Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7
  1. 10-08-2007, 15:06 #1
    rupertone
    rupertone non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2007
    Messaggi
    2

    Trojan Nebuler (...credo...)

    Salve a tutti,da qualche giorno ho un problema assillante:dopo essermi regolarmente connesso a internet tramite ADSL, passano 15-20 minuti e mi si apre una finestra con su scritto "modem o altra periferica di connessione non configurati correttamente" con conseguente disconnessione.
    Ho fatto diverse scansioni con Norton e mi dice di aver trovato il virus in oggetto e che non riesce ad eliminarlo.
    Potrebbe essere "lui" la causa del problema? e, secondo voi, esiste un modo per eliminarlo senza fare cose complicatissime?
    Per sì e per no ho scaricato il logfile con Hijackthis e ve lo allego, io ci capisco poco ma credo che in System32 ci sia qualcosa che non va.
    Grazie mille

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14.48.48, on 10/08/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
    C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\CFusion\cfam\program\ccmgr.exe
    C:\CFusion\Bin\cfserver.exe
    C:\CFusion\cfam\Program\dfp.exe
    C:\CFusion\cfam\Program\wsm.exe
    C:\CFusion\cfam\Program\wsprobe.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\CFusion\Bin\cfexec.exe
    C:\CFusion\Bin\cfrdsservice.exe
    C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
    C:\CFusion\JRun\bin\JRun.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\CFusion\jrun\bin\jrun.exe
    C:\CFusion\jre\bin\ntConsoleJava.exe
    C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
    C:\Programmi\Norton SystemWorks\Norton GoBack\GBPoll.exe
    C:\CFusion\jre\bin\ntConsoleJava.exe
    C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Programmi\File comuni\Real\Update_OB\realsched.exe
    C:\Programmi\Windows Defender\MSASCui.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Programmi\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programmi\Norton SystemWorks\Norton GoBack\GBTray.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
    C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Programmi\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    C:\CFusion\cfam\bin\CANamingAdapter.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
    C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
    C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
    C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\iPod\bin\iPodService.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\standard\Desktop\programmi2\HijackThis.ex e

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe "
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    O4 - HKCU\..\Run: [PMCS] "C:\Programmi\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main .exe"
    O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe /NoDialog
    O4 - HKCU\..\Run: [PasswordManagerXP] "C:\Programmi\Password Manager XP\PwdManager.exe" /check
    O4 - HKCU\..\Run: [emoze] C:\PROGRA~1\emoze\emoze.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O4 - Global Startup: Norton GoBack.lnk = C:\Programmi\Norton SystemWorks\Norton GoBack\GBTray.exe
    O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programmi\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
    O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Genera password usando Password Manager XP - C:\Programmi\Password Manager XP\GenPwd.htm
    O8 - Extra context menu item: Inserisci la password dal Password Manager XP - C:\Programmi\Password Manager XP\InsPwd.htm
    O8 - Extra context menu item: Salva la password in Password Manager XP - C:\Programmi\Password Manager XP\SavePwd.htm
    O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
    O9 - Extra button: Password Manager XP - {7379d689-cc96-451d-b46e-6bbe4ca6b02d} - C:\Programmi\Password Manager XP\PwdManager.exe (HKCU)
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1171815214218
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
    O16 - DPF: {BE319D04-18BD-4B34-AECC-EE7CB610FCA9} (BewitchedGameClass Control) - http://www.sonypictures.com/games/bewitched/main.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/game...ploader_v6.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{222BA90E-D379-4775-B7F8-5D9D968327ED}: NameServer = 85.37.17.39 85.38.28.71
    O20 - Winlogon Notify: wincqt32 - C:\WINDOWS\SYSTEM32\wincqt32.dll
    Rispondi quotando Rispondi quotando
  2. 10-08-2007, 15:59 #2
    ste_95
    ste_95 non è in linea
    Utente bannato
    Registrato dal
    Jun 2007
    Messaggi
    3,899
    dal log le uniche cose che vedo sono queste, selezionale e premi su fix checked:

    O20 - Winlogon Notify: wincqt32 - C:\WINDOWS\SYSTEM32\wincqt32.dll

    comunque prova a fare una scansione online con kaspersky e alla fine postane il relativo log
    Rispondi quotando Rispondi quotando
  3. 10-08-2007, 16:09 #3
    tognazzi
    tognazzi non è in linea
    Utente di HTML.it L'avatar di tognazzi
    Registrato dal
    Jan 2007
    Messaggi
    1,489
    Originariamente inviato da ste_95
    dal log le uniche cose che vedo sono queste, selezionale e premi su fix checked:
    O20 - Winlogon Notify: wincqt32 - C:\WINDOWS\SYSTEM32\wincqt32.dll
    comunque prova a fare una scansione online con kaspersky e alla fine postane il relativo log
    ste_95 ti ha indicato la voce di registro associata al trojan.
    ricorda che oltre a eliminare la voce nociva grazie al fix checked devi cancellare il file associato alla voce.
    dalle "risorse del computer" naviga fino a:
    C:\WINDOWS\SYSTEM32\wincqt32.dll
    e cancella il file wincqt32.dll

    assicurati di cancellare proprio quel file e non un altro con un nome apparentemente simile
    Rispondi quotando Rispondi quotando
  4. 10-08-2007, 16:11 #4
    ste_95
    ste_95 non è in linea
    Utente bannato
    Registrato dal
    Jun 2007
    Messaggi
    3,899
    CITAZIONE

    Il Trojan.Nebuler (chiamato anche Backdoor.Eterok.B) è un virus che fa partire il download e l'esecuzione di programmi spia da server internet remoti.
    Esso compromette la privacy, poichè invia informazioni riservate tramite internet.
    Comunque non preoccuparti, Norton non lo riesce a rimuovere perchè evidentemente è inserito nei processi attivi del sistema.
    Qui ci sono delle guide per rimuoverlo:
    http://www.symantec.com/security_re...2518-99&tabid=3
    http://www.2-spyware.com/remove-nebuler.html
    Rispondi quotando Rispondi quotando
  5. 10-08-2007, 16:12 #5
    ste_95
    ste_95 non è in linea
    Utente bannato
    Registrato dal
    Jun 2007
    Messaggi
    3,899
    guardate il secondo link, spiega come fare, il primo purtroppo da page not found...
    Rispondi quotando Rispondi quotando
  6. 11-08-2007, 14:33 #6
    rupertone
    rupertone non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2007
    Messaggi
    2
    Grazie mille per la competenza e la sollecitudine, credo di avere risolto il problema con il secondo link postato dal gentilissimo ste_95, cioè scaricando e facendo una scansione con Spyware doctor.
    Prima avevo provato con tutti gli altri software in modalità normale e provvisoria ma niente da fare, poi ho fixato il file con Hijack e provato a rimuoverlo dalla cartella di WINDOWS ma c'era un problema, evidentemente partiva all'avvio e non si poteva eliminare.
    Comunque, anche se dopo una notte insonne, sembra sia passata!
    Grazie nuovamente per l'aiuto velocissimo e competente che mi avete saputo dare
    Alla prossima
    Rispondi quotando Rispondi quotando
  7. 26-08-2007, 14:16 #7
    ste_95
    ste_95 non è in linea
    Utente bannato
    Registrato dal
    Jun 2007
    Messaggi
    3,899
    bene sono felice, di niente...

    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.