| Autore |
 Discussione  |
|
lesti
Junior Member
50 Messaggi |
 Inserito il - 29/06/2005 : 20:21:25
|
Salve a tutti, qualche tempo fa dopo aver aggiornato Norton Antivirus ho rilevato un virus denominato genericamente “Trojan Horse” che è stato prontamente eliminato. Non ricordo se anche prima, ma sicuramente dopo questo fatto mi è cominciata ad accadere la seguente cosa: quando apro Internet Explorer dopo un che navigo, si apre automaticamente una finestra con contenuti pornografici (di un sito mai visitato). Anche aggiornando Norton questo non rivela più nulla, nemmeno Spybot search and Destroy rileva niente. Che devo fare? Il mio sistema operativo è Windows 98 2nd editino ed il browser Internet Explorer 6. Può essere che mi entrino nel PC dalla rete mediante qualche porta? Se potete datemi qualche consiglio su cosa fare (Potrebbe essere colpa di quel Trojan?).
Grazie
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 29/06/2005 : 21:17:53
|
prova adware o bhoscanner
anzi provali tutti e due, bhoscanner è ottimo per le intrusioni che entrano da internet explorer. se non trovano niente entrambi poi ti faccio sapere. cerca anche un programma per eliminare i malware
|
 |
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 29/06/2005 : 22:42:12
|
non so se sia quello che hai rimosso, ma sicuramente qualcosa ti sta facendo navigare a modo suo, quindi è meglio prendere i dovuti provvedimenti, scarica e esegui hijackthis - htt*://[www].merijn.org/downloads.html - scegli l'opzione "Do a system scan and save a logfile", una volta la scansione terminata si aprirà il notepad con una serie di info, fai un copia incolla sul forum e cercheremo di risolvere...
PS: se per caso decidi che Internet Explorer è da scartare, cosa consigliata per navigare un pò più tranquilli, ti scarichi il Mozilla Firefox - htt*://[www].mozillaitalia.org/firefox/download.html#release - e, almeno il problema di "portarti a spasso su siti non richiesti" non lo avrai più, e noterai che ha poco da invidiare a IE (a parte il casino....)
Ciao e a presto. |
Modificato da - Yves in data 29/06/2005 22:44:42 |
|
|
|
lesti
Junior Member
50 Messaggi |
Inserito il - 30/06/2005 : 00:08:54
|
Grazie a tutti per avermi risposto, per prima cosa avevo sotto mano HijackThis ed ho cominciato da lì, vediamo come si evolve la cosa. Il Log risultante è questo:
Logfile of HijackThis v1.99.1
Scan saved at 0.04.45, on 30/06/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SBMX.EXE
C:\PROGRAMMI\TRUST\AMI MOUSE 150T OPTICAL WEB SCROLL\LWBWHEEL.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMMI\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\TINMESSENGER\TINMESSENGER.EXE
C:\PROGRAMMI\ICQLITE\ICQLITE.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Internet Explorer Web Content Guard - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WINDOWS\SYSTEM\IEGUARD.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe
O4 - HKLM\..\Run: [TrustInstaller] D:\SETUP.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\TRUST\AMI MOUSE 150T OPTICAL WEB SCROLL\LWBWHEEL.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMMI\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMMI\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Spybot - Search & Destroy.lnk = C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Pagine simili - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMMI\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMMI\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMMI\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - htt*://runonce.msn[.com]/setacceptlang .cab
Cavolo un pò lungo spero di non aver deturpato l'immagine del forum!
Grazie a tutti |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 30/06/2005 : 16:22:57
|
Io direi ke il BHO nn può essere xkè cmq è riconosciuto dagli Antivirus comuni e anke dal Norton, e a meno ke esso sia penetrato attraverso qualcke immagine, file mp3 o altro direi ke puoi x sicurezza cercare il programma anti BHO ke nn m ricordo + cm s kiama!
Io poi direi ke potresti postarmi anke lo storico ke t risulta dopo aver eseguito dalla riga d comando qunto segue:
cmd/ tasklist -svc. In aggiunta a questo posta anke un dettaglio sui processi in esecuzione normalmente e visibili sul taskmanager dopo ke hai abilitato dal menù a tendina Visualizza in alto, nelle sezione Seleziona Colonne la voce PID(ovvero identificazione processo). Fatto ciò forse s potrà vedere già qlc d + in kiaro!
P.S.: Aspettiamo 1 tua risp!
P.P.S.: Se vuoi toglierti la curiosità d sapere se 6 stato infettato dal BHO lancia dalla riga d comando quanto segue e posta il resoconto visualizzato:
cmd/ netstat -na.
Spero d esserti stato d aiuto intanto cmq dai 1 colpo s c sono novità!
CIAUZ CIAUZ! |
|
|
|
Worf
Senior Member
Città: Roma
140 Messaggi |
|
|
lesti
Junior Member
50 Messaggi |
Inserito il - 30/06/2005 : 20:22:57
|
Ho fatto analizzare il Log, le cose + interessanti sono queste:
O2 - BHO: Internet Explorer Web Content Guard - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WINDOWS\SYSTEM\IEGUARD.DLL
Sospetto [viene consigliato di eliminarlo]
O4 - HKLM\..\Run: [TrustInstaller] D:\SETUP.EXE
Sconosciuto
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
Sconosciuto
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
Sconosciuto
O4 - Startup: Spybot - Search & Destroy.lnk = C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
Sconosciuto
Il resto è sicuro, a parte qualche cartella fuori posto.
Voi che ne dite?
|
|
|
|
lesti
Junior Member
50 Messaggi |
Inserito il - 30/06/2005 : 20:46:26
|
Per EcNx82.CrYpTO :
Scusa la mia ignoranza  in materia di software ma da dove dovrei lanciare i comandi:
cmd/ tasklist -svc
cmd/ netstat -na
Poi devo rispettare la sintassi con gli spazi così come li hai scritti?
Grazie per la vostra pazienza!
Ciao |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 30/06/2005 : 21:42:21
|
Questo à l'aria di essere un problema...
O2 - BHO: Internet Explorer Web Content Guard - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WINDOWS\SYSTEM\IEGUARD.DLL
Sospetto [viene consigliato di eliminarlo]
Penso sia un files installato da un prog freeware che si integra con il browser (ad esempio un download manager o una tools bar)
O2 - BHO: Internet Explorer Web Content Guard - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WINDOWS\SYSTEM\IEGUARD.DLL
Quelli che rileva sconosciuti apparentemente sono innoqui, o comunque, almeno per il momento, non li toccherei...
In primo luogo vedrei in - pannello di controllo -> installazioni applicazioni se ci son delle tools bar per IE installate e le tirerei via (disinstallale)
se ancora fa le bizze, prova a rinominare IEGUARD in C:\WINDOWS\SYSTEM (da risorse del computer entri in C: entri nella cartella Windows e quindi nella sottocartella System), cerchi il files, vai sopra con il mouse, un clik con il pulsante DX e scelgi rinomina nel menu contestuale a tendina, lo chiami IEGUARD.BAK, chiudi tutte le finestre e provi a riavviare il pc ed a navigare normalmente, se non fa più scherzi sei (quasi) a posto.
Non ti consiglio di eliminarlo di entrata, c'è sempre tempo...
In seguito, quando hai risolto il problema, dimenticati Internet Explorer nei menu a sorpresa e passa a Firefox, per ora non lo prendono troppo di mira....
Ciao.
|
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 01/07/2005 : 16:15:59
|
Dalla riga d comando ovvero fai Start\ esegui \ e poi digiti cmd e successivamente i comandi ke ti ho postato(logicamente senza riscrivere cmd).
P.S.: Se il netstat -na t da la porta 31337 o 31338 allora sei infetto e veramente nella .... però con qualsiasi antivirus il Bho viene riconosciuto, sempre ke nn sia stato fuso con un file d altra estensione cm una foto, un file MP3 etc etc.
P.P.S: fammi sapere qualcosa! Bye Bye
|
|
|
|
lesti
Junior Member
50 Messaggi |
Inserito il - 01/07/2005 : 20:12:08
|
Ricordo che il mio sistema operativo è windows 98, forse "cmd" non è contemplato (giusto?) in quanto tramite una finestra mi avvisa che non viene trovato.
Per ora provo a rinominare il file come suggerito sopra.
Ancora grazie |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 02/07/2005 : 00:12:15
|
Non so se va sul 98, comunque prova da start -> esegui e inserisci giusto "cmd" (senza le ""), se si apre una finestra dos (credo che esistevano questi comandi) inserisci l'altra parte del comando, cioè: tasklist -svc ed in seguito ripeti l'operazione con netstat -na e vedi cosa ti dice, questa operazione eseguila collegato a internet (cioè on-line), altrimenti rischia di darti una (falsa) gioia...
In ogni caso sono quasi sicuro che non sia questo il problema, non mi sembra che il rapporto di hijack che hai postato sia tanto catastrofico ed un antivirus dovrebbe rilevarti gli eventuali problemi...
Io tenterei in due maniere distine
-la prima togliendo e reinstallando un nuovo AV aggiornato, non deve essere lo stesso che stai utilizzando (scaricane uno da internet free) e fare una scansione approfondita (normalmente la fanno tutti alla prima installazione)
-in secondo luogo tenterei anche con una scansione lanciando il 98 in modalita provvisoria, e questo con il nuovo antivirus, perche se ti hanno "fucilato" il Norton non troverà più niente...
Se ancora li non hai risultati credo che virus non ci siano, magari stiamo cercando fantasmi....
Ciao e facci sapere |
|
|
|
luna92
Senior Member
Città: monserrato(ca)
110 Messaggi |
Inserito il - 02/07/2005 : 08:13:49
|
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
ho analizzato e dice ke è sicuro
ma se quando ti appare su internet explorer una finestrella con about:blank è il segno che c'è un trojan horse xke lo dice??? |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 02/07/2005 : 08:27:26
|
Sicura che non sia un messaggio pubblicitario di qualche antitrojan? dai un pò più di info..
A, bensvegliata e buona giornata  |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 02/07/2005 : 08:47:39
|
X lesti
Fat Start\ Esegui\ Command e poi digit i comandi ke t avevo postato. Scusa ma mi ero dimenticato ke avevi Win 98
ciao |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 02/07/2005 : 08:49:33
|
X luna92
nn è il segno d un trojan horse in genere sono gli spyware che vanno a modificare la pagina predefinita sostituendola con quella lì.......ciò indica che c'è 1 falla abbastanza evidente nella sicurezza e quindi c'è da preoccuparsi perchè potremmo essere stati vittime, successivamente, di un trojan! |
|
|
|
Discussione |
|
Trojan Horse?
Forum Bloccato
