Problemi sul pc: ZLOB

[yeyegirl]

Ciao a tutti, è la prima volta che scrivo e spero possiate aiutarmi!
Me la cavicchio con il pc se qualche anima buona mi dà i dettagli delle operazioni da fare...
premessa
PC con Active virus Shield installato --> lo conoscete? commenti? opinioni?
Spybot S & D
Ex Ewido ora AVG spyware
Ccleaner

primo problema
Nel pc risulta presente il trojan Win32.zlob.bag in una cartella utente.
Ho eseguito la scansione con il ripristino configurazione disattivato in safe mode MA spesso si ripresenta! Ora, siccome l'antivirus è installato da poco, succede che segnali di aver trovato qualcosa anche se poi, passando al setaccio la cartella incriminata, non trova nulla!
Ho pensato che sia lo stesso antivirus che segnala per un tot di tempo cosa è riuscito a trovare.
Se necessitate del log di hijackthis datemi un attimo che stasera ve lo posto.

Potete aiutarmi e dirmi come faccio a rimuovere il tutto?!?




Saluti da Silvia
a.k.a. yeyegirl

[tognazzi]

ciao silvia a.k.a. yeyè, benvenuta sul forum.

1. la tua scelta di soft è molto buona.
active virus shield (o avs) è uno dei migliori antivirus gratuiti.
per quanto riguarda il motore che è quello di kaspersky antiviruz pare addirittura che sia il migliore in assoluto, superiore anche a molti soft a pagamento.
un altro molto buono è avira antivir pe.

buona scelta anche degli antspyware. avg è tra i soft gratuiti il il più potente nel suo genere.

controlla il firewall: quello integrato in windows non è molto potente, se vuoi ci sono alternative migliori gratuite comodo personal firewall o zone alarm per esempio.


2. Win32.zlob.bag: posta log di hijackthis.
segui attentamente i passi della guida di habanero, in particolare molto utile nel tuo caso lo scan online.

[yeyegirl]

Caro Tognazzi (bel nick! :rollo

mi rassicuri molto!

per quanto riguarda questo:

controlla il firewall: quello integrato in windows non è molto potente, se vuoi ci sono alternative migliori gratuite comodo personal firewall o zone alarm per esempio.

li posso scaricare on line cercandoli su Google?


2. Win32.zlob.bag: posta log di hijackthis.

Stasera posto! tienimi d'occhio! Mentre attendo le soluzioni, provvederò a fare le scansioni on line come da guida (già salvata da conservare!).

ciao
yeyegirl

[tognazzi]

1. per i firewall
http://www.personalfirewall.comodo.com/
http://www.zonealarm.com/store/conte...B0KWV2Zr9N2aUe!231836991!-1062696904!7551!7552!NONE?lang=it&ctry=IT&dc=34std

PS
grazie per i complimenti

[yeyegirl]

Ecco il log, effettuato con Hijack this in modalità normale, non connessa ad internet e con tutto chiuso.

Il troiano in questione si trova nella cartella utente di mio papà perché siamo in 2 ad usare il pc e lui fa sempre disastri...


Grazie a coloro che vorranno aiutarmi!

silvia
the yeyegirl
_________



Logfile of HijackThis v1.99.1
Scan saved at 19.53.03, on 27/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 0.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\WINDOWS\system32\sistray.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Documents and Settings\Proprietario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Programmi\AOL Security Toolbar\tbu18\AOL_security_toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Programmi\AOL Security Toolbar\tbu18\AOL_security_toolbar.dll
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 0.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe "
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)

[tognazzi]

ciao yyg

1. apri hijackthis

2. seleziona le voci seguenti:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

quest'ultima voce è relativa "SmartCam USB Camera" la videocamera USB.
process library consiglia di rimuoverla e la classifica come spyware
http://www.processlibrary.com/directory/files/vsnpstd2

3. clicca su "fix checked" ("correggi i problemi selezionati")

lo zlob è un troiano molto scorbutico.
se hai preso una variante può essere che non risolvi, in tal caso si possono tentare altre strade per rimuoverlo

[yeyegirl]

In modalità provvisoria, entrando con il mio profilo, ho fixato i problemi da te indicati. Poi ho fatto analizzare la cartella incriminata da:

-Avg Spyware: pulita!
-Spybot: pulito!
-Active Virus Shield: ecco, qui c'è qualcosa. E' come se si aprissero due schermate in contemporanea: la prima è quella che va in automatico e si chiama Protection, l'altra è quella che analizza solo la cartella da me segnalata, che è pulita.

Cosa significa? Io, per non capirne nulla, pensavo che quella chiamata Protection mostrasse all'inizio tutti i file deleted perché c'è anche una casella che, se spuntata, fa sparire quel malefico Zlob.

Avrei altre domande, se mi puoi aiutare ma penso di postare altri thread.


secondo te che succede?

Ah, e poi devo riattivare il ripristino della configurazione?

Silvia
Ye ye

[tognazzi]

Originariamente inviato da yeyegirl
Ah, e poi devo riattivare il ripristino della configurazione?

se hai eliminato il viruz si, se non lo hai ancora eliminato riattivandolo e facendo un punto di ripristino del sistema ripristini anche il viruz, nel senso che quando ti dovesse capitare di usare il punto di ripristino per recuperare le impostazioni precedenti recuperi anche il trojan.
ho letto in winzoz e software un 3d di darkikk (uno dei moderatori) dove lui dice piatto piatto che i punti di ripristino non servono a niente.