Programma Trojan Killer

di **Manumanu** » 30/05/09 15:22

Ciao a tutti,
ho fatto una scansione con Trojan Killer perchè credo di avere il pc super zeppo di elementi negativi. Infatti mi ha trovato 37 files infetti e alla fine mi dice se voglio cancellarli. Ma ho notato che alcuni fanno parte di altri programmi (per es. il TrojanDownloader.N si trova nel file advcntr2.dll di Nero Ahead, altri si trovano invece nella cartella system32 di windows,...), il mio dubbio è: ma se li cancello come mi dice Trojan Killer i programmi mi funzionano comunque o combino malanni?
Posso cancellarli sena rischi?

di **Manumanu** » 30/05/09 15:44

Vi allego il log di Trojan Killer, magari può essere d'aiuto!

di **Luke57** » 30/05/09 16:32

Ciao, io lascerei perdere troian killer.
Scarica malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto senza per adesso rimuovere nulla.

di **Manumanu** » 30/05/09 18:04

Ecco fatto: ma mi dice che non ha trovato nessun elemento malevolo ...

di **Luke57** » 30/05/09 19:00

Ciao, e ti dispiace? Troian killer non lo conosco e personalmente non mi fiderei per niente.
Per sicurezza fai una scansione con hijackthis , vai qui:
viewtopic.php?f=7&t=80380&p=457097&hilit=hijackthis#p457097
segui le istruzioni relative all'uso di hijackthis e allega il suo report ( o postalo con le indicazioni del link)

di **Manumanu** » 30/05/09 19:30

Fatto anche questo!

di **Luke57** » 30/05/09 22:07

Ciao, segui questa procedura:

Scarica CCleaner
http://www.ccleaner.com
Installalo -In fase d’installazione levare la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni►Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Chiudi il programma

Scarica sdfix da qui:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe
Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
Clicca su Install (verrà creata una cartella in C:\ dal nome SDFix)

Poi metti hijackthis.exe in una cartella permanente del disco fisso appositamente dedicata (ad esempio C:\hjt)

Poi chiudi programmi e applicazioni, disconnettiti da internet, avvia hijackthis.exe dalla nuova cartella, premi "do a system scan only", cerca e spunta le voci seguenti:
O4 - HKCU\..\Run: [GridinSoft Trojan Killer] "C:\Programmi\GridinSoft Trojan Killer\trojankiller.exe" 0
O4 - HKLM\..\Policies\Explorer\Run: [4F27V1D89M] C:\WINDOWS\service32.exe
O23 - Service: Boonty Games - Unknown owner - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: DirectX Service (DirectBaxj) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\manuela\IMPOST~1\Temp\hpdj.exe (file missing)
O23 - Service: hpdj3500 - Unknown owner - C:\DOCUME~1\manuela\IMPOST~1\Temp\hpdj3500.exe (file missing)

premi fix checked.

Chiudi il programma e riavvia in mod.provvisoria (se non sai come fare: http://www.upyou.it/smartfaq+faq.faqid+3.htm)

una volta riavviato in modalità provvisoria, visualizza file e cartelle nascosti (apri risorse del computer>strumenti>opzioni cartella>visualizzazione, metti la spunta a "visualizza file e cartelle nascosti">OK

Cerca ed elimina i seguenti file o quelli che trovi:
C:\WINDOWS\service32.exe
C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
c:\windows\system32\directx.exe
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\scrss32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\svhost.dll

Da start>esegui, lanci questi comandi consecutivi nello spazio bianco che si apre:
sc stop Boonty Games>OK
sc delete Boonty Games>OK

sc stop DirectX Service >OK
sc delete DirectX Service >OK

Poi apri CCleaner e premi il tasto Avvia pulizia (una volta eseguita la pulizia, ripeti l'operazione)

Adesso avvia sdfix
apri la cartella SDFix situata in C:\
Doppio click su RunThis.bat per lanciare lo script

seleziona Y per avviare la pulizia
Quando te lo chiederà premi un tasto per riavviare (il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati)
Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

Riavvia in mod. noramle, esegui hijacjìkthis e allega il nuovo report più il report di sdfix

di **Manumanu** » 31/05/09 13:40

Ciao,
ho seguito le tue istruzioni e mi ha dato alcuni errori mentre SDfix lavorava:

Prima finestra:
"Cannot find //FAST Hardlock Driver!"

Seconda finestra:
"Sottosistema MS-DOS a 16 bit
SDFix
HLVDD.DLL.Un driver di periferica virtuale non è riuscito a inizializzare la Dll.
Scegliere "Chiudi" per terminare l'applicazione"

Credevo di non riuscire a terminare le tue indicazionima invece alla fine SDFix mi a creato il report!
Non so se questi messaggi che mi sono apparzi hanno compromesso la procedura...
Cmq ti allego entrambi i file: SdFix e Hijackthis.

Grazie

di **Manumanu** » 31/05/09 13:43

Mi sono scordata di dirti che dei files che mi avevi segnalato di cancellare, se li trovavo, non ne ho trovato nessuno (li ho cercati anche con la funzione Cerca per essere più sicura)!

di **Luke57** » 31/05/09 13:49

Ciao, per sicurezza, Disattiva momentaneamente l'antivirus
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

di **Manumanu** » 31/05/09 14:40

Ariciao,
fatto ance con Combofix, anche se ad un certo punto mi dice che ha rilevato che la macchina non ha la "console di ripristino di emergenza" e mi ha chiesto se volevo installarla ... devo farlo?
Cmq ha finito il suo lavoro e vi allego il rapporto.

Poi ho alcuni dubbi:
non ho installato il Service Pack 3 perchè ho paura che mi crei problemi ... devo installarlo?
é da un pà che il computer non mi dà l'avviso di aggiornamenti da installare ... è dovuto al fatto che non ho il SP3?

di **Luke57** » 31/05/09 15:20

Ciao, nella stessa cartella dove è posizionato l'eseguibile di ComboFix, crea un nuovo file txt e rinominalo come CFScript.txt .
Al suo interno, ainserisci il seguente codice:

Codice: Seleziona tutto: Driver:: tpikh File:: c:\windows\system32\xxosrket.dll c:\windows\w32dst.dll Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wznljp]

Una volta salvato e chiuso il file, trascinalo sull'eseguibile di ComboFix con il puntatore del mouse, si avvierà una nuova scansione. Posta il nuovo report generato.

di **Manumanu** » 31/05/09 16:20

Ecco il nuovo!

di **Luke57** » 31/05/09 16:38

Ciao, scusami se ti faccio lavorare, ma 'è qualcosa che mi sfugge, Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".
http://www.suspectfile.com/systemscan
Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.
http://www.savefile.com/
Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.

di **Manumanu** » 31/05/09 17:12

MA che lavorare!!! Anzi, grazie per l'aiuto!
Macos'è che non ti quadra?

http://www.savefile.com/files/2122210

di **Luke57** » 31/05/09 21:34

Ciao, niente di che, pare. Esegui Systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:
(attenzione a copiarlo tutto)

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\grep.exe C:\WINDOWS\zip.exe C:\WINDOWS\PEV.exe folders to delete: C:\WINDOWS\temp Registry keys to delete: HKEY_LOCAL_MACHINE\system\controlset001\services\DirectBaxj HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wznljp HKLM\system\currentcontrolset\services\DirectBaxj HKEY_LOCAL_MACHINE\system\controlset003\services\wznljp HKEY_LOCAL_MACHINE\system\controlset002\services\wznljp HKLM\system\currentcontrolset\services\wznljp

Clicca su "Proceed with removal" (vai avanti finchè non si avvia) e il pc si riavviera' per eseguire lo script.
Al riavvio troverai la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito (C:\avenger.txt) e incollalo in un post.

di **Manumanu** » 31/05/09 22:13

CIao, mi succede una cosa strana se vado su System scan (quello che ho scaricato 2 o 3 post fa e in cui mi avevi segnalato il link per il download) e lo faccio partire noto che si chiama system clean e che non c'è nessun pulsante "Removal Script". Allora ho pensato di ricliccare sul link che mi avevi dato per scaricarlo (http://www.suspectfile.com/systemscan) e mi scarica un programma diverso (inizia sempre con sys ma poi ha una numerazione diversa)! :?:

Inoltre come antivirus ho avg e per disattivarlo momentaneamente sono andata sulla tray icon, tasto destro, exit (infatti mi scompare l'icona), ma qppena provo a riscaricare il programmino mi dice che infetto da un trojanHorse... :?:

Scusa, ma non capisco dove mi sono impantanta e che passaggio sbaglio!!!
Morale: non trovo nessun pulsante "Removal Script" e nessun programma System scan!!!

di **Luke57** » 01/06/09 10:45

Ciao, allora scarica Avenger da qui

http://swandog46.geekstogo.com/avenger.zip

estrai il file avenger.exe sul desktop, chiudi programmi e applicazioni. Lo avvii,

Copi e incolli nella finestra: "Input script here" lo script del mio precedente messaggio.

Fatto ciò spunta "Automatically disable any rootkits found"

clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

posta il log di avenger che trovi in c:\

di **Manumanu** » 01/06/09 12:21

Ecco qui:
http://www.savefile.com/files/2123274

di **Luke57** » 01/06/09 13:47

Ciao, tutto ok, adesso dovresti essere a posto.