Eliminare w32.trojan-gen

[robertoans]

Non volevo aprire un'altra discussione, e quindi mi sono letto molto dei suggerimenti nel forum specialmente di ANtres, Habanero, etc., ma ora ho qualche dubbio e non vorrei fare disastri vista la mi non esperienza.

Ho letto la discussione "Eliminare w32.spybot" e quindi le istruzioni suggerite da Antares.
Quindi mi sono chiesto: posso seguire anch'io le stesse procedure anche se il mio non è uno spyware?

Vi dico cosa ho fatto sino ad ora:
Ho WIN XP - AVAST - AD AWARE - SPYBOT
Scansione in modalità normale e poi avendo letto i suggerimenti in mod. provvisoria, seguente le procedure.

Arriva il bello: Avast non mi evidenzia i virus e trojan anche se quando mi sono collegato a IE mi ha avvisato:

Trovato cavallo di troia
Nome del file: C:\Windows.O\system32\iexplore.exe
nome del malware:win32.PoeBot-B Trj

Lo stesso per: win32.trojan-gen
Ho trovato un virus
Nome del file: C:\document..\nome user\impost..\temp\installer.exe
nome del malware:win32.trojan-gen Other

In modalità provvisoria non posso fare la scansione online dei virus ed in normale sono bloccato perchè dopo qualche sec. dall'avviso si apre la pagina: www.m4ttaylor.com e anche se chiudo la pagina non riesco + a navigare.
La prima domanda:
1) come faccio a vedere cosa cancellare facendo START ESEGUI REGEDIT?
2) ammesso che mi diciate cosa cancellare dopo devo fare altro? ( a parte le procedure descritte in "eliminare win32. spybot"

Spero di essere stato abbastanza chiaro vista la mia non esperienza

... aspetto con ansia un AIUTO SONO ALLA CANNA DEL GAS
OLTRETUTTO DA CASA NON POTENDOMI COLLEGARE DEVO ASPETTARE IN UFFICIO DI VEDERE I MSG.

[amvinfe]

Ciao, finalmente una discussione aperta con tutte le informazioni utili.

Purtroppo sono tanti i worm, trojan... che usano l'eseguibile iexplore.exe, quindi dovresti come prima cosa sapere a quale valore è associato e questo lo puoi fare andando appunto nel registro di configurazione.
Da
Start>Esegui scrivi
regedit
dai l'OK
ti si aprirà il registro, da qui clicchi una volta sui segni + di
HKEY_LOCAL_MACHINE
SOFTWARE
MICROSOFT
WINDOWS
CURRENTVERSION
a questo punto clicchi una volta sulla cartellina gialla Run, dovresti trovare il valore iexplore.exe o meglio C:\Windows\system32\iexplore.exe sotto la colonna "Dati" (nella barra in alto), quello che interessa invece è il valore sotto la colonna "Nome", segnatelo, potrebbe essere iexplore, Iexplore Services, Internet Explorer Updater, Microsoft Internet Explorer, System Configuration, Internet Explorer, credimi, potrebbero essere decine.
Stessa cosa puoi trovare nella cartellina gialla RunServices.
Lo stesso procedimento potresti farlo per un'altra chiave,
HKEY_CURRENT_USER
SOFTWARE
MICROSOFT
WINDOWS
CURRENTVERSION
le cartelline sono sempre le stesse.

Solitamente quando un worm od altro infetta la macchina inserisce in determinate chiavi dei valori, in modo tale che ad ogni riavvio del pc gli stessi valori vengono caricati.
Inizia a postarci quale è il valore presente sotto la colonna "Nome", eventualmente puoi fare a questo punto una scansione con HijackThis e postarne il risultato

[robertoans]

grazie mille
Spero nel mezzogiorno di riuscire a fare la prova come mi hai suggerito e postare nel pom i risultati.
Se puo essere utile posso anche postare il cestino di avast in cui sono indicati i trojan, etc. trovati

[robertoans]

Ho fatto velocemente (nella pausa pranzo)le verifiche che mi hai suggerito, ma forse non ho eseguito correttamente le tue istruzioni in quanto sotto alla colonna NOME non ho trovato nessun valore. QUi sotto ti elenco cosa ho trovato
In HKEY_LOCAL_MACHINE...etc.RUN

NOME TIPO DATI
(Predefinito)
ADSL_A2
Avast!
Lexmark x1100 Series
Media Access
Microsoft Internet Explorer REG_SZ C:\windows\system32\iexplore.exe
NvCp Daemon
Nwiz

RUN SERVICE
(Predefinito)
Security Patch

HKEY_CURRENT_USER.....RUN
(Predefinito)
CTFMON.EXE
MSMGS
NvMedia Center

L'operazione Start...Regedit l'ho fatta in avvio normale non in modalità provvisoria e così pure Hijachthis di cui ti posto il risultato. Fammi sapere cosa ho sbagliato.
grazie indeed !

[robertoans]

ops dimenticato il risultato di Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 13.11.42, on 24/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\LEXBCES.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\system32\LEXPPS.EXE
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\System32\tcpsvcs.exe
C:\WINDOWS.0\System32\snmp.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programmi\Avast4\ashMaiSv.exe
C:\Programmi\Avast4\ashWebSv.exe
C:\WINDOWS.0\Explorer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS.0\system32\scmss.exe
C:\mActiveX.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS.0\system32\mapiicon.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Sicurezza e Antivirus\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.html.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [REGRUN] C:\mActiveX.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [ADSL_A2] A2Installed
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS.0\system32\iexplore.exe
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: ADSL Diagnostic Tools.LNK = C:\WINDOWS.0\system32\mapiicon.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c11.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1111043912107
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS.0\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe

Spero tu possa darmi altri suggerimenti o bacchettate (su quello che ho sbagliato !) prima delle 18:00 cosi poi a casa provo ancora e mi applico con + impegno

[robertoans]

Qualora non si riuscisse ad eliminare il fottuto/i virus e trojan, pensavo di fare così:
1) creare una cartella sul disco D(che è molto + capiente)
2) fare il back up di C in D
3) formattare C
4 ricaricare il back up da D a C
5) dovrei riaggiornare Win XP con SP2, le config. dei modem 56k e ADSL, etc.? o no

domanda: è un'idea da pirla ?
(termine milanese non volgare che significa TROTTOLA !) QUINDI FARE IL PIRLA vuol dire fare la trottola quindi girare a vuoto senza concludere niente

Questa ovviamente sarebbe l'ultima spiaggia.

[amvinfe]

aggiorna l'antivirus
Non connesso apri HJT metti la spuna ai valori, chiudi tutti i programmi, browser compreso, clicca su Fix checked

O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [REGRUN] C:\mActiveX.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [ADSL_A2] A2Installed questo è dubbio, a meno che non sia collegato effettivamente a dei driver d'installazione ADSL e dal resto del log tutto lo lascia intendere
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS.0\system32\iexplore.exe
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6.../bridge-c11.cab

ora riavvia in modalità provvisoria , lo devi fare al primo tentativo, diversamente i valori si ricreerebbero. Cerca ed elimina

C:\WINDOWS.0\system32\scmss.exe
C:\mActiveX.exe
C:\Program Files\Media Access \MediaAccK.exe
C:\WINDOWS.0\system32\iexplore.exe attenzione alla giusta directory di questo file, quello invece legittimo è in Programmi\Internet Explorer


sempre dalla modalità provvisoria vai in

Start>Esegui scrivi regedit dai l'OK
aiutandoti con i + portati in
HKEY_CURRENT_USER
Software
Microsoft
OLE
apri la cartellina gialla OLE, dal pannello di dx clicca di dx su Secuirty Patch ed elimina.

Portati ora in
HKEY_LOCAL_MACHINE
Software
Microsoft
Ole
dal pannello di dx devi modificare cliccando di dx il valore
EnableDCOM = “N”
in
EnableDCOM = “Y”

Portati ora in
HKEY_LOCAL_MACHINE
System
CurrentControlSet
Control
Lsa
dal pannello di dx devi modificare di dx il valore
Restrictanonymous = “00000001”
in
Restrictanonymous = “00000000”

Chiudi il registro.


Riavvia.
Esegui dalla modalità provvisoria una scansione con l'antivirus aggiornato, il tuo pc è stato infettato da due varianti del worm Sdbot e da altre schifezze simili.

Ora però c'è un problema, essere sicuri che il tuo antivirus sia aggiornato alle ultime firme, la variante Sdbot è recente, è stata aggiunta alle firme degli antivirus agli inizi di questo mese.
Altra soluzione può essere questa, sempre che dall'ufficio puoi scaricarti e riversre su cd quanto segue:

crea una cartella e metti al suo interno questi due file
sysclean.com
e
lpt512.zip
tieni presente che tutte e due i file sono circa 7MB

copia la cartella sul desktop, scompatta il file zip sempre all'interno della cartella. Riavvia in modalità provvisoria, apri il file sysclean.com e fai la scansione. Riavvia.

[robertoans]

ok eseguirò le tue istruzioni spero di farcela nella pausa pranzo.
Un solo dubbio:

La prima operazione che mi consigli è:
aggiorna l'antivirus, però nello stato attuale del mio PC non riesco a connettermi; quindi se apro Avast e poi aggiornamenti non rischio di ricreare i valori ?
Cmq. credo che Avast sia aggiornato in quanto durante quei rari momenti che riuscivo a collegarmi ricordo di aver visto il msg. di Avast "Archivio virus aggiornato"

Mi sembra di aver capito che per ovviare all'aggiornamento archivio antivirus di Avast posso eseguire i due prog (sysclean.com e lpt512.zip) che posso scaricare anche in uff.

Per ora grazie ancora, ti faccio sapere come evolve la situazione.
roberto

[amvinfe]

l'ultimo aggiornamento utile, in questo momento, per Avast! risale al 22.03
Sì, se non hai la possibilità di aggiornarlo ti puoi servire dell'utility della Trend.
Sysclean è uno scanner, ricordati che i due file devono essere all'interno della stessa cartella e che il file .zip (sono le impronte virali) dev'essere dezippato all'interno della stessa.

P.S.
se hai la possibilità di stamparti le istruzioni meglio, lavorerai in maniera più sicura. Fai attenzione a quando modificherai il registro

[robertoans]

ok grazie, purtroppo non ho avuto tempo nella pausa pranzo per cui farò il tutto stasera e poi spero di risponderti da casa !!