trojan horse clicker.FNV

[albert1999]

Ho un trojan horse clicker.FNV che non riesco ad eliminare.

Avendo trovato qui in questo forum il seguente post:
Da qualche giorno ad ogni avvio del computer avg mi rileva un virus chiamato Clicker.FNV situato in C:\DOCUME~1\a\IMPOST~1\Temp\spoolsv32.exe Non so dove possa averlo preso, ma anche cancellando il file in questione ad ogni avvio viene ricreato. Nè facendo click su heal nè su move to vault il virus viene rimosso. Non so più cosa afre, e il pc mi serve intero entro domani sera! Se non si può far nulla, ditemi se il virus (trojan) è molto pericoloso e se posso lasciarlo oppure se mi toccherà formattare. Help!

RISPOSTA: Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)

ECCO IL MIO LOG: http://w13.easy-share.com/1398631.html

C'è qualcuno in grado di leggerlo?
Grazie.

[tecnico24]

ciao,posta un logfile di hijackthis.per farlo vai nella sezione sicurezza,clicca sull' topic guida rimozione malware da habanero.devi leggere attentamente il punto 4.
poi vai su start-cerca-assicurati che siano spuntati i file nascosti e sottocartelle.
e cerca WINLOGON32.DLL.se la trovassi eliminalo.
poi scaricati sphjfix da qui>> http://www.trojaner-info.de/cgi-bin/...i?file=sphjfix
lancia l'eseguibile e clicca su "start disinfection"
riavvia il pc.

[albert1999]

Logfile of HijackThis v1.99.1
Scan saved at 23.10.29, on 04/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Documenti\hijackthis\Hijack This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe "
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by116fd.bay116.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D20C84B-BB56-46FE-A654-79846D6A1469}: NameServer = 85.37.17.40 85.38.28.85
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Unknown owner - C:\Programmi\a-squared Anti-Dialer\a2service.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[tecnico24]

il log e' pulito.hai fatto questi passaggi????se non li hai fatti,falli:
1)scaricati sphjfix da qui>> http://www.trojaner-info.de/cgi-bin/...i?file=sphjfix
lancia l'eseguibile e clicca su "start disinfection"
riavvia il pc.
se trovi winlogon32,procedi esattamente cosi:

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (ctrl+v) le scritte in neretto:


files to delete:
C:\WINDOWS\winlogon32.dll
C:\WINDOWS\winlogon32.exe
C:\Documents and Settings\utente\Impostazioni locali\Temp\spoolsv32.exe

registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\Curr entVersion\policies\Explorer | 7H28X9M91L

registry keys tro delete:
HKEY_LOCAL_MACHINE\SOFTWARE\7H28X9M91L


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

Inoltre rifai la scansione con virit e postane il log.

[albert1999]

Potresti per favore ferificare la correttezza di questo link che mi hai inviato:
http://www.trojaner-info.de/cgi-bin/...i?file=sphjfix (Impossibile trovare la pagina Web)
mentre invece posso aprire quest'altro:
http://www.trojaner-info.de/
Grazie e a presto Albert.

[tecnico24]

procedi solo con avenger.

[albert1999]

Le scritte in neretto sono tutte queste?
files to delete:
C:\WINDOWS\winlogon32.dll
C:\WINDOWS\winlogon32.exe
C:\Documents and Settings\utente\Impostazioni locali\Temp\spoolsv32.exe

registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\Curr entVersion\policies\Explorer | 7H28X9M91L

registry keys tro delete:
HKEY_LOCAL_MACHINE\SOFTWARE\7H28X9M91L

Se sono queste mi viene restituito un messaggio d'errore.
Grazie.

[Hokuro]

Anche io mi sono beccata un file che il mio antivirus ha definito Cavallo di Troia.
E' sue giorni che ce l'ho e non riesco a eliminarlo. Non mi funzionano più il programma per deframmentare, l'anti spywere e anche il mio antivirus non funziona più tanto bene (ho un Nod32).
Mi sono informata e a quanto pare l'ho preso attraverso un email o un programma(quindi disinstallando il programma dovrebbe diminuire la probabilità che si riformi no?) vi prego datemi una mano

[Habanero]

Hokuro per favore leggi il regolamento:
http://forum.html.it/forum/showthrea...hreadid=997970
Se hai un problema apri una nuova discussione, non accodarti a thread aperti da altri.

[tecnico24]

si sono queste alberto.prova a fare tutto da modalita provvisoria(riavvia il pc e premi su F8,poi escono le impostazioni avanzate di windows,e metti mod.provvisoria e su invio).
poi disattiva il ripristino conf. di sistema:
tasto destro su risorse del computer-ripristino conf.di sistema-metti su disattiva e su applica.