Trojan

salve a tutti come da titolo ho rilevato questi 2
TR/ATRAPS.Gen Troja
TR/Patched.CK.56 Trojan
con antivir in modalita' provvisoria e in modalita' normale ed ho fatto anche 1 scansione online ma come faccio ad essere sicuro di averli debbellati? grazie x l'aiuto

se nella nuova scansione non compare più è stato debellato

boyuniversity, 23/12/2008 12.31:

---

fai la solita scansione in mod provvisoria con antivir e a-squared dopo averli aggiornati per bene

usa hijackthis da mod normale poi vai sul sito di hijackthis e analizzi il contenuto del report e cancelli tutte le voci da eliminare

se i virus sono nella cartella temp o internet temporany files cancelli tutto anche con ccleaner

i rumori credo che siano derivati da un problema della ventola non certo dal virus

---

i virus li ho tolti erano in 1 cartella c.poi ho lanciato adaware e mi trova queti
redirected hostfile entry con tanto di ip andress sono 8 file critici ma quando li elimino non vanno via ed il log e' pulito


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.19.09, on 22/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\Programmi\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\CONITECH\CN405WLUSB54.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\maurizio\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\StartSkysolSvc.exe

--
End of file - 5440 bytes
controlla anche tu che 6 molto piu' esperto

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE'


ripeto usa a-squared lascia perdere ad-aware che è in stra declino

boyuniversity, 23/12/2008 18.39:

---

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE'


ripeto usa a-squared lascia perdere ad-aware che è in stra declino

---

boy niente da fare le ho provate di tutte sono riscito ad eliminare solo questo (TR/ATRAPS.Gen Troja)con il programma da te postato ma questi non ne vogliono proprio sapere ad ogni riavvio escono

Scansione avviata: 25/12/2008 13.28.09

Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> windows service rilevati: Trace.Registry.SdBot.o!A2
C:\Documents and Settings\maurizio\Impostazioni locali\Temp\tmp2.tmp rilevati: Trojan.Patched.CK!IK

Scansionati

Files: 29245
Tracce: 559469
Cookies: 5
Processi: 23

Rilevato

Files: 1
Tracce: 1
Cookies: 0
Processi: 0
Chiavi di registro: 0

Fine scansione: 25/12/2008 14.02.30
Tempo scansione: 0:34:21

C:\Documents and Settings\maurizio\Impostazioni locali\Temp\tmp2.tmp Cancellato Trojan.Patched.CK!IK
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> windows service Cancellato Trace.Registry.SdBot.o!A2

Cancellato

Files: 1
Tracce: 1
Cookies: 0
anche in modalita' provvisoria cosa posso fare senza formattare?

ser4, 25/12/2008 14.13:

---

boy niente da fare le ho provate di tutte sono riscito ad eliminare solo questo (TR/ATRAPS.Gen Troja)con il programma da te postato ma questi non ne vogliono proprio sapere ad ogni riavvio escono

Scansione avviata: 25/12/2008 13.28.09

Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> windows service rilevati: Trace.Registry.SdBot.o!A2
C:\Documents and Settings\maurizio\Impostazioni locali\Temp\tmp2.tmp rilevati: Trojan.Patched.CK!IK

Scansionati

Files: 29245
Tracce: 559469
Cookies: 5
Processi: 23

Rilevato

Files: 1
Tracce: 1
Cookies: 0
Processi: 0
Chiavi di registro: 0

Fine scansione: 25/12/2008 14.02.30
Tempo scansione: 0:34:21

C:\Documents and Settings\maurizio\Impostazioni locali\Temp\tmp2.tmp Cancellato Trojan.Patched.CK!IK
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> windows service Cancellato Trace.Registry.SdBot.o!A2

Cancellato

Files: 1
Tracce: 1
Cookies: 0
anche in modalita' provvisoria cosa posso fare senza formattare?

---

l'ultimo è stato cancellato leggo

il primo può anche esser questo cerca e cancella le voci indicate o anche queste voci cerca e debella

Navigate to and delete the following registry entries:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"
HKEY_CURRENT _USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll\"CheckedValue" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoControlPanel" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"userinit" = "\WINDOWS\system32/userinit.exe,C:\WINDOWS\system32\cmd.exe /C C:\.X, C:\WINDOWS\system32\cmd.exe /C D:\.X, C:\WINDOWS\system32\cmd.exe /C E:\.X, C:\WINDOWS\system32\cmd.exe /C F:\.X, C:\WINDOWS\system32\cmd.exe /C G:\.X, C:\WINDOWS\system32\cmd.exe /C H:\.X, C:\WINDOWS\system32\cmd.exe /C I:\.X"



Restore the following registry entries to their previous values, if required:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "\WINDOWS\system32/userinit.exe,C:\WINDOWS\system32\cmd.exe /C C:\.X, C:\WINDOWS\system32\cmd.exe /C D:\.X, C:\WINDOWS\system32\cmd.exe /C E:\.X, C:\WINDOWS\system32\cmd.exe /C F:\.X, C:\WINDOWS\system32\cmd.exe /C G:\.X, C:\WINDOWS\system32\cmd.exe /C H:\.X, C:\WINDOWS\system32\cmd.exe /C I:\.X"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

boyuniversity, 25/12/2008 19.11:

---

l'ultimo è stato cancellato leggo

il primo può anche esser questo cerca e cancella le voci indicate o anche queste voci cerca e debella

Navigate to and delete the following registry entries:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"
HKEY_CURRENT _USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll\"CheckedValue" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoControlPanel" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"userinit" = "\WINDOWS\system32/userinit.exe,C:\WINDOWS\system32\cmd.exe /C C:\.X, C:\WINDOWS\system32\cmd.exe /C D:\.X, C:\WINDOWS\system32\cmd.exe /C E:\.X, C:\WINDOWS\system32\cmd.exe /C F:\.X, C:\WINDOWS\system32\cmd.exe /C G:\.X, C:\WINDOWS\system32\cmd.exe /C H:\.X, C:\WINDOWS\system32\cmd.exe /C I:\.X"



Restore the following registry entries to their previous values, if required:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "\WINDOWS\system32/userinit.exe,C:\WINDOWS\system32\cmd.exe /C C:\.X, C:\WINDOWS\system32\cmd.exe /C D:\.X, C:\WINDOWS\system32\cmd.exe /C E:\.X, C:\WINDOWS\system32\cmd.exe /C F:\.X, C:\WINDOWS\system32\cmd.exe /C G:\.X, C:\WINDOWS\system32\cmd.exe /C H:\.X, C:\WINDOWS\system32\cmd.exe /C I:\.X"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

---

grazie di tutto boy ma ho preferito formattare solo che con xp non e riuscita ho installato millenium ma vorrei tornare a xp solo che non riesco a formattarlo se metto il cd xp mi rimangono sempre i file vecchi nel sistema quando formatto il millenium uso il floppi ma x xp sono un po ignorante in materia

ser4, 26/12/2008 12.30:

---

grazie di tutto boy ma ho preferito formattare solo che con xp non e riuscita ho installato millenium ma vorrei tornare a xp solo che non riesco a formattarlo se metto il cd xp mi rimangono sempre i file vecchi nel sistema quando formatto il millenium uso il floppi ma x xp sono un po ignorante in materia

---

ok allora apri un nuovo thread nella sezione windows così c'è + chiarezza

comunque è sbagliato formattare per un virus oltretutto se innocuo

boy ho formattato ora mi va tutto bene solo che la stranezza e che mi appare sempre questo(O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE') nel log di HijackThis che faccio lo tolgo?

ser4, 28/12/2008 11.05:

---

boy ho formattato ora mi va tutto bene solo che la stranezza e che mi appare sempre questo(O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE') nel log di HijackThis che faccio lo tolgo?

---

io a molti file simili li ho fatti togliere ma se hai appena formattato non penso sia qualcosa di dannoso

boyuniversity, 28/12/2008 12.57:

---

io a molti file simili li ho fatti togliere ma se hai appena formattato non penso sia qualcosa di dannoso

---

infatti boy anch<io lo credo anche perche° il pc mi va una bomba rinnovo gli auguri a tutti

ser4, 28/12/2008 13.23:

---

infatti boy anch<io lo credo anche perche° il pc mi va una bomba rinnovo gli auguri a tutti

---

buone feste anche a te