| Autore |
 Discussione  |
|
excalib67
New Member
44 Messaggi |
 Inserito il - 16/11/2005 : 19:57:07
|
Ciao a tutti; scusate, ma volevo chiedervi delucidazioni su questo sospetto
trojan.
Alcuni giorni fà, ho provato a scaricare dei file e al 99% il BitDefender
bloccava lo scarico del file stesso comunicandomi che era infetto ma che
l'infezione non aveva colpito il pc.
IN realtà, da quel momento, ogni volta che lancio IE6, oppure Outlook
Express, e li richiudo, compaiono un serie di scehramte del suddetto
antivirus che indicano che il trojan voleva andare in esecuzione ma è stato
bloccato.
Questo è ciò che il log della scansione completa mi restituisce:
"""
c:\documents and settings\thespirit\impostazioni locali\temporary internet
files\content.ie5\ffo8bd2q\snd-anydvd5.x.x.x.universalpatch[1].exe=>(ZIP Sfx
o)=>run.exe suspect: BehavesLike:Trojan.Downloader
c:\documents and settings\thespirit\impostazioni locali\temporary internet
files\content.ie5\ffo8bd2q\snd-anydvd5.x.x.x.universalpatch[1].exe=>(ZIP Sfx
o)=>run.exe suspect: BehavesLike:Trojan.Downloader
c:\documents and settings\thespirit\impostazioni locali\temporary internet
files\content.ie5\cla47005\f-0070[1].exe=>(ZIP Sfx o)=>run.exe suspect:
BehavesLike:Trojan.Downloader
c:\documents and settings\thespirit\impostazioni locali\temporary internet
files\content.ie5\cla47005\f-0070[1].exe=>(ZIP Sfx o)=>run.exe suspect:
BehavesLike:Trojan.Downloader
c:\documents and settings\thespirit\impostazioni locali\temporary internet
files\content.ie5\cvt61n0a\f-0070[1].exe=>(ZIP Sfx o)=>run.exe suspect:
BehavesLike:Trojan.Downloader
c:\documents and settings\thespirit\impostazioni locali\temporary internet
files\content.ie5\cvt61n0a\f-0070[1].exe=>(ZIP Sfx o)=>run.exe suspect:
BehavesLike:Trojan.Downloader
"""
I file sospetti risultano dentro una fantomatica cartellina contenti.ie5
che, benchè abbia reso visibili tutti i tipi di file, non riesco a vedere.
Andando in modalità provvisoria, l'ho trovata, ma i file temporanei in essa
contenuti non riesco ad eliminarli ("Impossibile eliminare il file: potrebbe
essere in uso da un altro utente o programma"), ed inoltre bitdefender in
modalità provvisoria non parte per la scansione.
Ma a quale libreria si và ad attaccare questo trojan? quale voce di registro
è andato a modificare, considerato che pur cercando con regedit non riesco a
trovarne traccia?
Scusatemi per la prolissità, ma resto in attesa di un cenno di risposta.
Grazie
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 16/11/2005 : 20:13:09
|
Posta un loh di Hijackthis.
Scaricalo da qui: htt*://[www].download[.com]/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1
Aprilo e premi su "Do a scan system and save logfile"
Lo copi e lo incolli qui. |
 |
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 17/11/2005 : 16:03:49
|
ho trovato qualcosa in un sito estero non ho capito bene (forse è portoghese??) comunque cerca queste chiavi
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000"
Sul sito dicevano di controllare queste chiavi con il valore Dword specificato su ogni chiave.
Inoltre la propagazione del Trojan avveniva tramite questi file
pics.zip
teamster.zip
toxicology.zip
usurus.zip
Comunque vai quì htt*://[www].vsantivirus[.com]/down-small-axr.htm magari tu conosci la lingua del sito. |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
 Inserito il - 17/11/2005 : 16:44:23
|
uau ale sei anche poliglotta..che altre lingue sai?
ciaooo |
|
|
|
excalib67
New Member
44 Messaggi |
Inserito il - 19/11/2005 : 09:42:29
|
Ciao.
Intanto ritengo doveroso ringraziarvi per avermi regalato un pò del vostro tempo dandomi qualche dritta.
Se non troverete delle risposte da parte mia nei prossimi giorni è perchè non sarò spesso in casa, e non per indifferenza.
Quanto prima lancio il file che mi ha consigliato "gladiatore" (Hijackthis), anche se un paio di cose sono riuscito a farle.
Avendo due hdd, con sistema operativo autonomo (SP2 in quello infetto, che adopero per connettermi al web, ed SP1 nell'altro che uso per lavorare con file di editing foto e video), ho fatto partire il pc dal secondo.
In questo modo, riesco a vedere finalmente la cartellina "content.ie5" dentro cui di trovano le 3 cartelline con i file infetti.
Ma anche lanciando il BitDefender Pro, costantemente aggiornato, da questo hdd, i file non si rimuovono: ho cercato di modificare le loro proprietà togliendo il "solo lettura", ma non và.
Allora ho provato a spostarli nella cartellina "infected" del Bitdefender (sempre dell'hdd utilizzato per il web), e in questo modo sono riuscito a smuoverli, cancellando anche la cartellina "documents and settings\thespirit\impostazioni locali\temporary internet files\content.ie5".
Adesso, quando lancio Internet Explorer e lo richiudo, oppure Outlook Express, non partono più i messaggi di avviso del Bitdefender che mi comunicavano che il "computer NON è stato infettato dal virus".
Ritengo che già sia una cosa buona, o no?
Adesso seguirò i vostri consigli per cercare di eliminarli (ma a livello tecnico, qualcuno sà dirmi come mai un file reagisce dicendo "impossibile da eliminare: il file potrebbe essere in uso da un altro utente o programma"?) e vi farò sapere le novità.
Certo che tutto mi aspettavo, ma il non riuscire ad eliminarli da un altro hdd proprio no...chissà cosa li protegge.
Ah, a titolo di cronaca, nemmeno a me BitDefender parte quando riavvio il pc in modalità provvisoria con SP2..se è un problema dell'antivirus non và certo bene, sarebbe comodo far la scansione in tale modalità.
Grazie ancora e vi aggiornerò (nonchè continuerò a leggere i vostri interventi che ritengo siano molto interessanti ed utili).
Ciao dalla Toscana a (in ordine di apparizione) Er-Gladiatore, Vanx ed Alexsandra. |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 19/11/2005 : 09:46:43
|
prova dalla provvisoria....
riavvii e premi F8 e gli dici avvia in provvisoria..entri e scansioni..e vedrai che te li toglie..(se dici che non va prova manualmente)
se ancora non li toglie..tenta di rinominarli..e riavvia..e riprova a toglierli...delle volte funzia..
ciaooo |
Modificato da - n/a in data 19/11/2005 09:47:40 |
|
|
|
excalib67
New Member
44 Messaggi |
Inserito il - 19/11/2005 : 09:48:22
|
Pardòn,
Alexsandra era arrivata prima di Vanx :-)
Ciao |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 23/11/2005 : 09:34:04
|
Messaggio inserito da excalib67 in un'altra discussione chiusa ed eliminata per evitare la frammentazione dei topic.
------ Inizio messaggio ------
Ciao ragazzi,
facendo seguito al messaggio postato qualche giorno fà (ed ancora visibile qualche rigo più in basso in questo forum),
vi inoltro quanto rilevato con Hijackthis, specificandovi ancora che i file incriminati sono riuscito a spostarli nella cartellina "Infected" del BitDefender, ma che non si riescono a cancellare (ogni volta che li tocco con la freccia del mouse, oltre a partire l'antivirus con la segnalazione che il PC non è statop infettato, la finestrella di windows avvisa dell'impossibilità di cancellarli).
Grazie e alla prossima.
"""""
Logfile of HijackThis v1.99.1
Scan saved at 8.09.11, on 23/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\PestPatrol\PPMemCheck.exe
C:\Programmi\PestPatrol\PPControl.exe
C:\Programmi\PestPatrol\CookiePatrol.exe
C:\Programmi\Softwin\BitDefender8\bdswitch.exe
C:\Programmi\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\TechniSat DVB\bin\Server4PC.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ABC\abc.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\Explorer.EXE
D:\Driver Utility\Software\Antivirus & Protezione PC\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = htt*://[www].pcw.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2 ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7F6828CA-9E42-462C-BC60-418C8144012C} - (no file)
O2 - BHO: (no name) - {D396E066-A5E7-42AC-A4B5-57A0B2E99637} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmi\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmi\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmi\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programmi\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programmi\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Search - htt*://bar.mywebsearch[.com]/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: *******! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\*******!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: *******! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\*******!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.addictivetechnologies[.com]
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: htt*://[www].atime.it
O15 - Trusted Zone: *.c4tdownload[.com]
O15 - Trusted Zone: *.f1organizer[.com]
O15 - Trusted Zone: *.overpro[.com]
O15 - Trusted Zone: [www].yeak.net
O15 - ProtocolDefaults: 'htt*' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'htt*' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - htt*://download.bitdefender[.com]/resources/scan8/oscan8 .cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F09CE901-22DF-495B-8DEB-776B1CD04371}: NameServer = 192.168.1.1
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
"""""
Preciso che la pagina iniziale di IE è bloccata dalle modifiche tramite SpyBot (e tweakui), mentre non capisco a cosa si riferiscono le righe TrustedZone.
Thanks |
Modificato da - ori in data 23/11/2005 09:40:14 |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 23/11/2005 : 09:36:39
|
Messaggio inserito da Vanx nell'altra discussione
------ Inizio messaggio ------
hai per caso un ups attaccato al pc?????
fra un attimo ti posto cosa fixare.. |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 23/11/2005 : 09:43:06
|
comincia col fixare questi..
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = htt*://[www].pcw.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7F6828CA-9E42-462C-BC60-418C8144012C} - (no file)
O2 - BHO: (no name) - {D396E066-A5E7-42AC-A4B5-57A0B2E99637} - (no file)
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: &Search - htt*://bar.mywebsearch[.com]/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: *******! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\*******!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: *******! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\*******!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.addictivetechnologies[.com]
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: htt*://[www].atime.it
O15 - Trusted Zone: *.c4tdownload[.com]
O15 - Trusted Zone: *.f1organizer[.com]
O15 - Trusted Zone: *.overpro[.com]
O15 - Trusted Zone: [www].yeak.net
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - htt*://download.bitdefender[.com]/resources/scan8/oscan8 .cab
questi non so...
O15 - ProtocolDefaults: 'htt*' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'htt*' protocol is in Trusted Zone, should be Internet Zone (HKLM)
prova a fixarli..tanto dopo si possono ripristinare col backup..
ciaooo |
|
|
|
excalib67
New Member
44 Messaggi |
Inserito il - 23/11/2005 : 09:54:29
|
Si Vanx,
ho un BackUPS APC 420 Pro, collegato tramite porta Com.
Ciao e grazie per adesso |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 23/11/2005 : 10:27:12
|
alex..questo mi puzza...
C:\WINDOWS\system32\services.exe
tu che dici..
ciaoooo |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 23/11/2005 : 10:28:20
|
Grazie Ori è sempre difficile ricordare dove vengono postati i log.
Per excalib
Avvia normalmente il pc. poi vai in Star - Esegui e digiti msconfig premi invio
Nella form che ti appare clicca sull'ultima linguetta "Avvio" e cerca questo C:\Programmi\ABC\abc.exe
togli la spunta e clicca su applica (se non c'è è meglio continua con la procedura)
poi clikka sulla linguetta BOOT.INI e seleziona /SAFEBOOT clikka su applica poi su esci.
A questo punto il pc si riavvia in modalità provvisoria quando ti compare la schermata di avvio vai quì
Star - Esegui e digiti cmd e premi invio
alla schermata che ti compare (è nera) digita cd\ e premi invio
dopo digita cd Programmi\ABC e premi invio
adesso sei nella cartella del worm digita del abc.exe e lo cancelli
poi vai in Start - esegui e digita regedit poi premi invio
cerca queste chiavi nel pannello di Sx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
cliccando sopra alla chiave vedi se nel pannello di Dx ci sono dei valori come questo
C:\Programmi\ABC\abc.exe se compare fai clik sopra col Dx del mouse e al menù che ti compare
clikka su elimina
lancia HJK ,disabilita ripristino di configurazione (vedi FAQ per istruzioni) e fixa queste voci
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ABC\abc.exe ----> worm
C:\Programmi\eMule\emule.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = htt*://[www].pcw.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2 ADSL
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7F6828CA-9E42-462C-BC60-418C8144012C} - (no file)
O2 - BHO: (no name) - {D396E066-A5E7-42AC-A4B5-57A0B2E99637} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Search - htt*://bar.mywebsearch[.com]/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: *******! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\*******!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: *******! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\*******!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.addictivetechnologies[.com]
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: htt*://[www].atime.it
O15 - Trusted Zone: *.c4tdownload[.com]
O15 - Trusted Zone: *.f1organizer[.com]
O15 - Trusted Zone: *.overpro[.com]
O15 - Trusted Zone: [www].yeak.net
O15 - ProtocolDefaults: 'htt*' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'htt*' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Lancia ora una scansione con spyboot
Riavvia il sistema
Vedo troppi file missing di bitdefender non vorrei che vosse stato attaccato per sicurezza fai una scansione on line dal sito di notrace
per eseguirla devi avere attivi gli Activex (per istruzioni vedi FAQ)
ora reinstalla Bitdefender (procedura di sicurezza) e dopo fai una scansione con regseeker
dopo posta un log di HJK e dimmi se hai ancora problemi
|
|
|
|
excalib67
New Member
44 Messaggi |
Inserito il - 23/11/2005 : 11:18:33
|
Ciao Ale e Vanx,
oggi proverò le vostre "dritte".
Volevo comunque precisare alcune cose (precisando che per il termine "fixare" intendo che il programma elimini quelle riche dal registro di configurazione...se sbaglio fatemi sapere):
- il file ABC.exe si riferisce ad un software di P2P TORRENT, installato solo 2 giorni fà, e quindi non presente al momento dell'infezione;
- emule.exe idem;
- Soundman.exe è invece l'eseguibile della scheda sonora integrata sulla motherboard ASUS A8V - N (se non ricordo male la sigla) per AMD;
- Server4pc.exe si riferisce al software di gestione della scheda SkyStar2 per la ricezione dei canali satellitari tramite pc;
- C:\Programmi\ATI Multimedia\TV\EXPLBAR.DLL, è relativo alla libreria per il software della scheda ATI RAGE Fury 128 PRO, per la gestione della multimedialità e delle funzionalità Vi-Vo.
Ehm... devo sempre provvedere a fixarle??? Magari mi creo prima un punto di ripristino in XP SP2?
Ciao
Excalib |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 23/11/2005 : 11:48:32
|
Citazione:
Messaggio inserito da excalib67
..il termine "fixare" intendo che il programma elimini quelle righe dal registro di configurazione...
esatto
il file ABC.exe si riferisce ad un software di P2P TORRENT
Se associato come startup a Windows DLL Loader crea come riga di comando il file defragfat32abc.exe (fai un cerca,e guarda nelle chiavi che ti ho postato se c'è) e viene riconosciuto come RBOT-RG WORM!
emule.exe
Non ti serve nei prog. di avvio,ti serve solo quando lo usi. Toglierlo dai file di avvio non vuol dire disinstallarlo
Soundman.exe è invece l'eseguibile della scheda sonora integrata sulla motherboard ASUS A8V - N (se non ricordo male la sigla) per AMD;
Vedi sopra (emule)
Server4pc.exe si riferisce al software di gestione della scheda SkyStar2 per la ricezione dei canali satellitari tramite pc;
Vedi sopra (emule)
C:\Programmi\ATI Multimedia\TV\EXPLBAR.DLL, è relativo alla libreria per il software della scheda ATI RAGE Fury 128 PRO, per la gestione della multimedialità e delle funzionalità Vi-Vo.
Vedi sopra (emule)
devo sempre provvedere a fixarle???
se vuoi liberare ram ,velocizzare il pc e evitare possibili "infiltrazioni" fixale, ma le puoi benissimo anche tenere
Magari mi creo prima un punto di ripristino in XP SP2?
No li devi togliere tutti altrimenti se ripristini ti ritrovi ancora il trojan.
Per eliminare i file in quella cartella ti posto come fare dopo aver fatto pulizia,inoltre ti consiglio di usare Firefox al posto di IE
ciao
Ciao
|
|
|
|
excalib67
New Member
44 Messaggi |
Inserito il - 05/12/2005 : 22:44:17
|
Ciao ragazzi, dopo aver seguito (con una certa parsimonia) le vostre indicazioni, ed aver aggiornato costantemente il Bitdefender 8 Pro, ebbene..il virus ha cambiato nome! Sono riuscito a spostarlo (in modalità provvisoria) sotto la cartellina "quarantena" dell'antivirus stesso, ma purtroppo è sempre impossibile eliminare i file. Appena ci passo sopra con la freccia del mouse, parte l'antiviurs che mi rende noto l'avvenuto blocco di tutti i file infetti, e se dopo riesco a cliccare sul menù contestuale di Windows alla voce "elimina" mi ripete "Impossibile eliminare il file xxxxxx: impossibile leggere dal file o dal disco di origine". Ho anche installato il programma "Unlocker", che è riuscito a farmi eliminare qualche file temporaneo di windows, ma che non rivela alcun software o libreria che bloccano i file sopraindicati. Ad ogni buon fine, vi riporto sotto sia i risultati dell'antivirus, sia il nuovo log di HjackThis. Ciao.
"""
BitDefender 8 Pro:
Risultati:
C:\Programmi\Softwin\BitDefender8\Quarantine\BehavesLike CVT61N0A\f-0070[1].exe=>(ZIP Sfx o)=>patch.exe Infetto Trojan.CrackPai.A
C:\Programmi\Softwin\BitDefender8\Quarantine\BehavesLike CVT61N0A\f-0070[1].exe=>(ZIP Sfx o)=>run.exe Infetto Trojan.Downloader.4962.C
C:\Programmi\Softwin\BitDefender8\Quarantine\BehavesLike CVT61N0A\FFO8BD2Q\CLA47005\f-0070[1].exe=>(ZIP Sfx o)=>patch.exe Infetto Trojan.CrackPai.A
C:\Programmi\Softwin\BitDefender8\Quarantine\BehavesLike CVT61N0A\FFO8BD2Q\CLA47005\f-0070[1].exe=>(ZIP Sfx o)=>run.exe Infetto Trojan.Downloader.4962.C
C:\Programmi\Softwin\BitDefender8\Quarantine\BehavesLike CVT61N0A\FFO8BD2Q\snd-anydvd5.x.x.x.universalpatch[1].exe=>(ZIP Sfx o)=>run.exe Infetto Trojan.Downloader.4962.C
***
Logfile of HijackThis v1.99.1
Scan saved at 21.48.38, on 05/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\PestPatrol\PPMemCheck.exe
C:\Programmi\PestPatrol\PPControl.exe
C:\Programmi\PestPatrol\CookiePatrol.exe
C:\Programmi\Softwin\BitDefender8\bdswitch.exe
C:\Programmi\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
D:\Driver Utility\Software\Antivirus & Protezione PC\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmi\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmi\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmi\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programmi\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programmi\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Search - htt*://bar.mywebsearch[.com]/menusearch.html?p=ZNfox000
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\TV\EXPLBAR.DLL
O15 - ProtocolDefaults: 'htt*' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'htt*' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - htt*://download.bitdefender[.com]/resources/scan8/oscan8 .cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F09CE901-22DF-495B-8DEB-776B1CD04371}: NameServer = 192.168.1.1
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
"""
Grazie per l'attenzione. |
|
|
|
Discussione |
|
BehavesLike:Trojan.Downloader : Come eliminarlo?
Forum Bloccato
