Ultimamente la CPU mi raggiunge livelli di utilizzo assurdi solo con Firefox aperto: controllando il task manager ho trovato processi sconosciuti e che utilizzando google si sono rivelati essere worm/trojan, così ho provveduto ad eliminarli in modalità provvisoria di windows.

 

Oggi però, il problema si è proposto nuovamente e questo mi fa sorgere un grosso dubbio visto che dall'ultima volta che avevo eliminato tutto non avevo proprio toccato il PC, quindi ho pensato potesse essere rimasto qualcosa... così ho scaricato la versione Home free-trial di Avast per vedere se trovava qualcosa.

 

Pare che ci fosse un file di nome locarm[1].exe nella cartella System32 che provvedeva a creare innumerevoli file .scr (scrensavers suppongo?) a raffica, ne ho trovati più di 80 con Avast.

 

Una volta pulito tutto e dopo aver fatto uno scan completo dei dischi, mi son messo a far fatti miei quando avast rileva il file locarm[1] insidiatosi nuovamente sul PC e i dice che è impossibile eliminarlo in quanto è in uso: dal taskmanager però non c'è nessun processo, ma noto che nella cartella System32 iniziano ad apparire miliardi di file .scr dopo aver insitito un pò, sono riuscito a eliminarlo... ora però ho paura che possa succedere ancora, avete qualche consiglio per aiutarmi?

 

EDIT: Mentre scrivevo questo post, il problema si è verificato nuovamente ma il file .exe in questione non si chiama più Locarm[1] ma in modo diverso: il trojan in questione pare essere Win32 Bifrose CKD o simile, e creando questi file .exe (non so come) mi sta floddando di file .scr

 

 

Prima di tutto dai una passata con ComboFix, poi vediamo un pò la situazione

 

 

Cercando quel worm/troja che sia su google, pare che sia un keylogger di World of Warcraft o qualcosa di simile, pare che sia stato riscontrato da molti utenti ma senza risoluzione.

 

Ho usato il programma che hai linkato (ma che traduzione in italiano ha? mi sono spaventato ) e dopo un pò di giri e rigiri nel report mi ha mostrato questo (vedi file allegato)

 

Toglimi una curiosità, alla fine della scansione, del riavvio e del report, suld esktop ho trovato l'icona di Internet Explorer (che io avevo rimosso anni or sono)... è normale?

 

ComboFix.txt

 

ComboFix.txt

 

 

Cercando quel worm/troja che sia su google, pare che sia un keylogger di World of Warcraft o qualcosa di simile, pare che sia stato riscontrato da molti utenti ma senza risoluzione.

 

Ho usato il programma che hai linkato (ma che traduzione in italiano ha? mi sono spaventato ) e dopo un pò di giri e rigiri nel report mi ha mostrato questo (vedi file allegato)

 

Toglimi una curiosità, alla fine della scansione, del riavvio e del report, suld esktop ho trovato l'icona di Internet Explorer (che io avevo rimosso anni or sono)... è normale?

Guarda, per scrupolo l'ho provato anch'io proprio ora per vedere se mi trovava qualcosa... a me ha messo l'icona di IE e dei Documenti.

 

Più che altro non saprei come leggere il log... vi posto il mio (che dovrebbe provenire da un pc pulito...dovrebbe!) magari imparo qualcosa di nuovo.

 

ComboFix 09-03-04.01 - Francesco 2009-03-06 23.09.24.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1040.18.3327.2333 [GMT 1:00]
Eseguito da: h:\documents and settings\Francesco\Desktop\cf\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

(((((((((((((((((((((((((   Files Creati Da 2009-02-06 al 2009-03-06  )))))))))))))))))))))))))))))))))))
.

2009-03-01 14:22 . 2009-03-01 14:22	<DIR>	d--------	h:\programmi\eMule0.49c
2009-03-01 14:02 . 2009-03-01 14:06	<DIR>	d--------	h:\programmi\i2p
2009-03-01 13:55 . 2009-03-01 13:55	<DIR>	d--------	h:\programmi\CCleaner
2009-03-01 13:30 . 2009-03-01 13:30	<DIR>	d--------	h:\programmi\uTorrent
2009-02-27 22:03 . 2009-02-27 22:11	<DIR>	d--------	h:\documents and settings\Francesco\Dati applicazioni\PlaneShift
2009-02-27 22:03 . 2009-02-27 22:03	<DIR>	d--------	h:\documents and settings\Francesco\Dati applicazioni\CrystalSpace
2009-02-27 22:03 . 2009-02-27 22:03	<DIR>	d--------	h:\documents and settings\Francesco\Dati applicazioni\CrystalApp
2009-02-27 22:02 . 2009-02-27 22:11	<DIR>	d--------	h:\programmi\PlaneShift Steel Blue
2009-02-25 14:04 . 2009-02-25 14:04	<DIR>	d--------	H:\5c32f6a2250f1092ca6b4e6bfe
2009-02-17 13:23 . 2009-02-17 13:25	<DIR>	d--------	h:\documents and settings\Francesco\.VirtualBox
2009-02-17 13:22 . 2009-02-17 13:22	<DIR>	d--------	h:\programmi\Sun
2009-02-17 13:22 . 2009-02-16 17:47	129,552	--a------	h:\windows\system32\VBoxNetFltNotify.dll
2009-02-17 13:22 . 2009-02-16 17:46	100,560	--a------	h:\windows\system32\drivers\VBoxDrv.sys
2009-02-17 13:22 . 2009-02-16 17:47	87,568	--a------	h:\windows\system32\drivers\VBoxNetFlt.sys
2009-02-17 13:22 . 2009-02-16 17:47	41,744	--a------	h:\windows\system32\drivers\VBoxUSBMon.sys
2009-02-13 19:25 . 2009-02-13 19:25	<DIR>	d--------	h:\programmi\FM Modifier 2.2

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-06 22:10	---------	d-----w	h:\documents and settings\Francesco\Dati applicazioni\uTorrent
2009-03-03 14:00	---------	d-----w	h:\programmi\Opera
2009-02-27 14:02	---------	d-----w	h:\programmi\Streamripper
2009-02-26 18:53	---------	d-----w	h:\programmi\Microsoft Silverlight
2009-02-26 15:22	---------	d-----w	h:\programmi\SpeedFan
2009-02-21 13:46	---------	d-----w	h:\programmi\Norman
2009-02-03 16:27	---------	d-----w	h:\programmi\Java
2009-01-29 12:59	---------	d-----w	h:\programmi\JkDefrag-3.36
2009-01-11 15:29	---------	d-----w	h:\programmi\Mp3tag
2009-01-11 15:29	---------	d-----w	h:\documents and settings\Francesco\Dati applicazioni\Mp3tag
2009-01-06 14:23	---------	d-----w	h:\programmi\SnapaShot
2008-12-20 22:31	826,368	----a-w	h:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="h:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="h:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="h:\programmi\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 h:\windows\RTHDCPL.exe]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "h:\programmi\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^NCProTray.lnk]
backup=h:\windows\pss\NCProTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a--c--- 2008-08-08 13:11 490952 h:\programmi\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hsc--- 2008-04-13 19:14 1695232 h:\programmi\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
--a------ 2008-12-03 12:47 1205760 h:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-11-07 14:31 21633320 h:\programmi\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a--c--- 2008-08-01 15:23 61440 h:\programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-11-10 05:43 136600 h:\programmi\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"h:\\Programmi\\Opera\\opera.exe"=
"h:\\Programmi\\aMSN\\bin\\wish.exe"=
"h:\\Documents and Settings\\Francesco\\Impostazioni locali\\Apps\\2.0\\2K9M7HMV.Z7L\\6Z343K0O.14Y\\2dff..tion_fcdf29b345c9098a_0001.0000_89b83da73a004bb4\\2DF FreePlay Client.exe"=
"h:\\Documents and Settings\\Francesco\\Dati applicazioni\\Damdai\\2DF\\FreePlay\\freeplay_emu.exe"=
"h:\\Programmi\\Sacred Edizione Oro\\Sacred.exe"=
"h:\\Programmi\\Skype\\Phone\\Skype.exe"=
"h:\\Programmi\\vlc-0.9.8a-win32\\vlc-0.9.8a\\vlc.exe"=
"h:\\Programmi\\Sports Interactive\\Football Manager 2008\\fm.exe"=
"h:\\Programmi\\uTorrent\\uTorrent.exe"=
"h:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"h:\\Programmi\\eMule0.49c\\eMule0.49c\\emule.exe"=

R1 VBoxDrv;VirtualBox Service;h:\windows\system32\drivers\VBoxDrv.sys [2009-02-17 100560]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;h:\windows\system32\drivers\VBoxUSBMon.sys [2009-02-17 41744]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;h:\windows\system32\drivers\l1e51x86.sys [2008-10-30 36864]
R3 VBoxNetFlt;VBoxNetFlt Service;h:\windows\system32\drivers\VBoxNetFlt.sys [2009-02-17 87568]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae95a24e-d9ee-11dd-adcf-002215954123}]
\Shell\AutoRun\command - C:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ceba8764-aa84-11dd-b3d4-002215954123}]
\Shell\AutoRun\command - D:\LaunchU3.exe -a
.
.
------- Scansione supplementare -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2009-03-06 23:10:47
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ... 

scansione entrate autostart nascoste ... 

Scansione files nascosti ... 

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(920)
h:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-03-06 23.11.31
ComboFix-quarantined-files.txt  2009-03-06 22:11:24

Pre-Run: 130.969.661.440 byte disponibili
Post-Run: 130,957,246,464 byte disponibili

124	--- E O F ---	2009-02-26 12:59:37

 

Uhm non so come leggerlo neanche io, a prima vista mi viene da pensare che con il messaggio:

 

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA

 

intenda che non ho l'opzione Ripristino configurazione del Sistema attivata (ed è vero, non so tu) e che tra le prime righe segni i file eliminati... mi lascia perplesso il pezzo sulle .dll trovate: non ho capito se le ha rimosse perchè maligne, sono maligne ma non le ha rimosse o non ha fatto nulla e stan bene lì dove sono

 

EDIT: Attualmente l'opzione Ripristino configurazione del Sistema, mi è stata attivata, probabilmente dal programmino? Spero di si, perchè avevo controllato quando rimuovevo i file trovati, ed era disattivata su entrambi i dischi...

 

 

Uhm non so come leggerlo neanche io, a prima vista mi viene da pensare che con il messaggio:

 

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA

 

intenda che non ho l'opzione Ripristino configurazione del Sistema attivata (ed è vero, non so tu) e che tra le prime righe segni i file eliminati... mi lascia perplesso il pezzo dulle dll trovate, nno ho capito se le ha rimosse perchè maligne, sono maligne ma non le ha rimosse, o non ha fatto nulla e stan bene lì dove sono

 

EDIT: Attualmente l'opzione Ripristino configurazione del Sistema, mi è stata attivata, probabilmente dal programmino? Speor di si, perchè avevo controllando quando rimuovevo i file trovati, ed era disattivata su entrambi i dischi...

Il messaggio sulla console fa riferimento ad una richiesta che il software ti pone proprio all'inizio quando ti chiede di scaricare ed installare tale console (e che richiede una connessione ad internet). Io ho risposto "no" e quindi te lo segna lì.

 

Il Ripristino di Sistema te lo attiva perché, suppongo, dopo aver lanciato il software ti crea un punto di ripristino. Lo ha attivato anche a me e come non bastasse, ti imposta il valore massimo allo spazio da ssociare al ripristino!

 

Per quanto riguarda le dll eliminate delle prime righe... veramente è ambiguo perché non commenta tali flile. Non dice quale azione ha svolto su di esse dunque suppongo che abbia lasciato tutto così com'era.

 

Ah, nota che nella root principale del disco fisso ti ha lasciato due directory come regalini...

 

 

Il messaggio sulla console fa riferimento ad una richiesta che il software ti pone proprio all'inizio quando ti chiede di scaricare ed installare tale console (e che richiede una connessione ad internet). Io ho risposto "no" e quindi te lo segna lì.

 

Il Ripristino di Sistema te lo attiva perché, suppongo, dopo aver lanciato il software ti crea un punto di ripristino. Lo ha attivato anche a me e come non bastasse, ti imposta il valore massimo allo spazio da ssociare al ripristino!

 

Per quanto riguarda le dll eliminate delle prime righe... veramente è ambiguo perché non commenta tali flile. Non dice quale azione ha svolto su di esse dunque suppongo che abbia lasciato tutto così com'era.

 

Ah, nota che nella root principale del disco fisso ti ha lasciato due directory come regalini...

E' vero, ho notato la cartella Qoobox e il .txt del report, riguardo la Console hai ragione, anche io ho risposto no alla domanda.

 

Tra l'altro mentre scrivevo questo post, avast mi ha nuovamente segnalato quel trojan su un file con questo percorso:

 

C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\BSWB3OB3\locarm[1].exe\[Armadillo]

 

Ho provato a rimuoverlo e mi dice che è in uso, controllo il taskmanager e non è tra i processi, controllo la cartella System32, e riecco nuovamente un file .scr (che Avast mi ha segnalato)... non so più che pensare

 

 

Prova a pulire la cache di IE con CCleaner o con il tool che usi di solito.

 

Ad ogni modo, girando per il web ho trovato il log di CB di un utente con un po' di porcherie sul pc e ho notato che quando trova robina poco pulita nel log la segnala chiaramente con un "!!!Attention - " quindi a me il tuo (ed il mio) log sembra pulito...

 

 

CCleaner è la prima cosa che ho passato, ormai è diventato quasi un vizio, lo faccio quasi senza motivo... il problema è che IE non lo utilizzo più da quando ho scaricato Firefox, come fanno ad esserci dei file temporanei senza aver utilizzato il programma e dopo innumerevoli utilizzi di CCleaner

 

Per scrupolo controllo meglio, magari ha tralasciato qualche file!

 

EDIT: Ho controllato, è tutto pulito, ora aspetto ancora un pò a cantar vittoria e vedo se avast mi segnala dell'altro, in quel caso sono sicuro che è la punizione divina nellesatto periodo in cui ho l'HD pieno di roba e zero voglia di far DVD

 

 

CCleaner è la prima cosa che ho passato, ormai è diventato quasi un vizio, lo faccio quasi senza motivo... il problema è che IE non lo utilizzo più da quando ho scaricato Firefox, come fanno ad esserci dei file temporanei senza aver utilizzato il programma e dopo innumerevoli utilizzi di CCleaner

 

Per scrupolo controllo meglio, magari ha tralasciato qualche file!

Probabilmente si è solo copiato in quella cartella e non ha nulla a che vedere con l'utilizzo del browser.

 

Ho googleto un po' ma non ho trovato molto di utile se non che potrebbe essere un trojan in grado di "rubare" dati dagli account di WoW, specie quelli delle carte di credito.

 

Ma quando hai lanciato Avast lo hai fatto in modalità provvisoria ?

 

La cosa migliore da fare, se Avast è capace di rimuoverlo (io uso Avira Antivir Personal) secondo me è:

 

- Disattiva il ripristino del registro e cancella tutti i punti di ripristino creati. E' necessario perché se ti ha creato dei punti "infetti", andando a ripristinare ricadi nel trappolone, tra l'altro a me il ripristino di XP è sempre puzzato di pacco (quello di Vista mi pareva un pelino migliore)

 

- Ravvia il sistema in modalità provvisoria ed esegui il tuo antivirus

 

 

Sì, quand'ho visto che non c'era nulla da fare perchè mi segnava il file infetto in uso (benchè non apparisse tra i processi del taskmanager) è stato rimuoverlo in modalità provvisoria, rigorosamente con la funzione di ripristino disattivata, il problema è che magari si era già ramificato altrove prima che creassi il report con Combo Fix.

Ho anche iniziato a pensare che magari è un sito che frequento: io leggo scan di manga online ed è capitato spesso che alcuni banner (benchè tu non clickassi) fossero dannosi o che il link alle immagini redirectasse altrove, ultimamente è stato lanciato un altro allarme del genere, ma dopo averlo letto avevo già inziato tutta la sfilza di cose per rimuovere i file infetti, quindi non capisco i recenti attacchi

 

Io per WoW uso una carta postepay, che utilizzavo rigorosamente solo per acquisti online, precaricata al momento dell'utilizzo, lo stesso per la quota mensile di WoW, quindi al massimo possono sottrarmi aria, a prescindere comunque sapere di avere dei processi dannosi non mi fa stare tranquillo

 

 

Oddio, quanto avete scritto voi due

 

Dunque, confermo un pò quanto detto dal Bru, disattiva il ripristino di sistema, riavvia il pc, quindi installa Malwarebytes, riavvia in modalità provvisoria e fai una scansione rapida (se non va, usa la modalità normale di Win), riavvia e poi fanne una completa, per concludere passa anche con Superantispyware.

 

Speriamo sia qualcosa tipo Vundo e non robe che richiedono la formattazione

 

 

Oddio, quanto avete scritto voi due

 

Dunque, confermo un pò quanto detto dal Bru, disattiva il ripristino di sistema, riavvia il pc, quindi installa Malwarebytes, riavvia in modalità provvisoria e fai una scansione rapida (se non va, usa la modalità normale di Win), riavvia e poi fanne una completa, per concludere passa anche con Superantispyware.

 

Speriamo sia qualcosa tipo Vundo e non robe che richiedono la formattazione

Noi scriviamo tanto mica siamo stitici come te.

 

Ah, sti tecnici.

 

Sul mio log che dici ? Più che altro, come si legge ? E non rispondere da sx a dx

 

Per la postepay: il problema non sono solo i soldi, è anche un furto di identità. Se volessero commettere degli illeciti, iscriversi in siti dove la carta è richiesta anche senza acquisti ( ) potrebbero sfruttare la tua identità.

 

Ma non voglio aggiungere altre preoccupazioni, le mie son solo congetture

 

 

 

Sul mio log che dici ? Più che altro, come si legge ? E non rispondere da sx a dx

Dall'alto al basso

E' pulito, non c'è nulla di strano, a parte il solito servizio ToeSpy che gira nascosto nel pc

 

Lo leggi in maniera molto semplice, all'inizio ti dice ciò che ha trovato e che ha tolto, poi sotto in pratica ti elenca dll e servizi che sono attivi o partono all'avvio del pc, più o meno come fanno molti altri programmi.

 

 

 

Dall'alto al basso

 

E' pulito, non c'è nulla di strano, a parte il solito servizio ToeSpy che gira nascosto nel pc

 

Lo leggi in maniera molto semplice, all'inizio ti dice ciò che ha trovato e che ha tolto, poi sotto in pratica ti elenca dll e servizi che sono attivi o partono all'avvio del pc, più o meno come fanno molti altri programmi.

Uhm... nel mio log non mi pare ci sia scritto che abbia tolto qualcosa.

 

Mi inquieta quando elenca software che ho installato ma non erano né attivi né avviati col pc...

 

 

Oddio, quanto avete scritto voi due

 

Dunque, confermo un pò quanto detto dal Bru, disattiva il ripristino di sistema, riavvia il pc, quindi installa Malwarebytes, riavvia in modalità provvisoria e fai una scansione rapida (se non va, usa la modalità normale di Win), riavvia e poi fanne una completa, per concludere passa anche con Superantispyware.

 

Speriamo sia qualcosa tipo Vundo e non robe che richiedono la formattazione

Fatto tutto, al momento di passare Superantispyware già non trovava più nulla, e per ora (incrociamo le dita) Avast non mi ha segnalato più nulla.

 

Mi inquieta parecchio però che da quanto ho avuto questi problemi, tutte le volte che avvio il PC, al momento di inserire la password per caricare il mio profilo di windows, è capitato che il computer si riavviasse da solo, non mi era mai successo prima e non è possibile sia un problema di riscaldamento ne di alimentatore (l'ho cambiato un mese fa)...

 

 

Il problema si è presentato nuovamente, stesso trojan, stessi file creati, rimossi sistematicamente da Avast, ricontrollo con gli altri antispyware e non vi è più traccia... incomincio a pensare che non ve ne sia traccia sul mio PC al momento della cancellazione ma che continui ad insidiarsi tramite qualche web site o programma che utilizzo, il problema è che non capisco qual'è, non frequento siti strani ne uso programmi "non sicuri"... poi no capisco perchè sistematicamente il file si trovi nella cartella dei file temporanei di IE5, programma che non utilizzo affatto

 

 

Hai provato con un altro antivirus free o un scan online da kaspersky ecc per veder cosa trova?

 

Perchè quando avevo avast avevo sempre problemi di trojan o worm...cosa che adesso anche norton mi sta deludendo perche ho un worm e mi sta facendo impazzire!

 

 

Il problema è che trojan o no, questo file effettivamente c'è (il famoso locarm[1].exe) e continua a crearmi file tipo (da 1 a 80) 80.scr nella cartella System32

 

 

Mmm...potrebbe essere Win32.Bifrose-CKD (Backdoor) e ha semplicemente un suo servizio che all'avvio del pc ricrea tutto, posta un bel log con HijackThis.

 

Sei riuscito a fare le due scansioni (Malwarebyter e Superantispyware) in modalità provvisoria?

 

 

Mmm...potrebbe essere Win32.Bifrose-CKD (Backdoor) e ha semplicemente un suo servizio che all'avvio del pc ricrea tutto, posta un bel log con HijackThis.

 

Sei riuscito a fare le due scansioni (Malwarebyter e Superantispyware) in modalità provvisoria?

Malwarebyter ha trovato due file, che ha poi eliminato, invece Superantispyware non ha trovato nulla (neanche Avast)

 

Allego il report di HijackThis

 

EDIT: Non mi allegava il file perchè era .log

 

report.txt

 

report.txt

 

 

Fixa le seguenti righe

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\System32\msr.exe (file missing)

 

O24 - Desktop Component 1: (no name) - D:\Varia\FMA\lay_domain.jpg

 

 

Usi IE6?

 

 

Ho fatto dei controlli un po in giro...e devo dire che c'è l'hanno un paio di persone sto problema.

 

L'unica cosa che ho capito e che a tutti crea dei file su System32 ma a tutti con nomi diversi e ripetitvi...una cosa in comune che avete è che vi disattiva la funzione di riprisitino del sistema.

 

Molti hanno provato come hanno consegliato i superiori ed i migliori del sito ma a molti dopo un po di tempo e ritornato il problema. Avast e BitDefender non lo riconoscono ed neanche Superantispyware mentre Malwarebyter lo riconosce ma penso che non lo elimina.

 

Confermo che è Win32.Bifrose-CKD, cioè un Backdoor, perchè Kaspersky lo ha riconosciuto a tutti e tutti i suoi file che crea a tutti quello che avevano questo problema.

 

Alcuni che sono riusciti ad eliminarlo hanno fatto in questo modo grazie ai questi passi:

 

p2pforum

 

Spero che ti puo servire, perchè l'unico modo che ripetevano è di fare in modalita provvisoria con alcuni programmi.

 

Io sono un principiante con ste cose, ma se vuoi un consiglio...cambia antivirus!

 

 

Fixa le seguenti righe

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\System32\msr.exe (file missing)

 

O24 - Desktop Component 1: (no name) - D:\Varia\FMA\lay_domain.jpg

 

Usi IE6?

Ho IE6 (penso non si possa togliere... o sì?) ma utilizzo solo Firefox 3.0.7 (uso solo Firefox da secoli ormai) comunque ho fixato le righe che dicevi, ecco il nuovo report (vedi allegato)

 

x Yjear: ti ringrazio per il link, ma purtroppo consiglia solo strade che ho già tentato

 

Spero solo che il problema fosse in qualche file e/o stringa nel registro che non mi permetteva di debellarlo totalmente, se non è così, sono a corto di idee

 

newreport.txt

 

newreport.txt

 

 

Prego...se vuoi qui trovi altri programmini che dovrebbero essere utili...speriamo!

 

Backdoor.Win32.Bifrose

 

pctools