Condividi:        

2 troyan TR/Dldr.cex.33

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

2 troyan TR/Dldr.cex.33

Postdi eleivga » 24/07/11 11:09

Ciao a tutti,
per favore potete aiutarmi ? Avira li ha messi in quarantena ma io vorrei con i Vs. preziosi consigli sapere se è davvero tutto sistemato; vi allego il log di HJ:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.16.07, on 24/07/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Logishrd\LVMVFM\LVPrcSrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programmi\Logitech\LWS\Webcam Software\LWS.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\File comuni\Java\Java Update\jucheck.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programmi\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [LWS] C:\Programmi\Logitech\LWS\Webcam Software\LWS.exe -hide
O4 - HKLM\..\Run: [HitmanPro35] "C:\Programmi\Hitman Pro 3.5\HitmanPro35.exe" /scan:boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2438679203
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/A ... tPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programmi\File comuni\Logishrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7619 bytes
Grazie in anticipo a chiunque
eleivga
Utente Senior
 
Post: 294
Iscritto il: 07/08/09 12:36

Sponsor
 

Re: 2 troyan TR/Dldr.cex.33

Postdi Murdekai » 24/07/11 14:03

Dal Log non si notano particolari anomalie. Ho visto che hai Hitman Pro installato. Esegui una scansione col suddetto Software, e posta il report.
Esegui anche questa scansione:
Scarica Malwarebytes' Anti-Malware - Free Edition: http://www.malwarebytes.org
● doppio click su mbam-setup.exe per avviare il setup
● in fase di installazione, lascia la spunta alle voci b]Aggiorna Malwarebytes' Anti-Malware[/b] e Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK ad entrambi i messaggi, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente
Murdekai
 

Re: 2 troyan TR/Dldr.cex.33

Postdi eleivga » 24/07/11 19:34

Grazie Murdekay,
Hitman era installato sì ma avevo terminato il periodo di prova; così ho fatto solo la scansione con Malware di ti allego il log: (fammi sapere se devo reistallare Hitman e rifare la scansione)
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Versione database: 7262

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/07/2011 20.02.26
mbam-log-2011-07-24 (20-02-26).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|G:\|H:\|I:\|)
Elementi esaminati: 207476
Tempo impiegato: 1 ore, 30 minuti, 30 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

Attendo notizie, grazie.
eleivga
Utente Senior
 
Post: 294
Iscritto il: 07/08/09 12:36

Re: 2 troyan TR/Dldr.cex.33

Postdi Riverside » 24/07/11 20:44

eleivga ha scritto:Hitman era installato sì ma avevo terminato il periodo di prova; così ho fatto solo la scansione con Malware di ti allego il log: (fammi sapere se devo reistallare Hitman e rifare la scansione).

Ciao Ele 8)

Non devi installare nulla; il log di Malwarebytes è a posto. Esegui una scansione completa del sistema con Avira ed allega il report che verrà rilasciato al termine della scansione (non dovrebbe trovare nulla ma, in ogni caso controlliamo).

Off Topic: Francesco, gradirei che, da questo momento (ovvero da quando leggerai questo reply) tu la piantassi di fare uso (copia) delle mie indicazioni (e non solo su questo forum).
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: 2 troyan TR/Dldr.cex.33

Postdi Murdekai » 25/07/11 16:32

Dei tuoi copia e incolla ne ho presi un paio, manipolati (in bene) e non vedo perchè non dovrei usarli.
Insomma, li hai fatti bene (almeno quelli).
Se preferisci chiarire la questione in privato, scrivimi pure un MP :P
Murdekai
 

Re: 2 troyan TR/Dldr.cex.33

Postdi eleivga » 25/07/11 19:27

Ciao Riverside,
eccolo :roll:


Avira AntiVir Personal
Data del file di report: lunedì 25 luglio 2011 19:03

Ricerca di 3280439 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : PC-ELENA

Informazioni sulla versione:
BUILD.DAT : 10.0.0.81 31821 Bytes 04/04/2011 10:19:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 27/04/2011 19:42:37
AVSCAN.DLL : 10.0.3.0 54120 Bytes 01/09/2010 13:50:16
LUKE.DLL : 10.0.3.2 104296 Bytes 20/12/2010 17:36:52
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 20:26:50
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 07:21:12
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 10:55:46
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 19:26:04
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 14:05:21
VBASE006.VDF : 7.11.10.252 2048 Bytes 07/07/2011 14:05:21
VBASE007.VDF : 7.11.10.253 2048 Bytes 07/07/2011 14:05:21
VBASE008.VDF : 7.11.10.254 2048 Bytes 07/07/2011 14:05:21
VBASE009.VDF : 7.11.10.255 2048 Bytes 07/07/2011 14:05:21
VBASE010.VDF : 7.11.11.0 2048 Bytes 07/07/2011 14:05:21
VBASE011.VDF : 7.11.11.1 2048 Bytes 07/07/2011 14:05:21
VBASE012.VDF : 7.11.11.2 2048 Bytes 07/07/2011 14:05:21
VBASE013.VDF : 7.11.11.75 688128 Bytes 12/07/2011 19:11:59
VBASE014.VDF : 7.11.11.104 978944 Bytes 13/07/2011 19:12:04
VBASE015.VDF : 7.11.11.137 655360 Bytes 14/07/2011 19:12:08
VBASE016.VDF : 7.11.11.184 699392 Bytes 18/07/2011 08:47:36
VBASE017.VDF : 7.11.11.214 414208 Bytes 19/07/2011 08:47:39
VBASE018.VDF : 7.11.11.242 772096 Bytes 20/07/2011 08:47:44
VBASE019.VDF : 7.11.12.3 1291776 Bytes 20/07/2011 08:47:52
VBASE020.VDF : 7.11.12.30 844288 Bytes 21/07/2011 08:47:56
VBASE021.VDF : 7.11.12.67 149504 Bytes 24/07/2011 17:02:10
VBASE022.VDF : 7.11.12.93 195072 Bytes 25/07/2011 17:02:12
VBASE023.VDF : 7.11.12.94 2048 Bytes 25/07/2011 17:02:12
VBASE024.VDF : 7.11.12.95 2048 Bytes 25/07/2011 17:02:12
VBASE025.VDF : 7.11.12.96 2048 Bytes 25/07/2011 17:02:13
VBASE026.VDF : 7.11.12.97 2048 Bytes 25/07/2011 17:02:13
VBASE027.VDF : 7.11.12.98 2048 Bytes 25/07/2011 17:02:13
VBASE028.VDF : 7.11.12.99 2048 Bytes 25/07/2011 17:02:13
VBASE029.VDF : 7.11.12.100 2048 Bytes 25/07/2011 17:02:13
VBASE030.VDF : 7.11.12.101 2048 Bytes 25/07/2011 17:02:13
VBASE031.VDF : 7.11.12.103 2048 Bytes 25/07/2011 17:02:13
Motore : 8.2.6.18
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/09/2010 13:21:59
AESCRIPT.DLL : 8.1.3.73 1622395 Bytes 17/07/2011 19:12:29
AESCN.DLL : 8.1.7.2 127349 Bytes 24/11/2010 17:13:51
AESBX.DLL : 8.2.1.34 323957 Bytes 04/06/2011 05:20:32
AERDL.DLL : 8.1.9.13 639349 Bytes 17/07/2011 19:12:26
AEPACK.DLL : 8.2.9.5 676214 Bytes 17/07/2011 19:12:25
AEOFFICE.DLL : 8.1.2.12 201083 Bytes 17/07/2011 19:12:23
AEHEUR.DLL : 8.1.2.146 3633527 Bytes 24/07/2011 08:48:10
AEHELP.DLL : 8.1.17.6 254326 Bytes 24/07/2011 08:48:00
AEGEN.DLL : 8.1.5.6 401780 Bytes 20/05/2011 19:04:08
AEEMU.DLL : 8.1.3.0 393589 Bytes 24/11/2010 17:13:40
AECORE.DLL : 8.1.22.4 196983 Bytes 17/07/2011 19:12:11
AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2010 13:21:51
AVWINLL.DLL : 10.0.0.0 19304 Bytes 01/09/2010 13:22:03
AVPREF.DLL : 10.0.0.0 44904 Bytes 01/09/2010 13:22:02
AVREP.DLL : 10.0.0.10 174120 Bytes 17/05/2011 20:18:50
AVREG.DLL : 10.0.3.2 53096 Bytes 01/09/2010 13:22:02
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 27/04/2011 19:42:37
AVARKT.DLL : 10.0.22.6 231784 Bytes 20/12/2010 17:36:49
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01/09/2010 13:22:01
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:20
AVSMTP.DLL : 10.0.0.17 63848 Bytes 01/09/2010 13:22:02
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:20
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 12/02/2010 13:11:56
RCTEXT.DLL : 10.0.58.0 98664 Bytes 01/09/2010 13:22:22

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio

Avvio della scansione: lunedì 25 luglio 2011 19:03

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[NOTA] L'inserimento della registrazione non è visibile.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'msdtc.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '60' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'vssvc.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '67' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '65' modulo(i) scansionato(i)
Scansione processo 'jucheck.exe' - '49' modulo(i) scansionato(i)
Scansione processo 'wuauclt.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '38' modulo(i) scansionato(i)
Scansione processo 'nvsvc32.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'NMSAccessU.exe' - '14' modulo(i) scansionato(i)
Scansione processo 'MDM.EXE' - '23' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'mbamgui.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '28' modulo(i) scansionato(i)
Scansione processo 'AdobeARM.exe' - '42' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'LWS.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'AirGCFG.exe' - '44' modulo(i) scansionato(i)
Scansione processo 'MotiveSB.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'SOUNDMAN.EXE' - '25' modulo(i) scansionato(i)
Scansione processo 'RTHDCPL.EXE' - '37' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'mbamservice.exe' - '42' modulo(i) scansionato(i)
Scansione processo 'LVPrcSrv.exe' - '17' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '84' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '54' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '97' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '65' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'btwdins.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '167' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '38' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '51' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '76' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '14' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 2
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 3
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 4
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 457 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\System Volume Information\_restore{70CD3026-F86C-47FA-AADE-EF1CB8891B97}\RP109\A0023890.exe
[RILEVAMENTO] Contiene il modello di rilevamento per l'adware o lo spyware ADSPY/AdSpy.Gen2

Avvio della disinfezione:
C:\System Volume Information\_restore{70CD3026-F86C-47FA-AADE-EF1CB8891B97}\RP109\A0023890.exe
[RILEVAMENTO] Contiene il modello di rilevamento per l'adware o lo spyware ADSPY/AdSpy.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '4c810867.qua'!


Fine della scansione: lunedì 25 luglio 2011 19:49
Tempo impiegato: 43:38 Minuto(i)

La scansione è stata completamente eseguita.

6745 Directory scansionate
284323 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
284322 File non infetti
2312 Archivi scansionati
0 Avvisi
2 Note
334106 Oggetti scansionati durante la scansione dei rootkit
1 Sono stati rilevati oggetti nascosti

.. :-?
eleivga
Utente Senior
 
Post: 294
Iscritto il: 07/08/09 12:36

Re: 2 troyan TR/Dldr.cex.33

Postdi Riverside » 25/07/11 19:33

Ok Ele, nulla di grave o preoccupante:

Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Poi:

Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
riavvia il sistema, ripeti lo stesso passaggio e riattiva il Ripristino configurazione di sistema

poi, scarica ed installa le versioni aggiornate:

● Adobe Flash Player: clicca qui per il download
● Adobe Reader: clicca qui per il download
● JavaSun: clicca qui per il download

NOTA: in tutti e tre i casi potrebbe venire proposta la installazione di componenti aggiuntivi (es.: Google toolbar, Mcafee security scan plus): non installare, quindi togli la spunta alla relativa voce;

Al termine, riavvia il sistema ed allega un nuovo log di Hijackthis.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: 2 troyan TR/Dldr.cex.33

Postdi Riverside » 25/07/11 19:37

Murdekai ha scritto:Se preferisci chiarire la questione in privato, scrivimi pure un MP :P

Non devo chiarire nulla in PM: piantala di usare le mie procedure.

E, soprattutto:
Murdekai ha scritto:Insomma, li hai fatti bene (almeno quelli).


E, soprattutto, piantala di fare il clown, con me non attacca: non devo ricordarti che sei stato bannato ben due volte dal forum, Francesco .... non tirare troppo la corda.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: 2 troyan TR/Dldr.cex.33

Postdi Murdekai » 26/07/11 09:30

Le tue procedure mi sono utili, le hai fatte bene. Perchè, se ti vengo incontro, te scappi?
Perchè, se inizio io una discussione con un utente, devi intrometterti a discussione inoltrata?
Murdekai
 

Re: 2 troyan TR/Dldr.cex.33

Postdi Riverside » 26/07/11 09:54

Murdekai ha scritto:Le tue procedure mi sono utili, le hai fatte bene. Perchè, se ti vengo incontro, te scappi?

Ti ho già detto di farla finita, Francesco .... e sono io che ti sto venendo incontro, non tu.

Chiuso l'off topic.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: 2 troyan TR/Dldr.cex.33

Postdi eleivga » 28/07/11 06:37

Ecco ho fatto tutto, ho disinstallato i 3 programmi e riinstallati, l'unica cosa è che Javasun è gratuito in prova ?!?!
Ecco il log:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 7.42.04, on 28/07/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Logishrd\LVMVFM\LVPrcSrv.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programmi\Logitech\LWS\Webcam Software\LWS.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programmi\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [LWS] C:\Programmi\Logitech\LWS\Webcam Software\LWS.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2438679203
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/A ... tPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programmi\File comuni\Logishrd\LVMVFM\LVPrcSrv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7649 bytes
A dopo ciao
eleivga
Utente Senior
 
Post: 294
Iscritto il: 07/08/09 12:36

Re: 2 troyan TR/Dldr.cex.33

Postdi Riverside » 28/07/11 06:54

Ok, Ele, rilancia Hijackthis e fixa queste voci (tanto sai come si fa).

Poi dimmi se noti ancora problemi al computer.

L voci da fixare:

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programmi\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [LWS] C:\Programmi\Logitech\LWS\Webcam Software\LWS.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: 2 troyan TR/Dldr.cex.33

Postdi eleivga » 31/07/11 07:26

ok fatto; sembra tutto a posto.
Grazie tante, come sempre :D

Ele
eleivga
Utente Senior
 
Post: 294
Iscritto il: 07/08/09 12:36

Re: 2 troyan TR/Dldr.cex.33

Postdi Riverside » 31/07/11 23:59

eleivga ha scritto:ok fatto; sembra tutto a posto. Grazie tante, come sempre :D

Figurati, nessun problema ;)

Ciao e, se non le hai ancora fatte, buone vacanze.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy


Torna a Sicurezza e Privacy


Topic correlati a "2 troyan TR/Dldr.cex.33":

troyan BDS poison
Autore: principe69
Forum: Sicurezza e Privacy
Risposte: 9
ci risiamo col troyan
Autore: eleivga
Forum: Sicurezza e Privacy
Risposte: 19

Chi c’è in linea

Visitano il forum: Nessuno e 87 ospiti