vius trojan chedo aiuto per la rimozione

[nice74]

ho scoperto con avg di avere un trojan nella cartella application data....vi chiedo posso rimuoverla definitivamente?
ho notato che il virus si autoriproduce e anche con drweb non riesco ad eliminarlo.
si chiama:TROJAN HORSE NAVIPROMO.AA

AIUTATEMI..GRAZIE
Paola

[Luke57]

Ciao, non è che scrivendo con caratteri cubitali acquisti visibilità e perlopiù è vietato dal regolamento, per cui adegua il prossimo post a uno stile corretto, grazie
per il tuo problema, disattiva l'antivirus , scarica combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Fatto questo, disconnettiti da internet, chiudi programmi e applicazioni, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\combofix.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione, se spariscono le icone dal desktop non preoccuparti),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt ,allega il file a un prossimo post.

[gaetix]

Ciao
anche io ho lo stesso trojan, posso seguire le stesse indicazioni e poi allegare qui il file combofix.txt?

[-> EleKtrA <-]

Ciao gaetix, benvenuto/a
allega tranquillamente il rapporto di combofix, cosi vedremo se oltre a Navipromo, che sarà sicuramente eliminato da Combofix, c'è altro da fare.

PS. Per eliminare le infezioni da Navipromo può essere usato anche Navilog1
http://pagesperso-orange.fr/il.mafioso/ ... tation.htm

[gaetix]

ok grazie, non appena lo faccio te lo allego.
Ciao

[gaetix]

Ciao Elektra,
ho effettuato la scansione, questo è il txt:

ComboFix 09-06-09.06 - pc01 10/06/2009 21.13.44.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1215.793 [GMT 2:00]
Eseguito da: c:\documents and settings\pc01\desktop\combofix.exe
Opzioni usate :: /killall
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\documents and settings\All Users\Desktop\WebMediaPlayer.lnk
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\Condizioni generali.url
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\Disinstalla.lnk
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\Riservatezza.url
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\WebMediaPlayer.lnk
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\Website.url
c:\documents and settings\pc01\Impostazioni locali\Dati applicazioni\gygmi.dat
c:\documents and settings\pc01\Impostazioni locali\Dati applicazioni\gygmi.exe
c:\documents and settings\pc01\Impostazioni locali\Dati applicazioni\gygmi_nav.dat
c:\documents and settings\pc01\Impostazioni locali\Dati applicazioni\gygmi_navps.dat
c:\programmi\webmediaplayer
c:\programmi\webmediaplayer\resources\wmp_translation_file.xml
c:\programmi\webmediaplayer\skins\classic.skn
c:\programmi\webmediaplayer\sqlite3.dll
c:\programmi\webmediaplayer\uninst.exe
c:\programmi\webmediaplayer\WebMediaPlayer.exe
c:\recycled\Recycled
c:\windows\IE4 Error Log.txt
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\QtDNmnpo.ini
c:\windows\system32\QtDNmnpo.ini2
c:\windows\system32\rytnylcf.ini

.
((((((((((((((((((((((((( Files Creati Da 2009-05-10 al 2009-06-10 )))))))))))))))))))))))))))))))))))
.

2009-05-25 07:25 . 2009-05-25 07:25 -------- d-sh--w- c:\documents and settings\pc01\IECompatCache
2009-05-25 07:23 . 2009-05-25 07:23 -------- d-sh--w- c:\documents and settings\pc01\PrivacIE
2009-05-25 07:18 . 2009-05-25 07:18 -------- d-sh--w- c:\documents and settings\pc01\IETldCache
2009-05-25 07:15 . 2009-05-25 10:44 -------- d-----w- c:\windows\ie8updates
2009-05-25 07:14 . 2009-04-25 05:30 102400 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-05-25 07:10 . 2009-04-29 04:44 78336 -c--a-w- c:\windows\system32\dllcache\ieencode.dll
2009-05-25 07:10 . 2009-04-29 04:44 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-05-19 20:15 . 2009-05-19 20:15 -------- d-----w- C:\prova
2009-05-13 10:00 . 2009-05-13 10:00 -------- d-----w- C:\da14d7712a7cfbcffb69fd

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-10 18:22 . 2008-07-02 21:35 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg8
2009-06-10 18:21 . 2009-01-20 15:47 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2009-06-10 18:21 . 2009-01-20 15:47 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-06-10 16:19 . 2008-07-08 15:52 -------- d-----w- c:\programmi\PDFCreator
2009-06-07 18:31 . 2008-07-02 22:48 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Google Updater
2009-05-28 20:37 . 2008-11-28 17:41 -------- d-----w- c:\programmi\cdex_140_ita
2009-05-21 13:41 . 2008-07-02 21:35 11952 ----a-w- c:\windows\system32\avgrsstx.dll
2009-05-21 13:41 . 2008-07-02 21:35 325896 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-05-21 13:41 . 2008-07-02 21:35 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-05-21 13:41 . 2008-07-02 21:35 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-05-07 15:32 . 2004-08-31 06:11 347648 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2004-08-31 06:12 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-27 10:05 . 2008-07-03 13:37 -------- d-----w- c:\programmi\Microsoft Works
2009-04-24 13:14 . 2009-04-24 13:14 -------- d-----w- c:\programmi\YouTube Downloader
2009-04-24 10:32 . 2008-07-03 13:20 96512 ----a-w- c:\documents and settings\pc01\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-04-24 10:29 . 2009-04-24 10:29 -------- d-----w- c:\programmi\Microsoft
2009-04-24 10:29 . 2009-04-24 10:28 -------- d-----w- c:\programmi\Windows Live
2009-04-24 10:29 . 2009-04-24 10:29 -------- d-----w- c:\programmi\Windows Live SkyDrive
2009-04-24 10:26 . 2009-04-24 10:26 -------- d-----w- c:\programmi\File comuni\Windows Live
2009-04-19 19:47 . 2004-08-31 06:12 1847168 ----a-w- c:\windows\system32\win32k.sys
2009-04-16 12:35 . 2004-08-31 06:12 74630 ----a-w- c:\windows\system32\perfc010.dat
2009-04-16 12:35 . 2004-08-31 06:12 448112 ----a-w- c:\windows\system32\perfh010.dat
2009-04-15 14:52 . 2004-08-31 06:12 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2004-08-19 10:00 . 2004-08-31 06:12 94816 --sh--w- c:\windows\twain.dll
2008-04-14 02:13 . 2004-08-31 06:12 50688 --sh--w- c:\windows\twain_32.dll
2008-04-14 02:13 . 2004-08-31 06:11 1028096 --sh--w- c:\windows\system32\mfc42.dll
2008-04-14 02:13 . 2004-08-31 06:11 57344 --sh--w- c:\windows\system32\msvcirt.dll
2008-04-14 02:13 . 2004-08-31 06:11 413696 --sh--w- c:\windows\system32\msvcp60.dll
2008-04-14 02:13 . 2004-08-31 06:11 343040 --sh--w- c:\windows\system32\msvcrt.dll
2008-04-14 02:13 . 2004-08-31 06:12 551936 --sh--w- c:\windows\system32\oleaut32.dll
2008-04-14 02:13 . 2004-08-31 06:12 84992 --sh--w- c:\windows\system32\olepro32.dll
2008-04-14 02:14 . 2004-08-31 06:12 12288 --sh--w- c:\windows\system32\regsvr32.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programmi\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 65536]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-02 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2004-04-22 98304]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2004-04-22 507904]
"THotkey"="c:\programmi\Toshiba\Toshiba Applet\thotkey.exe" [2004-08-16 430080]
"SmoothView"="c:\programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe" [2004-04-30 118784]
"PadTouch"="c:\programmi\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 1019904]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-21 1947928]
"PCSuiteTrayApplication"="c:\programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\documents and settings\pc01\Menu Avvio\Programmi\Esecuzione automatica\
Utilit… controllo supporti di Picture Motion Browser.lnk - c:\programmi\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-7-14 385024]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma Loader.exe.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-11 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-05-21 13:41 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Avvio veloce di Adobe Reader.lnk
backup=c:\windows\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Tasto di scelta rapida per l'avvio di AutoCAD.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Tasto di scelta rapida per l'avvio di AutoCAD.lnk
backup=c:\windows\pss\Tasto di scelta rapida per l'avvio di AutoCAD.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programmi\\SopCast\\SopCast.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgnsx.exe"=

R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [31/08/2004 9.35.53 5632]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [02/07/2008 23.35.30 325896]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [02/07/2008 23.35.34 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [04/07/2008 11.43.06 908568]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [04/07/2008 11.43.18 298776]
S3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [08/10/2008 14.59.18 91797]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{SH281095-QI13-PE08-RI87-A2H4V1N2R8T7}]
c:\windows\sys32_.exe
.
Contenuto della cartella 'Scheduled Tasks'

2009-06-10 c:\windows\Tasks\Google Software Updater.job
- c:\programmi\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-07-02 08:18]

2008-07-02 c:\windows\Tasks\Promemoria registrazione 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-31 02:14]

2009-06-10 c:\windows\Tasks\User_Feed_Synchronization-{C5BFF332-88B6-4750-AF87-A1AB7D29E409}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 16:36]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

BHO-{4226C12B-4A93-408F-9344-C9D86DB01333} - c:\windows\system32\opnmNDtQ.dll
BHO-{5c65d00f-84f1-4bd1-8307-153f7ab293e3} - c:\windows\system32\vcuvdb.dll
HKCU-Run-oucusqg - c:\documents and settings\pc01\impostazioni locali\dati applicazioni\oucusqg.exe
HKCU-Run-eioumqg - c:\documents and settings\pc01\impostazioni locali\dati applicazioni\eioumqg.exe
HKCU-Run-gygmi - c:\documents and settings\pc01\impostazioni locali\dati applicazioni\gygmi.exe
HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB5; .NET CLR 1.1.4322; .NET
Notify-byXOHbBr - byXOHbBr.dll


.
------- Scansione supplementare -------
.
uStart Page = hxxp://libero.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\programmi\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-10 22:38
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\acs.exe
c:\programmi\Toshiba\ConfigFree\CFSvcs.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\wdfmgr.exe
c:\programmi\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\programmi\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
c:\programmi\PC Connectivity Solution\ServiceLayer.exe
.
**************************************************************************
.
Ora fine scansione: 2009-06-10 22.42.27 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-06-10 20:42

Pre-Run: 17.077.174.272 byte disponibili
Post-Run: 17.127.596.032 byte disponibili

192 --- E O F --- 2009-06-10 10:10


Resto in attesa di una risposta.
Grazie

[-> EleKtrA <-]

Combofix ha eliminato il problema, ora se vuoi fare un pò di manutenzione del pc segui queste indicazioni.

Scarica Ccleaner e dai una ripulita al sistema
http://www.ccleaner.com/download
scheda pulizia / avvia pulizia
scheda registro / trova problemi / ripara selezionati.

Esegui una Defremmentazione ed uno Scandisk

La deframmentazione è un'operazione informatica che consiste nel ristrutturare l'allocazione dei files presenti su un hard disk facendo in modo che ciascun file risulti memorizzato in zone contigue dal punto di vista fisico; questo diminuisce drasticamente i tempi di accesso ai file.
Ci sono molti software che effettuano la deframmentazione dell'hard-disk, i migliori sono JkDefrag, Auslogics Disk Defrag e IObit SmartDefrag.
Tutti i sistemi operativi Windows hanno comunque una utility interna per deframmentare il disco rigido, per accedervi bisogna seguire il percorso:
Start / Programmi / Accessori / Utilità di sistema / Utilità di deframmentazione dischi.

Lo Scandisk è un programma che controlla e ripara file system e cluster danneggiati nell'hard disk.
Tutti i sistemi operati Windows hanno questa utility che permette di controllare ed eventualmente riparare la presenza di errori contenuti nel disco fisso, per accedervi bisogna seguire il percorso:
Aprite Risorse del computer / Tasto destro sul disco fisso / proprietà / Strumenti / Esegui Scandisk
Selezionate entrambe le opzioni: correggi automaticamente gli errori del File system, cerca i settori danneggiati e tenta il ripristino.
Si aprirà una finestra di avvertimento: Impossibile ottenere accesso esclusivo ad alcuni file di Windows...
Cliccate su "SI" per pianificare l'operazione al prossimo avvio.

[gaetix]

Grazie per la disponibilità, seguirò il tuo consiglio.
Un'altra domanda: c'è la forte probabilità che il trojan sia provenuto dal mio hard disk esterno, cosa posso fare per evitare che mi ricapiti? Non è che come collego l'hard disk il trojan mi ritorno sul pc?
Ciao

[-> EleKtrA <-]

Ciao gaetix, ho visto che mi rincorri per il forum
viewtopic.php?f=7&t=80719&p=460053#p460053
ti rispondo qui

Combofix ha eliminato l'infezione e trattandosi di un sistema windows Xp ha anche disabilitato l'autorun per evitare infezioni veicolate da chiavette usb o da drive esterni in generale.

Se pensi che il tuo hardisk sia infetto, collegalo al pc e prova ad eseguire una scansione online con kaspersky selezionando l'unità esterna.
http://www.kaspersky.com/kos/eng/partne ... bscan.html
Se trova qualcosa allega il rapporto.