trojan ricorrente

[polanesi]

Ciao a tutti, ho un problema con un trojan che mi assilla da tempo, con ricorrenza quasi settimanale mi si blocca in avvio vista (schermata blu e tentativo di riavvio).
Per recuperare devo riavviare con un altro S.O. fare uno scan del disco con Kaspersky che trova un trojan (questo è il messaggio del rapporto: 18/05/2009 10.22.40 Non isolati: Trojan-Dropper.Win32.BHO.bg E:\Windows\Temp\CSRSS.EXE Rimandato).
Dopo questa operazione il sistema si riavvia normalmente, salvo poi dopo qualche giorno si ripresenta lo stesso problema.

Grazie achi mi può aiutare.

[Deifobe]

Ciao, scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".

Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.

[polanesi]

Grazie della risposta immediata.
ecco il link http://www.savefile.com/files/2107203

[Deifobe]

ciao, al momento l'unico file è quello (legittimo) in system32.
tra i file rilevati, ne ricordi altri? (puoi anche vedere nei rapporti dell'antivirus).

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, pota il rapporto (per ora non rimuovere nulla).

[polanesi]

ecco il rapporto:
Malwarebytes' Anti-Malware 1.36
Versione del database: 2150
Windows 6.0.6000

19/05/2009 16.40.55
mbam-log-2009-05-19 (16-40-44).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 506024
Tempo trascorso: 6 hour(s), 25 minute(s), 13 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\SecurityProviders (Trojan.Agent) -> Data: snapapi32.dll -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
D:\Windows\System32\digest32.dll (Trojan.Agent) -> No action taken.
D:\Windows\System32\snapapi32.dll (Trojan.Agent) -> No action taken.

[Deifobe]

apri il blocco note e copiaci dentro questo:

@echo off
regedit.exe /e C:\testo1.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\SecurityProviders"
notepad C:\testo1.txt

salvalo sul desktop come:
nome: 1.bat
tipo di file: tutti i file
chiudilo ed eseguilo
posta il file C:\testo1.txt (si apre sul desktop)

ciao

[polanesi]

Fatto.

ecco il txt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders]
"SecurityProviders"="credssp.dll, snapapi32.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\SaslProfiles]
"GSSAPI"="Kerberos"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\Schannel]
"EventLogging"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\Schannel\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\Schannel\CipherSuites]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\Schannel\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\Schannel\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\Schannel\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\Schannel\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders\WDigest]
"Debuglevel"=dword:00000000
"Negotiate"=dword:00000000
"UTF8HTTP"=dword:00000001
"UTF8SASL"=dword:00000001
"DigestEncryptionAlgorithms"="3des,rc4"

ciao

[Deifobe]

Disconnetti il pc da internet

Rimuovi quanto evidenziato da malwarebytes
oppure elimina manulamente i file:
D:\Windows\System32\digest32.dll
D:\Windows\System32\snapapi32.dll

Poi, apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders]
"SecurityProviders"="credssp.dll"
;

salvalo come (attenzione al nome..):
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo). Riavvia il pc

Ripeti la scansione e verifica che sia pulita

ciao

[polanesi]

Ok fatto tutto.
Risultato scan:

Malwarebytes' Anti-Malware 1.36
Versione del database: 2150
Windows 6.0.6000

20/05/2009 16.44.03
mbam-log-2009-05-20 (16-44-03).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 505668
Tempo trascorso: 6 hour(s), 29 minute(s), 51 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)



Spero di aver risolto definitivamente.

Mille grazie

Ciao

[Deifobe]

bene direi che hai risolto...
dovessi notare altro, stiamo qui....


ciao