Trojan

[BardielXIII]

Ciao.
Vi kiedo un aiuto,
Ho installato dopo formattone win200pro. Il tempo di collegarmi ad internet per scaricare un driver, installare l'antivirus (nod32) ed ecco ke mi piglio gia una cavallo di "donna di facili costumi"... Mi kompare ad ogni avvio del pc un mess di nod32 ke ha rilevato sempre lo stesso trojan. Poi lo cancella senza problemi, ma ad ogni avvio ritorna. Che posso fare?
Vi riporto le info rilevate da nod32.
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\secure.bat BAT/Noshare.Q cavallo di troia

Grazie
Aloha

[amvinfe]

svuota il contenuto della cartella temp, fai una scansione dalla modalità provvisoria con NOD32, riavvia posta un log di HijackThis (è in rilievo), ricordati di mettere l'eseguibile di HJT in una nuova cartella.

[BardielXIII]

Originariamente inviato da amvinfe
svuota il contenuto della cartella temp, fai una scansione dalla modalità provvisoria con NOD32, riavvia posta un log di HijackThis (è in rilievo), ricordati di mettere l'eseguibile di HJT in una nuova cartella.

-Svuotamento fatto

-Scansione modalità provvisoria fatta: risultato negativo (tranne un file c:\pagefile.sys ke nn ha letto). Un altra cosa, alla avvio della
modalità provvisoria è comparso un mess d'errore ke diceva ke il file c:\winnt\system32\svchost.exe aveva provocato errore all'apertura)

-riavviato e fatto scan con hijacksthis. Log è il seguente:

codice:

Logfile of HijackThis v1.98.2
Scan saved at 9.55.28, on 26/08/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\fgretp.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINNT\Mixer.exe
C:\WINNT\system32\casd.exe
C:\WINNT\system32\dllcon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\casd.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgmonline.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SETI@HOME] C:\WINNT\SYSTEM32\fgretp.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SettingValue] casd.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [SettingValue] casd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SettingValue] casd.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home

Ho visto ke ci sono alcuni file ripetuti. Cmq fammi sapere chi elimiare e come grazie.
Dimenticavo una cosa, ho notato ke il virus si attiva un volta entrato in internet.
Infine all'inizio avevo trovato un altro trojan sempre nella cartella winnt\system32 di nome lserv.exe: questo però dopo la cancellazione nn s'è più rivisto. Vabbeh era solo per dirti tutto.
Grazie mille
Aloha

[BardielXIII]

Stamattina ho notato una cosa durante la navigazione (nn avevo usato null'altro ke explorer per tutto il tmepo in cui ero connesso). Guardando sull'icona dei dati in trasmissione e ricenzione, la banda in upload ogni tanto skizzava in su. Infatti anke leggendo i dati spediti mi sembravano troppo alto per qualke pagina html scaricata). Ke dite? centra kol trojan? ecco lo screen in allegato

[BardielXIII]

Ehmmm LOL
Qualkuno saprebbe dirmi che devo fare ora???
DEvo cancellare qualkosa kon hjackthis?
Qua il virus mi si ricrea ogni volta ke avvio una connesione ad internet.
GRazie
Aloha

[amvinfe]

il tuo pc è infetto da una variante abbastanza seria del worm Rbot.
Questi sono i valori a lui riconducibili

O4 - HKLM\..\Run: [MSN Update] dllcon.exe

O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe

O4 - HKCU\..\Run: [MSN Update] dllcon.exe


Oltre alle chiavi del registro da eliminare in provvisoria ed alla eliminazione dell'.exe in System32, ci sono alcune modifiche importanti da fare sempre nel registro, ti posto l'url dove potrai avere tutte le informazioni del caso

http://www.trendmicro.com/vinfo/viru...e=WORM_RBOT.EH

[BardielXIII]

Ho fatto quando detto e seguito cosa cancellare nel registro.
hkackthis ora nn visualizza piu il fil dllcon.exe e nemmeno il task manager.

Però il messaggio dell'antivirus che compare ogni volta ke accedo a internet compare ancora (ke sia un altro trojan e il dllcon è stato scoperto per puro caso? miseria ma in 5 minuti di collegamente quando robaccia mi son pigliato??? ). Cmq l'ho postato in allegato.

Grazie
Aloha

[Rommel]

personalmente uso
nod32
sygate
spybot
hijackthis
patch di winzozz
così non vieni colpito.
prova a mettere spybot e sygate e blocca tutti gli accessi indesiderati.
n.b. ieri ho aiutato una persona che aveva 162 virus dopo un attacco di sasser e sono riuscito a farglieli levare