Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

trojan PSW.Generic2.RMB

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

trojan PSW.Generic2.RMB

Messaggioda itoogami » mer giu 20, 2007 10:13 pm

Ciao!
All' accensione del computer, AVG mi rileva il file
C:\Programmi\Files Comuni\System\ClE.exe
infettato dal Trojan horse PSW.Generic2.RMB, Trojan che non posso eliminare nè mettere in quarantena perché mi appare il messaggio accesso negato.
Inoltre mi segnala come cambiati i files
C:\Windows\System32\kernel32.dll
C:\Windows\System32\drivers\etc\hosts
GMER e AVENGER non li posso aprire, invio la foto di task manager

[URL=http://img122.imageshack.us/my.php?image=taskul6.jpg][IMG]http://img122.imageshack.us/img122/8205/taskul6.th.jpg[/IMG][/URL]

Questa invece è la scansione con Hijacking
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.59.56, on 20/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\ito\IMPOST~1\Temp\Directory temporanea 3 per HiJackThis_v2.zip\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.tele2.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Class - {A1582DC2-E4CD-7992-AEFF-45981C5BD23F} - C:\WINDOWS\lmrbl1.dll (file missing)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{657FFDBB-3C88-4A06-AE97-DD9AF76FCF5B}: NameServer = 85.37.17.14 85.38.28.78
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

--
End of file - 4148 bytes

Ho provato ad eliminare il file C:\Programmi\Files Comuni\System\ClE.exe con KillBox ma mi dice che il file sembra non esistere, selezionando l'opzione Delete on Reboot compare PendingFileRenameOperations Registry Data has been Removed by External Process! e in modalità provvisoria la finestrella che dice a quale processo è legato risulta vuota ed il bottone kill
inattivo.

Ringrazio tutti coloro che mi vorranno aiutare.
Avatar utente
itoogami
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mer giu 20, 2007 5:15 pm

Re: trojan PSW.Generic2.RMB

Messaggioda crazy.cat » gio giu 21, 2007 8:51 am

rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix
itoogami ha scritto:R3 - Default URLSearchHook is missing
O2 - BHO: Class - {A1582DC2-E4CD-7992-AEFF-45981C5BD23F} - C:\WINDOWS\lmrbl1.dll (file missing)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k


Potrebbe essere questo virus
http://www.MegaLab.it/2615
Usa virit per una scansione completa del disco e il tools della nod per cancellare il file che hai visto, potrebbe anche non essere il solo controlla in quelle cartelle se ci sono degli altri exe simili.
Trovi i link dei programmi nell'articolo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda itoogami » gio giu 21, 2007 8:50 pm

ho fixato i files e usato virit: volevo sapere se prima di scaricare nod32 devo disinstallare avg
Avatar utente
itoogami
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mer giu 20, 2007 5:15 pm


Messaggioda wolly76 » gio giu 21, 2007 10:13 pm

Si devi disinstallare il vecchi antivirus
una domanda come mai metti nod32 che è a pagamento quando ci sono antivirus free che fanno egregiamente il loro lavoro tipo antivir e active virus shield?
"Se le auto funzionassero come i software, si bloccherebbero due volte al giorno senza motivo e l'unica soluzione sarebbe reinstallare il motore"
Avatar utente
wolly76
Senior Member
Senior Member
 
Messaggi: 354
Iscritto il: gio gen 04, 2007 2:54 pm
Località: C:\WINDOWS

Messaggioda itoogami » ven giu 22, 2007 12:48 am

il messaggio sopra dice di usare il tools della nod per cancellare il file......non ha niente a che vedere con nod32?
Avatar utente
itoogami
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mer giu 20, 2007 5:15 pm

Messaggioda wolly76 » ven giu 22, 2007 7:52 am

non avevo letto che si trattava di un removal tool pensavo che volessi installare l'antivirus [:D]
"Se le auto funzionassero come i software, si bloccherebbero due volte al giorno senza motivo e l'unica soluzione sarebbe reinstallare il motore"
Avatar utente
wolly76
Senior Member
Senior Member
 
Messaggi: 354
Iscritto il: gio gen 04, 2007 2:54 pm
Località: C:\WINDOWS

Messaggioda crazy.cat » ven giu 22, 2007 8:37 am

itoogami ha scritto:il messaggio sopra dice di usare il tools della nod per cancellare il file......non ha niente a che vedere con nod32?

Non è un antivirus, è solo un file eseguibile che di solito riesce ad eliminare quel tipo di file.
Non disinstallare niente.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda itoogami » ven giu 22, 2007 5:55 pm

ho cancellato il file C:\Programmi\Files Comuni\System\ClE.exe, ma in quanto a capire se ci sono files simili.......invio foto della cartella

[URL=http://img519.imageshack.us/my.php?image=immagineac8.jpg][IMG]http://img519.imageshack.us/img519/638/immagineac8.th.jpg[/IMG][/URL]
[URL=http://img452.imageshack.us/my.php?image=immagine1aa8.jpg][IMG]http://img452.imageshack.us/img452/2116/immagine1aa8.th.jpg[/IMG][/URL]

dei 2 files cambiati
C:\Windows\System32\kernel32.dll
C:\Windows\System32\drivers\etc\hosts
devo preoccuparmi ?
Avatar utente
itoogami
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mer giu 20, 2007 5:15 pm

Messaggioda crazy.cat » ven giu 22, 2007 6:44 pm

Se facevi le foto più piccole le vedevo meglio........
non si capisce niente, ma mi sembrano tutti file fasulli.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda itoogami » ven giu 22, 2007 8:28 pm

ho cercato di usare le istruzioni date per lo screenshot del task manager, ci provo e riprovo ma niente, la foto mi viene sempre piccola...
Avatar utente
itoogami
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mer giu 20, 2007 5:15 pm

Messaggioda crazy.cat » ven giu 22, 2007 8:35 pm

Allarghi la finestra a tutto schermo, premi stamp sulla tastiera e poi incolli il tutto in un immagine con paint, non può venire così piccola.
Metti magari la visualizzazione dei dettagli e delle estensioni dei file in quella finestra.
In caso leggi qui
http://www.MegaLab.it/2995
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda itoogami » ven giu 22, 2007 11:08 pm

Avatar utente
itoogami
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mer giu 20, 2007 5:15 pm

Messaggioda crazy.cat » sab giu 23, 2007 8:45 am

Se nelle proprietà delle cartelle metti di visualizzare le estensioni dei file, tutti quei file in verde dovrebbero essere degli exe e sono tutti rimasugli del virus.
Da eliminare, quelli che puoi direttamente da gestione risorse, quelli che non si riesce con il tools della nod.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda itoogami » sab giu 23, 2007 12:51 pm

bene, li ho eliminati tutti
volevo ancora sapere se i 2 files cambiati
C:\Windows\System32\kernel32.dll
C:\Windows\System32\drivers\etc\hosts
mi possono dare qualche problema
Avatar utente
itoogami
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mer giu 20, 2007 5:15 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising