www.MegaLab.it

da **Josephine** » mar gen 30, 2007 3:31 pm

Amantide ha scritto:Forse ora ci siamo.
Abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti) e vedi se ci sono questi file
c:\windows\system32\nvsvcd.exe
c:\windows\system\smss.exe
Se ci sono, eliminali dalla modalità provvisoria o con aiuto di Unlocker o KillBox, dopo di che puoi eliminare anche setup.exe ed autorun.inf.
Scarica anche CCleaner e svuota i file temporanei con il suo aiuto.

I due file non ci sono, la pulizia con CCleaner la faccio ogni dì...per il momento non ricompare, sarà perché è nel cestino di avast...boh, non so che pensare [V]

da **Amantide** » mar gen 30, 2007 4:02 pm

Nel tuo caso credo che sia come dice bReAkDOwN, sono stati gli altri ad infettarti. Ora, con i dovuti accorgimenti, non dovrebbe ripetersi più.

da **Josephine** » mar gen 30, 2007 4:31 pm

grazie mille [:)]

da **Mr_Karim** » ven feb 02, 2007 2:27 pm

Ciao ragazzi... anche io ho preso sto virus... vi posto il log di hijack

Logfile of HijackThis v1.99.1
Scan saved at 13.19.41, on 02/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\utente\IMPOST~1\Temp\Rar$EX00.171\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C42 Series (Copia 1)" /O6 "USB002" /M "Stylus C42"
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7880336501
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

potete darmi una mano? grazie mille

da **Amantide** » ven feb 02, 2007 5:35 pm

Ciao Mr_Karim
Il tuo log è pulito ed anche per te valgono i consigli di prima, blocca la condivisione dei file e proteggi le porte 135 e 139, puoi usare questo tool per farlo, Windows Worm Door Cleaner

da **Klevin** » lun feb 05, 2007 2:55 pm

Inanzi tutto saluto tutti visto che sno nuovo :p.... comunque anche io ho questa troja nel pc ... questo file che fa di precisoWindows
"Worm Door Cleaner "?

mica qualcuno usa skype o ts che mi spiegherebbe gentilmente come sistema il pc pls ... grazie in anticipo

ma è possibile che questo trojan avast me lo trova in un modo e avg in unaltro ? tipo avast cosi come da nome del thrade e avg tipo proxy0... qualcosa ?!!

da **Amantide** » lun feb 05, 2007 3:31 pm

Klevin ha scritto:Inanzi tutto saluto tutti visto che sno nuovo :p....

Ciao e benvenuto [:)]

comunque anche io ho questa troja nel pc ... questo file che fa di precisoWindows
"Worm Door Cleaner "?

Permette di disabilitare con un click le porte che vengono maggiormente sfuttate dai vari malware per attaccare il SO.

mica qualcuno usa skype o ts che mi spiegherebbe gentilmente come sistema il pc pls ... grazie in anticipo

Questo è un forum e come tale dev'essere usato [nonono]

Leggere Regolamento.

ma è possibile che questo trojan avast me lo trova in un modo e avg in unaltro ? tipo avast cosi come da nome del thrade e avg tipo proxy0... qualcosa ?!!

Non c'è nulla di strano in questo, tutte le case software lavorano indipendemente dagli altri e quindi anche i nomi ai vari virus vengono attribuiti senza consultare il database di concorenti.

da **Klevin** » lun feb 05, 2007 5:39 pm

capisco... comunque chiedevo ts o skype perché non mi so destreggiare bene nelle viscere del pc... pls mi puoi spiegare come levare sto trojan :P grazie

da **Amantide** » lun feb 05, 2007 5:44 pm

Hai provato a leggere con attenzione i post precedenti e seguire i consigli dati agli altri utenti?

da **Klevin** » lun feb 05, 2007 5:45 pm

si..... senti una cosa il programma wind worms door...etc.... come lo uso?

da **Amantide** » lun feb 05, 2007 5:53 pm

E' strafacilissimo, come puoi vedere anche dagli screenshots, non devi fare altro che cliccare sui bottoni Disable [porta desiderata].

da **Klevin** » lun feb 05, 2007 6:16 pm

Umm mo posto no screen .... dove devo anda per disabilitare le due parte che hai detto la 139 e la 135 ???

:P grazie dell'aiuto

poi io il file nvsvcd.exe non lo ho ho .... ho solo il file smss.exe

se mi spiegate come blocca le porrte col programma poi riavvio in provvisorio e deleto il file smss.exe e basta giusto ?! :P

da **Amantide** » lun feb 05, 2007 6:21 pm

No no, non devi eliminare nulla. Il file smss.exe che hai è sicuramente quello buono che si trova in system32 e non in system.
Se anche tu hai fastweb, allora devi disabilitare la condivisione dei file e disabilitare le porte indicate.
Devi cliccare su Disable DCOM e su Close 139.

da **Klevin** » lun feb 05, 2007 6:31 pm

allego screen dopo avere settato sul prgramma le cose dimmi se va bene... e poi che altro devo fare ?..

CCleaner come lo suo? devo settare .. spuntare qualcosa?

ho paura di elmininare qualcosa di sbagliato :P

emm poi il file smss.exe sta solo in questi 2 percorsi C:\$WIN_NT$.~BT|system32
C:\WINDOWS\system32

da **Klevin** » mar feb 06, 2007 1:58 pm

che altro devo fare? ..

da **Amantide** » mar feb 06, 2007 2:16 pm

Klevin ha scritto:che altro devo fare? ..

Per potertelo dire dovrei sapere cosa hai già fatto [uhm]

da **Klevin** » mar feb 06, 2007 5:30 pm

allora ho cliccato dove hai detto te nel programma per blocca le porte (vedi lo screen) e poi ho messo fail visibile e ho levato le spunte nelle opzioni di connessione come negli screen della tipa che ha postato per prima e poi ho fatto la pulizia con ccleaner e deletato file il setup nn c'è + almeno nn lo vedo pero il auto run oggi lo ho ricancellato ... me so dimenticato di fa qualcosa?

da **Amantide** » mar feb 06, 2007 5:47 pm

Dovrebbe essere apposta cosi.

Fai anche la scansione con A-squared o SuperAntispyware e vedi se trovano qualche altra cosa sospetta.

da **zuzzino** » ven feb 09, 2007 11:19 pm

Ciao a tutti!!

è il mio primo messaggio qui.. e sinceramente avrei voluto non farlo !! (non per voi, ma per questo problema..)

Avast mi ha trovato l'ormai famoso

win32:horst-gv

la mia situazione è più o meno la stessa degli altri:
- hag di fastweb con 3 pc collegati
- ho AVAST come antivirus
- ho un altro pc in casa con questo trojan
- mi esce nella cartella c:\documentandsettings\alluser\documenti condivisi\setup.exe
- mi crea un file di autorun SEMPRE ognivolta che si ricrea il trojan
- ovviamente se cancellato, si ricrea
- ho messo qualunque antispyware ma nessuno lo trova, ho fatto una scansione anche in modalità provvisoria, ma niente...

vi prego aiutatemi... e complimenti per questo bellissimo forum!

da **crazy.cat** » sab feb 10, 2007 9:28 am

zuzzino ha scritto:Ciao a tutti!!
vi prego aiutatemi... e complimenti per questo bellissimo forum!

Hai seguito le istruzioni di amantide?
http://www.MegaLab.it/forum/viewtopic.p ... 493#228493

Che programmi hai già usato?

Posta anche il log della scansione di hijackthis.

www.MegaLab.it

Win32:horst-GV

Chi c’è in linea