Ho effettuato i vari controlli con Ad ware 6.0 e Norton Antivirus,
ma non ho avuto risultati positivi. Norton internet security mi avvisa che ho un virus di priorità alta, mi dice il nome SVCH0S1AT.EXE e il percorso c:\windows ma quando faccio la scansione con Norton Antivirus dice che non ci sono File infetti.
Ho provato anche con quelli in linea.
Volevo cancellarlo manualmente, ma come si fa ????
P:S: Non riesco + aconnettermi con l'ADSL, sto navingo con l'analogica !VVoVe:
Bella roba! Un cavallo di troia! Sicuramente per eliminarlo manualmente si dovranno fare diversi passi, in genere non basta trovare il file infetto e scancellarlo... Prima devi capire che tipo di trojan horse e', strano che l' antivirus non lo trovi (benche' se ne parli male del Norton, e' sempre un antivirus e per me non e' malaccio! sono inutili tutti i programmi di contorno della Symantec, quelli sì
p.s.: hai detto di avere gia' fatto le scansioni online, nulla nemmeno così??
"Nessuno mi ha visto farlo, e non puoi provarlo in nessun modo!" (Bart Simpson)
>>> www.ombresulweb.com <<<
ciao dato che questo SVCH0S1AT.EXE non ha nessun significato cioè non è legato a niente con la funzione cerca(visulizza file e cartelle nascoste)lo trovi e lo elimini,anche dal cestino,si pero non aprirlo che è un eseguibile lo evidenzi le lo elimini penso che si risolvera il tuo problema,poi per sicurezza in modalita provvisoria ripeti le varie scansione!!!ciao ciao
ecco una traccia:
http://www.mcse.ms/archive118-2005-5-1591100.html
è il nome con cui il trojan copia se stesso nel tuo SO. segui le indicazioni di questo post più quelle dei link in rilievo di questo forum. ricorda che un trojan può infettare anche altre chiavi oltre a quelle solite di Run, quindi ti consiglio di usare HjThis e di postare qui il log.
inoltre puoi usare Trojan Remover ,che trovi fra i link utili.
disabilita ripristino configurazione di sistema e fai una scansione in modalità provvisoria con questo tool. Trojan Remover può anche riparare le voci di registro infette.
domande:
1)che browser usi?
2)hai un firewall attivo?
3)il tuo SO è aggiornato?
Ciao,
come da te richiesto ti sottoscrivo il LOG generato da HjTHis :
Logfile of HijackThis v1.99.1
Scan saved at 13.43.38, on 26/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\eemj.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\comm.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\comm.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Vincenzo Russo\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Libero 6x\PBHelper.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programmi\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programmi\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HDAudio Driver] C:\WINDOWS\system32\eemj.exe
O4 - HKLM\..\Run: [antivirus] C:\WINDOWS\comm.exe /i
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
-----------------------------------------------------------------
Io ho aperto REGEDIT e anche se so che è rischioso ho cercato il file SVCHOS1AT.exe e l'ho eliminato da regedit.
Ora non so come poter fare a capire se tutto è andato a buon fine, se il mio pc è sicuro e protetto da intrusioni.
Grazie tante per il tuo aiuto!
Il tuo pc non è per nulla sicuro, così come non è per nulla sicura la directory dove hai inserito HJT.
Leggiti il 3d in rilievo, posiziona HJT nella directory esatta e posta un nuovo log, sappi comunque che nel tuo pc è installata una backdoor.
Sarebbe utile comunque fare prima una scansione dalla mod provvisoria con l'antivirus aggiornato.
http://castlecops.com/s9585-Timer.html
questo x quanto riguarda comm.exe;
poi c'è eemj.exe. che stampante usi?
devi installare un firewall che ti protegga anche dal traffico outbound. http://www.zonelabs.com/
ha già quello Symantec, sempre che l'abbia attivo.Originariamente inviato da NetEscape
devi installare un firewall che ti protegga anche dal traffico outbound. http://www.zonelabs.com/
Permessi di invio
Rispondi quotando