "vitali" non sono stati toccati. La maggior parte delle voci che ti e' stato detto di fixare appartengono a processi che per ottimizzare il sistema su xp in effetti sarebbe meglio far partire su richiesta e non all'avvio del sistema operativo, semplicemente come hanno fatto notare dinop e mr4010, che hanno decisamente piu' esperienza di me in campo virus/malware hijackthis non e' decisamente lo strumento piu' adatto per tali scopi in quanto e' troppo "drastico", se usato male crea piu' danni che altro. Tra l'altro fare un'analisi senza avere sottomano il sistema in questione richiede molta piu' esperienza e attenzione rispetto ad usare il programma con un pc che si ha sottomano.

Da quel che vedo ad occhio il problema dovrebbe essere da qualche parte tra msn messenger, i driver nvidia, nero e software proprietario dell'hp. Tieni anche presente che son stati tolti dall'avvio automatico gli aggiornamenti della macchina virtuale java e di adobe reader e che le funzioni online del photoshop probabilmente al momento non funzionano.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora