• User Newbie

    [Risolto] Win32/trojanClicker.agent.NBW

    Ciao, da alcuni giorni il nod 32 mi segnala tale messaggio:

    FILE
    C:\DOCUME 1\Patrizia\Impost 1\Temp\spoolsv32.exe

    VIRUS
    Win32/TrojanClicker.Agent.NBW cavallo di troia.

    COMMENTO
    EVENTO OCCORSO SU UN NUOVO FILE CREATO DA UN'APPLICAZIONE:
    C:\Programmi\Internet\iexplore.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

    Ogni volta che accendo il computer tale messaggio riappare e a volte mi è apparsa una schermata con un nome di un modem e una bocca rossa.
    Io non sono per niente esperta e chiedo il vostro aiuto. Vi posto il log di hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 18.56.58, on 03/07/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\Programmi\CyberLink\PowerCinema\PCMService.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programmi\QuickTime\qttask.exe
    C:\Programmi\iTunes\iTunesHelper.exe
    C:\Programmi\Eset\nod32kui.exe
    C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
    C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
    C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
    C:\Programmi\iPod\bin\iPodService.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
    C:\Programmi\WinRAR\WinRAR.exe
    C:\DOCUME~1\Patrizia\IMPOST~1\Temp\Rar$EX00.792\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
    O4 - HKLM..\Run: [D_V_T] C:\dvt.exe /S \C:\d_v_t.reg
    O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe"
    O4 - HKLM..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
    O4 - HKLM..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
    O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O17 - HKLM\System\CCS\Services\Tcpip..{03C58618-FC18-49FF-8DCE-94055D1B0F64}: NameServer = 85.37.17.43 85.38.28.96
    O17 - HKLM\System\CS1\Services\Tcpip..{03C58618-FC18-49FF-8DCE-94055D1B0F64}: NameServer = 85.37.17.43 85.38.28.96
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

    Ora aiutatemi voi! Ciao Patri


  • Consiglio Direttivo

    Ciao Patrizia e benvenuta nel Forum GT! 🙂

    Il log è pulito!

    Effettua una scansione in modalita' provvisoria con Virit Antivirus, disattivando momentaneamente il tuo NOD32!!
    Posta poi nel forum il risultato della scansione ! :ciauz:


  • User Newbie

    Grazie mille Wolf, oggi in pausa pranzo faccio quello che mi hai detto perchè ora sono al lavoro!!!
    A dopo allora.
    Patrizia


  • User Newbie

    Ciao ti allego il log dopo aver fatto la scansione da te consigliata con Virit antivirus:

    SCANSIONE DEL REGISTRO
    OK

    A:
    BOOT SECTOR: OK

    😄

    MASTER BOOT RECORD: OK
    BOOT SECTOR: OK

    C:\WINDOWS\csrs.exe infetto da Trojan.Win32.Small.QW

    ... RIMOSSO...

    C:\WINDOWS\csrss.dll infetto da Trojan.Win32.Small.QW

    ... RIMOSSO...

    C:\WINDOWS\system32 infetto da Trojan.Win32.Small.QW

    ... RIMOSSO...

    😧

    E:

    Chiavi di registro infette: 0

    File infetti: 3

    File sospetti: 0

    File Analizzati: 46416

    File Totali: 46416

    Chiavi di registro rimosse: 0

    Virus Rimossi: 3

    Questo è quello che mi è uscito dalla scansione.
    Ciao e grazie ancora.

    Patri


  • Consiglio Direttivo

    @pozzo1978 said:

    Ogni volta che accendo il computer tale messaggio riappare e a volte mi è apparsa una schermata con un nome di un modem e una bocca rossa.

    Risolto il problema del messaggio?? :mmm:


  • User Newbie

    Io non so come ringraziarti! Sei stato gentilissmo, ieri sera ho usato un pò il pc e il messaggio non è più uscito. Problema risolto quindi grazie a te!!!
    Buona giornata! Patrizia


  • Consiglio Direttivo

    Rimuovi ora Virit ed effettua uno scan con il tuo Nod32!
    Ti consiglio anche di effettuare delle scansioni Antispyware con "Ad-Aware e SuperAntispyware" aggiornati!! 🙂

    :ciauz:


  • User Newbie

    Ok, ieri sera ho rimosso Virit ed ho effettuato una scansione Nod32 ed era tutto a posto. Oggi ho riacceso il pc e non mi ha più dato quel messaggio comunque stasera faccio ciò che mi hai consigliato cioè delle scansioni Antispyware con "Ad-Aware e SuperAntispyware" aggiornati.
    Poi ti faccio sapere. Buon pomeriggio.
    Patri


  • User Newbie

    Scusa se ti disturbo ancora ma non ci capisco poi molto, sai non sono per niente esperta! Sono entrata cliccando su superantispyware e immagino che li debba cliccare su download free version home user, lo scarico, poi lo installo e poi ci faccio la scansione. Invece per Ad-ware una volta che ci entro nella prima pagina cosa devo fare? Devo andare in download? E se si cosa devo scegliere poi?
    Scusami!
    Ciao ciao


  • Consiglio Direttivo

    Nessun disturbo! 🙂

    @pozzo1978 said:

    Sono entrata cliccando su superantispyware e immagino che li debba cliccare su download free version home user, lo scarico, poi lo installo e poi ci faccio la scansione.

    Esatto!! 😉

    @pozzo1978 said:

    Invece per Ad-ware una volta che ci entro nella prima pagina cosa devo fare? Devo andare in download? E se si cosa devo scegliere poi?

    Download --> Ad-Aware Se Personal! Qui, trovi il language_packs! 🙂


  • User Newbie

    Con Superantispyware mi è uscito sto messaggio dopo la scansione:

    Scanning is complete. No harmful software was detected.

    Invece ad-aware mi dice total item detected: 3
    C'è il log, ma non so come inviartelo. Non riesco a fare copia incolla!!
    Mi chiedeva di mettere il file lig in web
    e mi è apparso questo link dopo che ho cliccato sopra:

    C:\Documents and Settings\All Users\Dati applicazioni\Lavasoft\Ad-Aware 2007\logs\Ad-Aware 20070707 09-06-56.log.xml

    Ciao


  • Consiglio Direttivo

    Ciao,

    superantispyware non ha rilevato nulla!!! 🙂 Non preoccuparti, non mi serve il log di ad-aware!

    Sembra che sia tutto ok! 😉

    Cmq, se hai ancora problemi posta pure!!! :ciauz:


  • User Newbie

    ok, grazie ancora!
    Ciao


  • Consiglio Direttivo

    @pozzo1978 said:

    ok, grazie ancora!
    Ciao

    😉

    :ciauz: