MegaLab.it

Inviato: **sab mag 19, 2007 7:49 pm**

Da circa una settimana all' interno del mio computer si è introdotto un Trojan Webus.

Mi Viene fuori questo messaggio:

Nome oggetto: I:\docomenti 1\Jonny\impost 1\temp\15ex1njs.a.exe
Nome virus: Trojan Webus
Azione intrapresa: Il file è stato automaticamente eliminato

Effettivamente quando eseguo la scansione il norton indica 0 virus, però dopo un certo periodo di tempo mi appare una schermata che mi indica che 27exgmtxt.1.exe. si sta connettendo a un server DSN.
Cliccando su operazione consigliata mi appare una schermata che visuallizza la posta di Gmail con vari messaggi.
Io nn mi sono isritto alla posta di google e quindi vorrei dei consigli su come risolvere il problema?

Grazie in anticipo.

[/b]

Inviato: **sab mag 19, 2007 8:22 pm**

Disabilita il ripristino dei file di sistema (tasto destro su risorse del computer -> proprieta' -> ripristino file di sistema)
Riavvia in modalita' provvisoria (premi F8 durante all'inizio dell'avvio di windows)
Fai una scansione completa con antivirus e anti-immondizia-assortita
Riavvia
Riabilita il ripristino dei file di sistema
Posta il log di hijackthis

Ciao ciao
CandYsRooM

Inviato: **sab mag 19, 2007 8:39 pm**

Cosa intendi per LOG hijackthis?

Inviato: **sab mag 19, 2007 8:49 pm**

jordan air ha scritto:Cosa intendi per LOG hijackthis?

Ma il resto l'hai fatto?

Hijackthis lo trovi qui. Lo avvii, fai click sul primo bottone, aspetti. Poi copi il contenuto del file di log (te lo apre lui) e lo posti sul forum

Inviato: **sab mag 19, 2007 9:50 pm**

e magari scansione con antivir oppure avs,probabilmente più efficaci di norton e pulizia con ccleaner

Inviato: **dom mag 20, 2007 12:11 pm**

Ho fatto la scansione in modalità provvisoria e poi la pulizia ccleaner il virus dovrebbe essere stato cancellato.

Inviato: **dom mag 20, 2007 12:16 pm**

no niente è riapparso nuovamente.

come posso risolvere la situazione?

Inviato: **dom mag 20, 2007 2:01 pm**

posta il log di hijackthis

lo scarichi e clicchi su do a system scan and save a log file,copia e incolla il risultato.in mod provv la scansione l'hai fatta con norton?

hai disabilitato il ripristino configurazione di sistema?

Inviato: **dom mag 20, 2007 3:11 pm**

molto probabilmente, nel log di hijackthis, troverai questo

O4 - HKLM\..\Run: [.nvsvc] C:\WINNT\system\smss.exe /w

dovrebbe essere il responsabile di quei file. mi faresti un piacere, se prima di eliminarlo, potessi inviare il file C:\WINNT\system\smss.exe a www.suspectfile.com tramite il modulo di upload della home page. mi farebbe comodo [^]

grazie

Inviato: **dom mag 20, 2007 6:49 pm**

Dunque ho scaricato il file hijackthis e ho cliccato do a system scan and seve log file, e la scansione lo fatta in mod. provvisoriacon il norton.

il file l' ho eliminato condi hijackthis (O4 - HKLM\..\Run: [.nvsvc] C:\WINNT\system\smss.exe /w) e adesso il virus dovrebbe essere stato eliminato

Inviato: **lun mag 21, 2007 4:58 pm**

sarebbe comunque meglio che postassi l'intero log qui sul forum [;)]

Inviato: **lun mag 21, 2007 10:24 pm**

è lo so, ma io faccio carica file e mi dice che è troppo grande.

Inviato: **lun mag 21, 2007 11:09 pm**

scusa ma se copi il risultato di hijackthis e lo incolli come risposta non dovresti avere problemi

Inviato: **lun mag 21, 2007 11:52 pm**

portroppo però nn ho salvato il file che indicava il virus e quindi nn serve + a molto.

Inviato: **mar mag 22, 2007 3:50 pm**

jordan air ha scritto:portroppo però nn ho salvato il file che indicava il virus e quindi nn serve + a molto.

tu copia il log qui sul forum, per il resto poi ci pensiamo noi [;)]

Inviato: **mar mag 22, 2007 4:40 pm**

Ecco qui!Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15.40.21, on 22/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
I:\Programmi\File comuni\Symantec Shared\ccProxy.exe
I:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
I:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
I:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
I:\WINDOWS\System32\nvsvc32.exe
I:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
I:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
I:\WINDOWS\System32\svchost.exe
I:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
I:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
I:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
I:\WINDOWS\Explorer.EXE
I:\Programmi\VisualTooltip\VisualToolTip.exe
I:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
I:\Programmi\Styler\Styler.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
I:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
I:\Programmi\LClock\LClock.exe
I:\Programmi\File comuni\Symantec Shared\ccApp.exe
I:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
I:\Programmi\QuickTime\qttask.exe
I:\Programmi\PC Connectivity Solution\ServiceLayer.exe
I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
I:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
I:\WINDOWS\system32\RUNDLL32.EXE
I:\Programmi\MSN Messenger\MsnMsgr.Exe
I:\WINDOWS\system32\rundll32.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
I:\DOCUME~1\Jonny\IMPOST~1\Temp\{6C03988D-7008-4422-8E32-0B3B9AB96E8A}\Blaero Start Orb.exe
I:\Programmi\Internet Explorer\iexplore.exe
I:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
I:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
I:\Programmi\Windows Live Toolbar\msn_sl.exe
I:\Programmi\WinRAR\WinRAR.exe
I:\DOCUME~1\Jonny\IMPOST~1\Temp\Rar$EX00.360\HiJackThis_v2.exe
I:\Programmi\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - I:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - I:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programmi\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - I:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - I:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - I:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - I:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programmi\google\googletoolbar1.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - I:\Programmi\Styler\TB\StylerTB.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [VisualTooltip] I:\Programmi\VisualTooltip\VisualToolTip.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] I:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Styler] I:\Programmi\Styler\Styler.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] I:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LClock] I:\Programmi\LClock\LClock.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "I:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Blaero Start Orb] I:\Programmi\Blaero Start Orb\Blaero Start Orb.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] I:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "I:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "I:\WINDOWS\TEMP\E_S94.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [swg] I:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "I:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://I:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://I:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?44ea621745c14c788c5608c1b62057d6
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://I:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?44ea621745c14c788c5608c1b62057d6
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A22B94C-74D4-4989-AA45-9E0C14802683}: NameServer = 85.37.17.15 85.38.28.74
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - I:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - I:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - I:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - I:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - I:\Programmi\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - I:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - I:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - I:\Programmi\Norton Internet Security\comHost.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - I:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - I:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - I:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - I:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - I:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - I:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ServiceLayer - Nokia. - I:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - I:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - I:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - I:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - I:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 10617 bytes

Inviato: **mar mag 22, 2007 5:04 pm**

Sembra pulito

Puoi fixare questa voce

Codice: Seleziona tutto: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Inviato: **mar mag 22, 2007 7:41 pm**

Si certamente il file maligno lo rimosso.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Eliminero la voce.

Grazie. [^]

MegaLab.it

Trojan Webus non se va !

Trojan Webus non se va !