www.MegaLab.it

[Moro]

Ciao a tutti e grazie in anticipo per l'aiuto,
all'avvio del pc avast mi segnala sempre la presenza di un CAVALLO DI TROIA:

in C:\data.exe[upx]

ed è un win32.horst-l [trj]

seguendo i consigli di avast (cancella o sposta nel cestino) mi torna comunque fuori la volta successiva che riaccendo il pc.

io ho avast come antivirus e sygate come firewall.
a dire la verita il virus ce l'ho da più di un mese e non mi ha mai dato noia, però non credo sia la cosa migliore lasciarlo li.

questo è il mio log di hijack

Logfile of HijackThis v1.98.2
Scan saved at 10.36.55, on 17/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\vsnpstd2.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MSNMES~1\DEVICE~1\msgrdvmn.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Mario Luca\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [gaSrve] C:\WINDOWS\gaSrve.exe
O4 - HKLM\..\Run: [resagnt] C:\WINDOWS\restun.exe
O4 - HKLM\..\Run: [FCbVLramex.exe] C:\WINDOWS\FCbVLramex.exe
O4 - HKLM\..\Run: [PaOtDgaSrve.exe] C:\WINDOWS\PaOtDgaSrve.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsLivePhone] "C:\PROGRA~1\MSNMES~1\DEVICE~1\msgrdvmn.exe" /AutoRun
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programmi\AIM\aim.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL


grazie a chi mi risponderà, è la prima volta che uso il forum spero di aver posto il mio argomento nel posto giusto.

[Moro]

scusate ma ho sbagliato il nome del tipo di malware credo sia
win32:horst-I [trj] anzichè win32-L [trj] come avevo messo prima.

scusatemi di nuovo, e grazie per l'aiuto

[crazy.cat]

Fai sparire anche questi quattro files
O4 - HKLM\..\Run: [gaSrve] C:\WINDOWS\gaSrve.exe
O4 - HKLM\..\Run: [resagnt] C:\WINDOWS\restun.exe
O4 - HKLM\..\Run: [FCbVLramex.exe] C:\WINDOWS\FCbVLramex.exe
O4 - HKLM\..\Run: [PaOtDgaSrve.exe] C:\WINDOWS\PaOtDgaSrve.exe

sygate è ormai vecchio e non più aggiornato, avast perde molti colpi, un bel aggiornamento di sw non sarebbe male.

Fai una scansione con A2 squared per vedere se ti trova dell'altro.

[Moro]

Fai sparire anche questi quattro files
O4 - HKLM\..\Run: [gaSrve] C:\WINDOWS\gaSrve.exe
O4 - HKLM\..\Run: [resagnt] C:\WINDOWS\restun.exe
O4 - HKLM\..\Run: [FCbVLramex.exe] C:\WINDOWS\FCbVLramex.exe
O4 - HKLM\..\Run: [PaOtDgaSrve.exe] C:\WINDOWS\PaOtDgaSrve.exe

sygate è ormai vecchio e non più aggiornato, avast perde molti colpi, un bel aggiornamento di sw non sarebbe male.

Fai una scansione con A2 squared per vedere se ti trova dell'altro.

GRAZIE
cos'è l'aggiornamento sw?

ho eliminato:
O4 - HKLM\..\Run: [FCbVLramex.exe] C:\WINDOWS\FCbVLramex.exe
O4 - HKLM\..\Run: [PaOtDgaSrve.exe] C:\WINDOWS\PaOtDgaSrve.exe

ma non gli altri 2 perché non c'erano più!

adesso sto facendo una scansione con a2squared. non so se il trojan sia sparito, al massimo tra qualche giorno vi faccio un'altro resoconto!!!

grazie ancora ciao

[Zane]

Mi sono imbattuto nello stesso trojan la settimana scorsa, sulla macchina di un cliente. Ti dico solo "buon divertimento", la rimozione non è semplicissima: se non hai una certa esperienza ti consiglio di formattare..

[crazy.cat]

cos'è l'aggiornamento sw?

Cambiare il programma (il sw) con uno più nuovo e aggiornato come zone alarm o Comodo firewall.