| Autore |
 Discussione  |
|
|
kerm_it
New Member
38 Messaggi |
 Inserito il - 03/06/2011 : 15:31:16
|
Salve ragazzi,
secondo antivir il mio portatile hp è infetto dal trojan tr/kazy. Ecco il report:
htt ://[www].freefilehosting.net/hijackthis_153
Un'altra cosa, il fatto che quando clicco su certi link dopo una ricerca con google il browser (firefox) mi reindirizza verso pagine di pubblicità (tipo groupon o meetic) dipende da questo trojan?
Grazie, ciao.
Giovanni
|
Modificato da - kerm_it in Data 03/06/2011 15:32:03
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 03/06/2011 : 15:46:30
|
Ciao Kerm.
Avvia HiJackThis e:
#9679; clicca sul pulsante Do a system scan only/Scan
#9679; metti la spunta accanto ad ogni singola voce indicata sotto
#9679; spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
#9679; clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su Sì
Queste sono le voci da fixare:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].daemon-search[.com]/startpage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = htt*=127.0.0.1:58444
F3 - REG:win.ini: load=C:\Users\kermit\AppData\Local\Temp\csrss.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [conhost] C:\Users\kermit\AppData\Roaming\Microsoft\conhost.exe
O4 - HKCU\..\Run: [EPSON BX600FW Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEKU.EXE /FU "C:\Windows\TEMP\E_S1BAA.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Java(TM) ME Platform SDK 3.0] "C:\Java_ME_platform_SDK_3.0\bin\device-manager.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EPSON6080C0] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEKU.EXE /FU "C:\Windows\TEMP\E_S27AC.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [NokiaOviSuite2] C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray
O4 - HKCU\..\Run: [{092EEBE6-3AF0-58AF-96DB-41238B38E87E}] C:\Users\kermit\AppData\Roaming\Yrupto\owud.exe
O4 - HKCU\..\Run: [gStart] C:\Program Files\Garmin\gStart.exe
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\RazaWebHook32.dll/3000
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - htt*://platformdl.adobe[.com]/NOS/getPlusPlus/1.6/gp .cab
Disinstalla McAfee Security Scan, Ask Toolbar e Daemon Tools Toolbar.
Poi:
Scarica Malwarebytes' Anti-Malware Free Version: htt*://[www].malwarebytes.org
#9679; doppio click su mbam-setup per avviare il setup
#9679; in fase di installazione, lascia la spunta a:
Aggiorna Malwarebytes' Anti-Malware
Avvia Malwarebytes' Anti-Malware
Una volta eseguiti i passaggi indicati sopra:
#9679; collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
#9679; verrà mostrata la schermata principale del tool
#9679; clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
#9679; verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
#9679; attendi pazientemente il termine della scansione
#9679; verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
#9679; se vengono rilevate infezioni: eliminale, cliccando su Rimuovi elementi selezionati
Allega i due Report nel prossimo post. Ciao e buon lavoro ;)
|
 |
|
|
kerm_it
New Member
38 Messaggi |
Inserito il - 03/06/2011 : 18:42:50
|
Ciao fdac, ho fatto quello che mi hai detto.
Il nuovo log di hijackthis:
htt*://wikisend[.com]/download/169486/hijackthis.log
Il log di mbam:
htt*://wikisend[.com]/download/169164/mbam-log.txt
Ho notato che nel log di hijackthis c'è ancora la entry relativa al proxy server. Mi sono accorto che Firefox provava proprio ad usare questo proxy per collegarsi, solo che adesso il proxy non risponde più. Ho modificato le impostazioni di Firefox perchè si connetta senza cercare di passare per il proxy.
Ho anche fixato tutti i file infetti individuati da mbam.
Ciao,
Giovanni
|
Modificato da - kerm_it in data 03/06/2011 18:43:29 |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 04/06/2011 : 14:12:37
|
Prova ad eseguire Hjt come amministratore (tasto destro sull'eseguibile di HJT, voce Esegui come amministratore) e fixare questa voce:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = htt*=127.0.0.1:58444
Disinstalla Shareaza.
Poi: aggiorna avira, ed esegui una scansione completa. Posta il report:
esegui una Scansione Completa del sistema, procedendo così:
#9679; doppio click sull'icona di Avira AntiVir Control Center, situata sul Desktop
#9679; si aprirà la schermata principale del programma
#9679; clicca su Avvia l'aggiornamento, per aggiornare le definizioni virali del programma
#9679; una volta concluso, clicca su Analizza il sistema ora, per scansionare il sistema alla ricerca di malware
#9679; attendi pazientemente il termine della scansione
#9679; metti in quarantena le infezioni trovate: in tal modo se legittime, potrai ripristinarle
#9679; allega il risultato che verrà rilasciato: per farlo, clicca su Report |
|
|
|
kerm_it
New Member
38 Messaggi |
Inserito il - 05/06/2011 : 16:27:46
|
Ciao fdac,
ho eseguito hjt come amministratore, ho fixato la voce sul proxy e adesso non compare più. Fra l'altro adesso riesco a navigare con IE (prima non ci riuscivo, forse provava ad usare il proxy anche lui). Comunque ogni volta che apro FF è configurato per usare il proxy, lo devo risettare ogni volta.
Ho fatto lo scan con antivir, questo è il report:
htt*://wikisend[.com]/download/117234/AVSCAN.txt
Mi ha rilevato dei virus, solo che quando mi ha chiesto se volevo fixarli ho cliccato su annulla pensando che li avrebbe messi in quarantena automaticamente (c'erano dei file di java che volevo evitare di eliminare), invece nella quarantena non ci sono. Mi sa che devo rifare lo scan.
Un'altra cosa, dopo aver fatto lo scan con mbam avevo eliminato il file conhost.exe (mi veniva presentato come virus) ma poi ho scoperto che è un file legittimo. E' un problema? Se si, come posso risolverlo?
Grazie, ciao. |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 05/06/2011 : 21:53:06
|
| Non è un file legittimo quello eliminato da malwarebytes. RIesegui la scansione con Avira. ;) |
|
|
| |
Discussione |
|
|
|
Laptop infetto da tr/kazy trojan
Forum Bloccato
