Salve a tutti i forumisti di html.it
Utilizzando l'antivirus AVG mi viene individuato il seguente file infetto :spoolsv32.dll descritto come un Clicker.DHV(trojan) .
L'AVG riesce ad eliminarlo ma ad ogni riavvio il file in questione viene nuovamente creato e intercettato da AVG .
Come posso fare a risolvere questo problema ?
Ciao a tutti
Ciao.. allora
Scaricati Hijackthis(lo puoi scaricare da QUI ) e installalo.
Poi :
-avvia il programma
-clicca su "do a system scan and save a log file"
-aspetta fino a che non ti si aprira' una pagina del blocco note
-copia e incolla il suo contenuto qui sul forum...
VVoVe: Bhe' è un po un mattone cmq ecco il log
Logfile of HijackThis v1.99.1
Scan saved at 17:15 - GabbOne, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programmi\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Programmi\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\winlogon.exe
C:\Programmi\Grisoft\AVG7\avgcc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\DAP\DAP.EXE
D:\sharing\utility\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12CC276C-32E3-A111-4FAF-0A445786B7D3} - C:\WINDOWS\system32\wvofmrm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ad-watch] C:\Programmi\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programmi\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCSService] C:\Programmi\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EC74D29-8971-4683-A729-5F68C7C1243F}: NameServer = 212.34.224.5,212.34.224.6
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)
Allora
-scarica questo removal tool sul desktop
http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL
-Disattiva eventuali programmi antivirus/antispyware in real time
-Avvia il tool,nota che il tool per funzionare ha bisogno di un riavvio
(il programma ti avviserà),tu rispondi Si
-Al riavvio partirà la scansione
-Finita la scansione,il tool rilascia un rapporto in C:\gromozon_removal.log, inseriscilo nel tuo post....
Postami un log HJT aggiotnato.....
Log HjT aggiornato:
Logfile of HijackThis v1.99.1
Scan saved at 17:37 - GabbOne, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programmi\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Programmi\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
D:\Desktop\FixGrom.exe
D:\Desktop\FixGrom.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\winlogon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\sharing\utility\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12CC276C-32E3-A111-4FAF-0A445786B7D3} - C:\WINDOWS\system32\wvofmrm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ad-watch] C:\Programmi\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programmi\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCSService] C:\Programmi\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EC74D29-8971-4683-A729-5F68C7C1243F}: NameServer = 212.34.224.5,212.34.224.6
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)
Log Gromozon:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Trojan.Gromozon does not exist - your system is clean.
Ok....
Avvia HJT e fixxa le seguenti voci:
scarica avenger sul desktopC:\WINDOWS\service32.exe
O2 - BHO: (no name) - {12CC276C-32E3-A111-4FAF-0A445786B7D3} - C:\WINDOWS\system32\wvofmrm.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso
Clicca sul pulsante DoneFiles to delete:
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\wvofmrm.dll
C:\WINDOWS\system32\rpcc.dll
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Infine una pulitina con CCleaner, sia dei files che del registro , se è la prima volta che lo installi prima di avviare il cleaner vai su: Opzioni>Avanzate e togli la spunta a Cancella file in Windows Temp.... dopo la pulizia dei file vai su Problemi> Trova Problemi infine Ripara Selezionati... ti kiederà se salvare una copia di backup te rispondi Si e salvalo in una cartella. Infine ripara tutti....
Posta un altro log HJT....
Scusami ma non riesco a trovare c:\windows\service32.exe per la fese di fix checked ,mentre gli altri li ho trovati e spuntati
Infatti non si può fixxare
Continua con le altre indicazioni...
Piccolo problema nella fase 2
Faccio partire avanger , come indicato , quando arrivo al semaforo verde mi da un paio di errori ti posto il log di avanger
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Error: selected file does not appear to be a valid script.
Error code: 1813
Sei sicuro di aver copiato e incollato solo le scritte in rosso???
Cmq se ti rida' quel errore prova ad eliminarli dalla mod prov (premi ripetutamente F8 appena accendi il pc)
poi dimmi se ce l'hai fatta ad eliminarli...
Permessi di invio
Rispondi quotando