eliminare questo trojan

[beatskaoi!]

Ciao a tutti.Antivir gard mi rileva un trojan horse chiamato Tr/Dldr.Small.ckj.2, gli dico di cancellarlo ma puntualmente lo rileva.Inolte spesso mi si bloccano le applicazioni compreso Task Manager e devo riavviare.Qualcuno conosce questo virus e sà come eliminarlo?ciao e grazie

[fabrizius]

ciao
posta un log hijackthis

[beatskaoi!]

Logfile of HijackThis v1.98.2
Scan saved at 21.38.36, on 27/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\dnscntrl.exe
C:\WINDOWS\system32\mnmsrv.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Java\j2re1.4.2_02\bin\jusched.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\DC1300\DCMnt1_0\DC1300mi.exe
C:\WINDOWS\System32\svchost.exe
D:\Documenti\installer\HiJackThis\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w69
O4 - HKLM\..\Run: [DC1300 Monitor] C:\Programmi\DC1300\DCMnt1_0\DC1300mi.exe
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 3224635951
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3224616884
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab

[fabrizius]

postalo intero il log

[beatskaoi!]

Logfile of HijackThis v1.99.1
Scan saved at 21.57.31, on 27/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\dnscntrl.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Java\j2re1.4.2_02\bin\jusched.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\DC1300\DCMnt1_0\DC1300mi.exe
C:\WINDOWS\system32\mnmsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Documenti\installer\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w69
O4 - HKLM\..\Run: [DC1300 Monitor] C:\Programmi\DC1300\DCMnt1_0\DC1300mi.exe
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 3224635951
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3224616884
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

[fabrizius]

ciao,
allora per il log:
Vai nel task manager (Ctrl+Alt+Del) e termina questi processi:
dnscntrl.exe
mnmsrv.exe
itunesff.exe
Poi disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).
Adesso avvia hijackthis e fixa queste voci:(quelli che conosci trascurali)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w69
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)

Adesso cerca e elimina:
C:\WINDOWS\system32\dnscntrl.exe
C:\WINDOWS\system32\mnmsrv.exe
C:\WINDOWS\system32\itunesff.exe -go -c29 -w69-->>questo non ci dovrebbe essere

Adesso dai una ripulita ai files inutili,temp etc... con Ccleanerper eliminare i files inutili
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Riavvia e riattiva il riprstino config. di sistema.

PS:dovresti fare gli aggiornamenti:Fai il windows update e installa il ServicePack2,se non vuoi o non puoi fare il windows update vai almeno in questa pagina é installa gli ultimi aggiornamenti per IE e per il sistema
PS1:Dovresti installare anche un firewall

[beatskaoi!]

Innanzitutto grazie fabrizius per la disponibilità.
Allora ho fatto tutto quello che mi hai consigliato di fare (compreso installare il SP 2) e per il momento l'antivirus non mi segnala più niente.L'unica cosa è che dopo un cge mi connetto a internet cliccando su Preferiti mi si impalla Explorer, e spesso le applicazioni mi si bloccano e sono costretto a terminarle fino a quando non si blocca anche il Task Manager e a quel punto riavvio.Pensi che possa essere un virus non rilevato oppure è proprio il SO che sta perdendo colpi e dovrei quindi formattare?Che prove posso fare per verificare qual'è il problema?
Ciao e grazie ancora.

[fabrizius]

Ciao,
prova a fare uno scan on-line per vedere se viene fuori qualcosa:
BitDefender
Panda

>>>Antispyware<<<

Trend Micro

[beatskaoi!]

Ciao scusami se rispondo adesso ma nell'ultima settimana ho formattato e installato il SO 3 volte(non ho fatto in tempo a fare tutto ciò che mi avevi consigliato) per eliminare i virus.In pratica ho 2 hard disk,e i virus vari stavano anche su quello dove tenevo i dati e me ne sono accorto un po troppo tardi.Cmq già che ci sono ti volevo chiedere un paio di cose:
-è molto rischioso tenere installati 2 antivirus differenti più 1 firewall?
-una cosa che non c'entra con il topic:l'hard disk con i dati dopo aver fatto rumori strani metallici (penso che sia arrivato) delle volte neanche me lo riconosceva.Ora mi è capitato che mi si bloccasse tutto e riavviando dopo avere caricato il bios lo schermo rimaneva totalmente nero e il SO non partiva.La cosa per me assurda ,è che m'ha fatto questo problema anche dopo che avevo tolto il cavo dei dati dall'hard disk e lasciando solo l'alimentazione (ora togliendo anche questa sembra che tutto vada bene).Come è possibile?
Ti ringrazio dei consigli e scusami per la lunghezza

[fabrizius]

Ciao,
per i problemi all'hard disk ti consiglio di postare il tuo problema nell'apposita sezione,dove potranno aiutarti di sicuro meglio di me,io posso solo dirti che se hai 2 antivirus con protezione in tempo reale,ti conviene disinstallarne uno.....altrimenti vanno in conflitto e nessuno dei due svolge bene il suo lavoro..

[beatskaoi!]

Ok ti ringrazio ciao