Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Malware...Win32:Agent e Win32:Horst che fare?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Malware...Win32:Agent e Win32:Horst che fare?

Messaggioda ligabeppe » gio set 28, 2006 1:48 am

ciao a tutti,

mi son preso sti 2 trojan e non riesco a rimuoverli..ho usato adaware..spy doctor, antitroyan ma tornano sempre..l'antivirus Avast 200 volte al giorno mi suona l'allarme.

potete aiutarmi? premetto che non sono molto pratico di computer...

c'e una soluzione o devo formattare il disco?

ecco il risultato du hijackthis
aiutatemi pf...che devo fare??

Logfile of HijackThis v1.99.1
Scan saved at 17:37:12, on 27.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\essspk.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\Cacheman\Cacheman.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Giuseppe Tocci\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.live.com/login.srf?id=2&sv ... 0&_lang=IT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [msvsc32] MSDEV.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AnyDVD] D:\Anydvd 4.1.0.1\Crack\AnyDVD.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [msvsc32] MSDEV.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msvsc32] MSDEV.EXE
O4 - HKCU\..\Run: [Cacheman] C:\PROGRA~1\Cacheman\Cacheman.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VoipBuster] "C:\Programmi\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0500045643
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 6462483933
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Avatar utente
ligabeppe
Aficionado
Aficionado
 
Messaggi: 38
Iscritto il: gio set 28, 2006 1:44 am

Messaggioda Amantide » gio set 28, 2006 2:09 am

Rifai il log e fixa queste voci:

O4 - HKLM\..\Run: [msvsc32] MSDEV.EXE
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\RunServices: [msvsc32] MSDEV.EXE
O4 - HKCU\..\Run: [msvsc32] MSDEV.EXE
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Vai su Opzioni cartella ed abilita la visualizzazione dei file nascosti, ora apri Task Manager e termina il processo nvsvcd.exe. Ora con aiuto di Unlocker elimina i seguenti file:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
Tramite Cerca trova ed elimina il file netf.dll

Riavvia e fai la scansione online con Ewido e per evitare le spiacevole sorprese del genere installa un buon firewall, ad esempio Comodo.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda ligabeppe » gio set 28, 2006 2:19 am

grazie per la risposta ma io purtroppo non sono molto pratico puoi essere piu precisa?

Rifai il log e fixa queste voci:

O4 - HKLM\..\Run: [msvsc32] MSDEV.EXE
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\RunServices: [msvsc32] MSDEV.EXE
O4 - HKCU\..\Run: [msvsc32] MSDEV.EXE
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

intendi che rilancio il programma ma che intendi fixa queste voci?? come devo fare?

Vai su Opzioni cartella ed abilita la visualizzazione dei file nascosti, ora apri Task Manager e termina il processo nvsvcd.exe. Ora con aiuto di Unlocker elimina i seguenti file:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
Tramite Cerca trova ed elimina il file netf.dll

cosa sarebbe unlocker? non posso fare semplicemente delete?

Riavvia e fai la scansione online con Ewido e per evitare le spiacevole sorprese del genere installa un buon firewall, ad esempio Comodo.

scansione online con Ewido? come si fa?

scusa, se mi dai una mano sei davvero gentile..

graziee
Avatar utente
ligabeppe
Aficionado
Aficionado
 
Messaggi: 38
Iscritto il: gio set 28, 2006 1:44 am


Messaggioda crazy.cat » gio set 28, 2006 2:34 am

Codice: Seleziona tutto
intendi che rilancio il programma ma che intendi fixa queste voci?? come devo fare?

Si, rlanci hijackthis e metti il flag nella casellina a sinistra di queste voci e poi premi fix.

Codice: Seleziona tutto
cosa sarebbe unlocker? non posso fare semplicemente delete?

Non è detto che funzioni con Delete.
Usa Delete doctor per cancellare i file e una volta selezionati riavvia subito il pc, leggi le istruzioni
http://www.MegaLab.it/2427

Codice: Seleziona tutto
scansione online con Ewido? come si fa?

Scaricati questo programma, lo installi e lo aggiorni e fai la scansione
http://www.emsisoft.it/it/software/free/

X Amantide, ho provato gli scan online degli antispyware con articolo in arrivo prima o poi.
Meglio lasciar perdere, l'unico decente è quello della Trend micro, ma sono pericolosi.
Meglio uno scan offline con un qualsiasi programma decente.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Amantide » gio set 28, 2006 2:35 am

Nessun problema [:-D]
Allora, prima rifai la scansione con Hijackthis, metti la spunta accanto a queste voci e premi Fix Checked.
O4 - HKLM\..\Run: [msvsc32] MSDEV.EXE
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\RunServices: [msvsc32] MSDEV.EXE
O4 - HKCU\..\Run: [msvsc32] MSDEV.EXE
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Ora, sempre su Hijackthis clicca su Config--> Misc Tools e apri Open Process Manager. Trova questo processo C:\WINDOWS\system32\nvsvcd.exe, lo selezioni e premi Kill Process.

Ora devi eliminare questi files
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
Il file netf.dll, che dovrebbe trovarsi in questa cartella: C:\WINDOWS\system32\

Puoi farlo anche con Hijackthis. Devi andare sempre su Misc Tools e scegliere Delete a file on Reboot. Selezioni uno alla volta i file da eliminare e riavvia il computer. Per visualizzare questi file, devi andare su Pannello di controllo--> Opzioni cartella e metti la spunta accanto a Visualizza i file e le cartelle nascosti.

Per fare la scansione online con Ewido, non devi fare nient altro che cliccare sul link postato prima e proseguire la scansione.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda ligabeppe » gio set 28, 2006 4:52 am

non ho capito opzioni cartellla...dove?? di che programma'?


Vai su Opzioni cartella ed abilita la visualizzazione dei file nascosti, ora apri Task Manager e termina il processo nvsvcd.exe
Avatar utente
ligabeppe
Aficionado
Aficionado
 
Messaggi: 38
Iscritto il: gio set 28, 2006 1:44 am

Messaggioda ligabeppe » gio set 28, 2006 4:59 am

Tramite Cerca trova ed elimina il file netf.dll

non ho trovato esattamente questo ma
netfxperf.dell

butto questo? è sotto c/window/system 32
Avatar utente
ligabeppe
Aficionado
Aficionado
 
Messaggi: 38
Iscritto il: gio set 28, 2006 1:44 am

Messaggioda ligabeppe » gio set 28, 2006 5:35 am

ecco ho seguito tutti i punti..ora sta facendo la scansione con a-squared

e avast mi ha buttato fuori un altro cavallo di troia

Win32:Banker-AND

[cry+] [cry+]

che devo fare?
Avatar utente
ligabeppe
Aficionado
Aficionado
 
Messaggi: 38
Iscritto il: gio set 28, 2006 1:44 am

Messaggioda ligabeppe » ven set 29, 2006 7:41 pm

il problema sembra risolto!! [:-D]

ci tenevo a ringraziare pubblicamente chi mi ha dato una mano.

grazie 1000, siete dei grandi!

ciao
Beppe
Avatar utente
ligabeppe
Aficionado
Aficionado
 
Messaggi: 38
Iscritto il: gio set 28, 2006 1:44 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising