Condividi:        

Trojan horse virus

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Trojan horse virus

Postdi valeria_1977 » 29/09/05 17:19

Ciao a tutti,
possiedo un pc con s.o. Windows 98SE, ho aggiornato da poco il mio Norton antivirus e al riavvio del PC mi ha subito individuato un virus.
Trattasi del "cavallo di troia" (trojan horse) presente sul file WINS.EXE
Non avendo la possibilita` di riparare il file ho scelto l'opzione "Escludi" quindi non ho eliminato il virus, adesso ho paura che qualche hacker possa intromettersi nel mio PC per rubarmi di dati di sicurezza.
Qualcuno puo` aiutarmi?
Grazie.
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Sponsor
 

Postdi Luke9792005 » 29/09/05 17:36

Ciao.

Hai provato a fare una scansione con Spybot Search & Destroy e con Ad-Aware?

Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi valeria_1977 » 29/09/05 17:47

Ciao Luke,
scusa l'ignoranza, ma come posso provare con questi antivirus?
Hai i link?
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Postdi piercing » 29/09/05 17:54

Come primo topic di questa sezione c'è un topic che dice

---> LEGGI PRIMA DI CHIEDERE AIUTO SU VIRUS, SPYWARE, ecc

e forse potrebbe essere il caso di fare come dice lui ;) o almeno di dargli una sbriciatina...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Luke9792005 » 29/09/05 17:56

Scusa Piercing.

Non ho pensato a fare un link a quel topic... Opss...

Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi piercing » 29/09/05 18:08

Per qualunque info su quanto trovi scritto li... siamo a disposizione!
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi valeria_1977 » 29/09/05 18:24

OK...........scusate.
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Postdi valeria_1977 » 30/09/05 13:40

Chiedo scusa in anticipo se faccio delle domande stupide.... :undecided:
Ho appena installato ad-aware, mi ha fatto la scansione della memoria e mi ha trovato 249 oggetti critici...... che significa? :aaah
Cosa devo fare?
C'è da qualche parte una guida per come utilizzare questo programma?
Grazie ancora. :D
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Postdi Luke9792005 » 30/09/05 13:50

Ciao.

249 oggetti significano che il tuo PC non è molto protetto. Dunque, in generale, cerca di aumentarne la protezione con programmi più efficaci.

Per completare il processo di pulizia con Adaware, basta fare click sul pulsante "Next". A quel punto, vi sono diversi Tabs (Scan Summary, Critical objects, Negligible objects e Scan log).

Vai sul tab Scan Summary e metti la spunta a tutti gli item che trovi elencati.

Se vuoi eliminarli, fai click su "Next" (verranno inseriti nel cestino). Se invece vuoi metterli in quarantena, fai click su "Quarantine".

Inoltre, ecco la prima guida che ho trovato:

http://www.manuali.net/manuali/predownl ... 5&idn=4761


Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi valeria_1977 » 30/09/05 15:00

Che differenza c'e` tra mettere i file in quarantena o eliminarli?
Ma soprattutto come faccio ad essere sicura di non elimiare file importanti?
Luke, hai detto che il mio PC non e` molto protetto mi consigli di cambiare antivirus?
Qualcuno mi ha parlato bene di AVG.

Forse ho fatto troppe domande...... :roll:
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Postdi Omega1 » 30/09/05 16:39

Ad-aware e Spybot sono software studiati appositamente per cancellare o rendere inoffensivi i programmi intrusi. Quindi non cancelli nulla di fondamentale. Inoltre la quarantena permette di "parcheggiare" i file in apposito spazio al fine di provare ad utilizzare il pc che, qualora desse problemi, permette di riattivare i file resi innocui.

Forse un firewall in aiuto al pc potrebbe aiutarti. E ce ne sono diversi free...
Gian
Omega1
Utente Senior
 
Post: 289
Iscritto il: 04/11/04 10:13

Postdi valeria_1977 » 01/10/05 16:24

OK........... ;)
Adesso ho installato ad-aware, mi ha trovato 249 oggetti critici che ho messo in quarantena, poi ho installato AVG che mi ha trovato molti + virus del Norton tutti eliminati..... ma ho notato che sempre il file per il quale vi avevo chiesto aiuto non è stato segnalato come infetto, ossia il WINS.EXE
Penso che la colpa sia mia perché quando il Norton me lo aveva individuato ho scelto l'opzione "Escludi". :neutral:
Pensate che il virus su quel file sia ancora presente? :-?
Grazie come sempre. :lol:
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Postdi Omega1 » 03/10/05 07:24

Non ho Norton, però dovrebbe avere l'elenco delle opzioni per aggiornare l'elenco dei file da escludere. In sostanza dovresti rivedere l'elenco dei file che Norton non considera in fase di scansione, e togliere quel file dall'elenco. E poi rifare l'analisi.
Gian
Omega1
Utente Senior
 
Post: 289
Iscritto il: 04/11/04 10:13

Postdi valeria_1977 » 03/10/05 15:17

Il problema e` che il Norton l'ho disinstallato per inserire AVG.
Ma questo dannato file wins.exe presente nella cartella c:/windows, e' importante?
Vi ricordo che il mio s.o. e` win 98SE.
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Postdi picard » 05/10/05 08:50

prova a leggere qui eventualmente.. http://www.microsoft.com/italy/technet/ ... 4-006.mspx
Avatar utente
picard
Utente Senior
 
Post: 579
Iscritto il: 20/09/05 08:27

Postdi valeria_1977 » 07/10/05 10:02

Ho fatto una prova.
Ho preso questo file e l'ho inserito in un floppy disk.
Ho portato questo floppy in ufficio, dove ovviamente c'e` installato un antivirus potente (F-secure).
Appena inserisco il dischetto e apro la directory del floppy l'antivirus individua immediatamente il virus, lo elimina e mi rinomina il file in wins.0xe
A questo punto la mia domanda e`: Se questo file lo inserisco adesso sul mio pc al posto del wins.exe infettato, faccio danno?
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Re: Trojan horse virus

Postdi Kindofblue » 08/10/05 17:00

Prova a fare una scansione in modalità provvisoria con un anti-trojan, tipo Anti trojan shield o Trojan remover..li trovi anche in versione prova.

p.s. leva Norton e mettine un altro..Kaspersky 8)
Kindofblue
Newbie
 
Post: 8
Iscritto il: 24/09/05 13:27

Postdi valeria_1977 » 09/10/05 08:32

Qualcuno può controllarmi il log del mio PC:

Logfile of HijackThis v1.99.1
Scan saved at 09:12:32, on 09.10.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\WINS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAMMI\HP CD-WRITER\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMMI\HP CD-WRITER\MMENU\HPCDTRAY.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMMI\TRUST\SOFTWARE BLUETOOTH\BTTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\LOGITECH\WINGMAN SOFTWARE\LWEMON.EXE
C:\PROGRAMMI\TRUST\SOFTWARE BLUETOOTH\BTSTACKSERVER.EXE
C:\DOCUMENTI\DOWNLOAD INTERNET\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: run=cavo.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMMI\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMMI\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [KodakCCS] c:\windows\System32\Drivers\KodakCCS.exe
O4 - HKLM\..\Run: [USBMonit.exe] "C:\WINDOWS\SYSTEM\USBMonit.exe"
O4 - HKLM\..\Run: [msgserv16_] C:\WINDOWS\SYSTEM\sys.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\HPCD-W~1\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [HP CD-Writer] C:\Programmi\HP CD-Writer\Mmenu\hpcdtray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Start WingMan Profiler] "c:\Programmi\Logitech\WingMan Software\Lwtest.exe" /detect /quiet /launch "c:\Programmi\Logitech\WingMan Software\LwEmon.exe /noui"
O4 - Startup: BTTray.lnk = C:\Programmi\TRUST\Software Bluetooth\BTTray.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://ricercaperfetta.com/ (file missing)
O9 - Extra 'Tools' menuitem: Loghi e suonerie - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://ricercaperfetta.com/ (file missing)
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://tbosat.altervista.org/10423.exe
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//nargghl//gjbyajf//ihcoslj//irkqpg//IT//arct.chm::/painter.exe
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/in ... er_gmn.cab

GRAZIE!!!!
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Postdi Luke9792005 » 09/10/05 16:47

Ciao.

Per prima cosa, ecco il link dove copiare il log di HijackThis per effettuare da soli l'analisi:
http://hijackthis.de/index.php#anl

Detto questo, veniamo alle cose serie:
F1 - win.ini: run=cavo.exe (controlla che sia un processo in corso);

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMMI\MYWAY\MYBAR\1.BIN\MYBAR.DLL - Da eliminare;

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC}-C:\PROGRAMMI\MYWAY\MYBAR\1.BIN\MYBAR.DLL Da eliminare;

O9 - Extra button: (no name) - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://ricercaperfetta.com/ (file missing) Da eliminare;

O9 - Extra 'Tools' menuitem: Loghi e suonerie - {10954C80-4F0F-11d3-B17C-00C0DFE39736}-http://ricercaperfetta.com/ (file missing) Da eliminare!

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://tbosat.altervista.org/10423.exe Da eliminare!

O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//nargghl//gjbyajf//ihcos lj//irkqpg//IT//arct.chm::/painter.exe - Dovrebbe essere un'applicazione aperta. Controllare!


Aggiungo che per trovare subito le voci davvero pericolose, è consigliabile utilizzare HijackThis da modalità provvisoria.


Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi valeria_1977 » 12/10/05 16:46

Le ho provate tutte:
1. Ho disinstallato il Norton e ho inserito AVG come antivirus
2. Ho installato AD-AWARE ed inserito in quarantena gli oggetti critici
3. Ho installato Spy-bot S&D e cancellato i file trovati
4. Ho cancellato le voci sospette utilizzando Hijack this

Ma purtroppo ho ancora i file wins.exe e sys.exe infettati dal trojan horse.
Tra le altre ho notato che il sys.exe nonostante lo abbia deletato manulmente al primo riavvio del PC il sys torna.

AIUTO!!!!! Non voglio formattare!!!!
:aaah
valeria_1977
Utente Senior
 
Post: 173
Iscritto il: 21/02/04 11:12

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Trojan horse virus":


Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti