VirIT eXplorere rileva Troian su Spybot

[lucasspd]

Buon giorno a tutti,
gentilemnte chiedo se mi potete aiutare per il seguente problema:

VirIT Explorer mi rileva il seguente file infetto: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-luca.reg Infetto da Trojan.StartPage.L

Il problema è che VirIT non rimuove questo file e nella scansione in modalità provvisoria e non continuo a trovarlo.

Ho disattivato il ripristino configurazione sistema, pulizia con ATF-Cleaner, Anti Tracks, CWShredder e scansione con Avira AntiVir Personal Edition Classic che non lo trova nella scansione.
Su HijackThis non trovo nienete.

QUALCUNO MI PUO' AIUTARE PER QUESTO TROJAN?

GRAZIE MILLE IN ANTICIPO

Luca

[ste_95]

scarica avenger da qui: http://swandog46.geekstogo.com/avenger.zip

estrailo, avvialo, vai su inpu script manually, poi sulla lente d'ingrandimento, e copia e incolla quello che segu:

Files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-luca.reg Infetto da Trojan.StartPage.L

poi su done, sul semaforo verde, ripondi ok, il computer dovrebbe riavviarsi, altrimenti fallo tu...

ti consiglierei inoltre di fare una scansione online con kaspersky e di postarne l'esito...

solo per precisare, il trojan che avevi, cambiava solo la pagina iniziale...nessun danno grave...

hai risolto...

[lucasspd]

OK, GRAZIE PROVVEDO COME DICI TU, POI TI FACCIO SAPERE.

[tognazzi]

è parecchio che non uso più spybot e non vorrei sbagliarmi ma lo snapshot è una funzione di un componente di SB S & D, il tea timer. anche spywareblaster ne ha una simile. serve a creare una specie di istantanea (uno "snapshot" appunto) di una parte del registro per ripristinare il sistema a uno stato precedente in caso di problemi. come sempre in casi del genere se al momento in cui viene effettuato lo snapshot è presente un viruz/spyware, ecc. ecc. anche quello viene snepsciottato e persino ripristinato.
cmq nel tuo caso a istinto dico che non credo che corri rischi, secondo me si tratta solo di tracce di uno spyware già eliminato da tempo. ovviamente segui le procedure di individuazione e rimozione del malware per essere tranquillo.

EDIT

mi riferisco soprattutto alla guida di rimozione del malware che trovi tra le discussioni in rilievo in questo forum.

[lucasspd]

Ciao,
ecco qui di seguito le varie scansioni:
da avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\febahade

*******************

Script file located at: \??\C:\mgrggirk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-lucio.reg Infetto da Trojan.StartPage.L not found!
Deletion of file C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-lucio.reg Infetto da Trojan.StartPage.L failed!

Could not process line:
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-lucio.reg Infetto da Trojan.StartPage.L
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Da scan online:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, July 25, 2007 10:35:51 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 25/07/2007
Kaspersky Anti-Virus database records: 345032
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 60902
Number of viruses found: 0
Number of infected objects: 0 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:10:29

= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = == = = = = = =

Comunque da 2 giorni, e tutt'ora, VirIT mi trova questo file infetto su SpyBot.
Che faccio? Disinstallo SpyBot dal PC e ne installo uno scaricato da HTLM ?

Attendo, grazie.

Grazie anche a te Tognazzi!

Cordiali saluti.

[lucasspd]

Buon giorno,
posto anche un file log di VirIT eXplorer:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
23/07/2007 - 14:55:52

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 1.
Files Totali: 1.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
23/07/2007 - 15:00:39

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 60038.
Files Totali: 60038.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
[Hidden Services]
SiSPort - SIS PORT Driver - \??\C:\WINDOWS\SiSPort.sys

OK
--------------------------------------------------------
23/07/2007 - 19:05:46

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 38.
Files Totali: 38.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
[Hidden Services]
SiSPort - SIS PORT Driver - \??\C:\WINDOWS\SiSPort.sys

OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
23/07/2007 - 19:25:44

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 30.
Files Totali: 30.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
23/07/2007 - 22:29:43

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 1.
Files Totali: 1.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
23/07/2007 - 22:43:50

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 53.
Files Totali: 53.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

--------------------------------------------------------
23/07/2007 - 22:44:13

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 63.
Files Totali: 63.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
23/07/2007 - 22:46:20

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 566.
Files Totali: 566.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
25/07/2007 - 11:23:22

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-luca.reg Infetto da Trojan.StartPage.L

[D:]


Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 60367.
Files Totali: 60367.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
25/07/2007 - 12:18:39

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-luca.reg Infetto da Trojan.StartPage.L

[D:]


Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 60295.
Files Totali: 60295.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
25/07/2007 - 13:45:05

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-luca.reg Infetto da Trojan.StartPage.L

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 5479.
Files Totali: 5479.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
= = = = = = = = = = = = = = = = = == == = = = = = = == = = = = = = = = = =

Attendo Vostri consigli, grazie.

Cordilai saluti
Luca

[ste_95]

scusa, sono io che ho sbagliato lo script, rifai la procedura, ma metti questo script:

Files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots\RegUBP1-luca.reg

ancora segnalazioni?

[lucasspd]

GRAZIE Ste_95 il problema è stato risolto al secondo tentativo, quindi ora il file non c'è più.
Anche VirIT non lo trova nella scansione, quindi tutto OK.
Grazie mille per aver risolto il problema.

Posso chiederti un ultimo favore? Vorrei fare una PULIZIA DEL SISTEMA, traccie di programmi disinstallati, disco rigido, registro ecc e ti chiedo di consigliarmi su che programma scaricare (c'e ne sono tanti e non so quale prendere)

Si possono fare queste pulizie senza recare danni al sistema?

Ti ringrazio ancora per il tuo aiuto.

Cordiali saluti

Luca

[tognazzi]

ccleaner, funzione "trova problemi".

[lucasspd]

Ciao Tognazzi,
ho fatto la pulizia con CCleaner, poi ho visto sulla voce PROBLEMI (integrità registro, integrità file) che c'è la possibilità di trovare questi problemi ed ho eseguito trava problemi
ed è satlato fuori che ho un casino di DDL condivise mancanti, estensioni file non valide, problema Activex/com, problema Apri con applicazione (C Windows), software in esecuzione automatica mancante, chiave vecchio menù start, problema riferimento a unistaller.( In totale saranno circa 200 i problemi selezionati)

La mia domanda è questa: si può cliccare su Ripara selezioni? o ne esce un casino?
Attendo, grazie

Saluti
Luca