Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: Help: devo togliere un dialer.

Altre pagine della discussione:

gionnix
Senior

Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575

Riporta il testo di: gionnix Rispondi

Topic: Post n° 78.724 - Postato: 01/Febbraio/2008 alle 19:59

Ok, obbedisco

Il log di Awf

10256 31 Jan 2008 "C:\Programmi\Eset\nod32kui.exe"

949376 3 May 2007 "C:\Programmi\Eset\bak\nod32kui.exe"

1103752 31 Jan 2008 "C:\Programmi\Spyware Doctor\pctsTray.exe"

1103752 10 Dec 2007 "C:\Programmi\Spyware Doctor\bak\pctsTray.exe"

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"

15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"

10256 31 Jan 2008 "C:\WINDOWS\system32\NeroCheck.exe"

155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"

32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"

406016 5 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"

10256 31 Jan 2008 "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"

313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"

83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"

132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"

10256 31 Jan 2008 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"

132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"

Log di Hijack

******************************
Log di Hijackthis editato... perchè pulito
******************************

Entrabi eseguiti in mod. provvisoria, poi quando tornato in mod. normale ho fatto anche pulizia con Ccleaner.

Fammi sapere tra l'altro dove e come scaricaler firefox.

Ciao e grazie per l'aiuto.

Modificato da prgn - 02/Febbraio/2008 alle 10:46

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.728 - Postato: 01/Febbraio/2008 alle 22:17

Si... ma il log di hijackthis.. lo dovevi fare in modalità normale... comunque non
importa... adesso togliamo il trojan...

Allora... verifica che il ripristino configurazione di sistema sia disattivato...
dopo di che... fai partire Avenger... ed applica il seguente script:

Segue del testo riportato...

Files to delete:
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

Files to move:
C:\Programmi\Eset\bak\nod32kui.exe | C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

Fine testo riportato...

Come hai fatto per gli altri script.

Dopo di che il pc si riavvierà... ed al riavvio lo script verrà eseguito cancellando
il trojan e ripristinando i files legittimi...

Adesso... scarica e clicca con il tasto destro del mouse sul files DelDomains.inf
e dal menù scegli installa...

Poi scarica regdelnull... per cancellare eventuali valori inseriti dal malware
nel registro... Per farlo... scarica il file RegDelNull.zip dal link che ti ho
inserito... scompatta il file e mettilo nel disco C in posizione C:\
(in modo che puoi poi usare i comandi che ti scrivo di seguito...)
Dopo aver messo il contenuto del file .zip in C... vai in start -> esegui e
digita cmd e premi invio per far accettare... adesso... nella finestra che
ti compare... al prompt scrivi i seguenti comandi che ti indico di seguito:

cd\

(premi invio per fare accettare)

regdelnull   hklm   -s

(premi invio per fare accettare)

Se ti dovesse trovare valori da cancellare... alla domanda rispondi y
fino alla fine dello scan...

Adesso... vai nella cartella dove si trova avenger e cancella il file zip con
il backup dei file cancellati da avenger... (che sono infetti)

Fai partire Ccleaner e cancella i temporanei ... e scegli di cancellare anche
i files di prefetch... inoltre... controllo sempre che nelle impostazioni
sia impostato di cancellare anche i files non più vecchi di 48 ore...

Adesso... vai in start -> esegui... ed inserisci la seguente stringa nella
casellina:

    %temp%

e premi invio per fare accettare...

Ti si aprirà la cartella temp... controlla che non ci sia il file abc123.pid
se c'è... cancellalo... e fai ripartire il pc...
Al riavvio... ricontrolla ancora nella cartella %temp% che non ci sia il file
abc123.pid... e se non c'è... significa che il trojan è stato eliminato...

Adesso ... scarica subito firefox... ed installalo... dal seguente link...

    http://www.mozillaitalia.it/archive/index.html

In pratica... ti conviene scegliere il link (che ti indico con la freccia blu):

Firefox 2.0.0.11

-> Installer Windows (5.55 MB)

Lo installi... decidi se vuoi importare le impostazioni di Iexplorer... (pagina
di partenza... preferiti... ecc.ecc.). Dopo che il nuovo browser si è installato...
alla partenza... ti dirà che non è il browser impostato come browser
predefinito e ti chiederà se vuoi impostarlo come predefinito... e se vuoi che
faccia il controllo, ad ogni partenza..., che esso sia impostato come predefinito...
(per predefinito... si intende che ogni qual volta accedi ad un documento che
per default dovrebbe essere aperto dal browser... il browser che viene aperto
in automatico dal sistema operativo... è appunto il browser predefinito)
Se scegli di impostarlo come predefinito... verrà sempre usato Firefox...
ma potrai usare anche Iexplorer... facendo partire il link... che si trova nel
menù programmi...
Se scegli di non impostarlo come predefinito... allora ti conviene di scegliere
anche di non controllare ad ogni avvio... che lo sia... (predefinito) in modo
da evitare inutili domande alla partenza di Firefox... che potrai sempre far
partire dalla relativa icona... (tutti i link che aprirai da dentro Firefox...
apriranno sempre finestre di Firefox...)
Va beh... poi lo devi usare un po' per valutarne il comportamento...
(potrai sempre impostarlo come predefinito quando vorrai)

Ritornando al trojan...

Adesso... fai fare un log con Hijackthis (da modalità normale) per verifica... e postalo... ed infine... potrai riattivare ancora il ripristino configurazione
di sistema...

Spero di non essermi dimenticato nulla... Tongue

comunque... rileggo... e semmai...
aggiungo... Big%20smile

Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

gionnix
Senior

Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575

Riporta il testo di: gionnix Rispondi

Topic: Post n° 78.729 - Postato: 01/Febbraio/2008 alle 23:26

"fai partire Avenger... ed applica il seguente script" FATTO

scarica e clicca .... DelDomains.inf ..... FATTO

Poi scarica regdelnull... FATTA tutta la procedura che mi hai indicato

nella cartella dove si trova avenger e cancella il file zip... FATTO

Fai partire Ccleaner e cancella i temporanei ... FATTO

.....%temp% FATTO mi dava sempre quel file abc123.zip lo cancellato manualmente e poi ho svuotato il cestino (non so se serve)

Al riavvio... NON L?HO PIU' TROVATO

scarica subito firefox.. ISTALLATO COME PREDEFINITO

***************************
Log di Hijackthis editato perchè pulito
***************************

Speriamo bene....ora vado a nanna..domani ricontrollo %temp% se tutto ok...Firefox sembra più rapido ..poi ti dirò...

Ah, domani dovrei fare una ricerca sul quel sito che ti ho indicato, ma prima dimmi se secondo te ora non corro il rischio di riprendere il trojan.

Grazie mille..sei veramente in gamba e soprattutto molto gentile.

Ciao.

Modificato da prgn - 03/Febbraio/2008 alle 23:01

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.738 - Postato: 02/Febbraio/2008 alle 10:55

Ok!

Figurati... per me è stato un piacere... Smile

Il log di Hijackthis è pulito... Thumbs%20Up

Adesso dovresti poter fare le tue ricerche su quel sito...
senza avere problemi...
(non sei però protetto da tutti i trojan... Big%20smile

sei solo protetto da quei
trojan che sfruttano le tecnologie di proprietà microsoft... che non sono
implementate nel browser che hai installato...)
Un ultimo consiglio è quello di far fare uno scan all'antivirus che hai installato...
impostando la scansione di tutti i tipi di files... a prescindere dalle estensioni...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.742 - Postato: 02/Febbraio/2008 alle 11:18

Off topic riguardo firefox:

Si... è leggermente più veloce... ma ha la pecca di richiedere molte risorse
se apri molte finestre contemporaneamente... (io arrivo a varie decine...
quindi la cosa mi pesa un po'... ma per un uso normale... stai tranquillo)
avrai notato l'utilizzo delle schede... (ti apre il link in una scheda della stessa
finestra...) puoi impostare in strumenti->opzioni->schede... nuova finestra...
qualora volessi avere un comportamento simile ad Iexplorer (cioè l'apertura
di una nuova finestra...)
Inltre... cambia anche l'uso dei preferiti... (Ctrl+D per inserirli... proprio come
Iexplorer) in Firefox vengono chiamati Segnalibri... e non sono link singoli
ma vengono salvati in un file... .html con dentro i link ai preferiti...
normalmente ci accedi direttamente dal browser..., se invece desideri
salvarteli... lo trovi al seguente percorso... (in xp):

%userprofile%\Dati applicazioni\Mozilla\Firefox\Profiles

Nella cartella profiles... troverai i vari profili (in altre cartelle con nome
casuale...) in ogni profilo è salvato il suo file con i preferiti... ed il file
si chiama:

bookmarks.html

(nella cartella del profilo.. e anche presente la cartella con i backups del
file segnalibro... qualora si danneggi... e fosse necessario il ripristino... Wink

)

Sono sicuro che ti troverai bene

Ciao Smile

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.752 - Postato: 02/Febbraio/2008 alle 16:01

Dimenticavo una cosa importante... ricordati di aver impostato la protezione
da scrittura sul file Rasphone.pbk ...quindi... se dovrai impostare nuove
connessioni... dovrai prima togliere l'attributo di sola lettura dal
file Rasphone... altrimenti il sistema operativo non riuscirà a creare la connessione...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

gionnix
Senior

Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575

Riporta il testo di: gionnix Rispondi

Topic: Post n° 78.767 - Postato: 02/Febbraio/2008 alle 19:43

Ho scansionato il pc con il Nod e non ha trovato nulla, ho navigato con firefox anche sul sito sospetto ed è andato tutto liscio..ho controllato in %temp% ma abc123.pid non c'è più ...sei troppo forte Thumbs%20Up

.

Firefox lo trovo migliore di Iexplorer: più rapido, sembra anche che le pagine sia aprano più "fluidamente", per i segnalibri mi trovo bene e poi posso salvarli facilmente mentre prima no.
Grazie per avermelo consigliato.

Senti un'ultima cosa: se non è troppo complicato vorrei capire come si fa a capire da un log se è qualche programma complicato e magari anche come si fa uno script per cancellare determinati file...così magari la prossima volta sono in grado di autodifendermi Approve

.

Ciao.

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.798 - Postato: 03/Febbraio/2008 alle 13:35

Quindi... l'abbiamo tolto da mezzo... Big%20smile

e con firefox... almeno per adesso... non entra... non ti preoccupare...

Mi fa piacere che con Firefox ti trovi bene... io da quando lo uso non ho avuto
tanti problemi... solo qualche blando spyware... che va via con qualche
pulitina... nulla di paragonabile a quello che entra con IExplorer... Big%20smile

ma tutto dipende anche da come e dove si naviga...
Sono sicuro che ti troverai benissimo...

Allora... per prima cosa... ti do un link... dove potrai inserire il log di Hijackthis
per un'analisi sommaria... il link è questo: HijackThis Logfileauswertung
Lo incolli... e clicchi su analizza...
L'analisi automatica è un aiuto ... per inquadrare subito le cose qualora
ci sia un qualcosa di particolarmente evidente... ma non è efficace su tutti
i tipi di malware... ma spesso ti può individuare qualcosa che puo farti capire
che c'è qualcosa che non va...
Prendi il tuo caso... Il log... dall'analisi automatica non avrebbe dato particolari
segnali di file infetti... ma guardando i processi in esecuzione... si poteva notare
che c'era un processo... il cui file eseguibile non era nella posizione giusta...
e cosa principale... si trovava in una cartella bak e quindi... mi ha fatto pensare
ad un trojan ben preciso... e ti ho fatto usare FindAWF che cerca i file
duplicati nelle cartelle bak... ecc.ecc.
Ci sono anche malware... che non risultano proprio nel log di hijackthis...
tipo i contagi coperti da rootkit... che risultano essere invisibili... spesso
anche agli stessi antivirus...
Ogni cosa ha bisogno dello strumento giusto per la rimozione...
Hai visto gmer... ad esempio.. è uno strumento indispensabile contro i
rootkit... e riesce ad individuare anche i pericolosissimi boot rootkit...
che infettano Il master boot record del disco...
Hijackthis... è ottimo contro gli hijacker... ti metto il link di una guida...:

Introduzione all'uso di HijackThis

E' uno strumento utile anche ad altre cose... ma non ti anticipo nulla...
(ti dico che ti permette di individuare... gli ADS... eliminare servizi... disinstallare
programmi... ecc.ecc....)

Poi abbiamo usato Avenger... che è un programma molto utile per
effettuare una serie di operazioni che possono essere racchiuse in uno script
che si da in "pasto" al programma... ed al riavvio... il programma lo esegue
effettuando tutte le operazioni indicate... (se è possibile eseguirle...)
ti metto il link per una guida... ma ne trovi parecchie in giro...:

http://alexsandra.wordpress.com/2007/04/25/90/

Comunque... alla fine... gli strumenti sono tanti... ma anche i malware sono vari...
ed è difficile avere una metodologia applicabile alla totalità dei casi...
Il tuo... si toglieva a questo modo... altri si toglieranno con altri programmi...
quindi mi sembra un po' difficile darti consigli precisi... per le future eliminazioni...
(Che spero non ci saranno... Smile

)
In generale... si parte da un paio di scansioni con antivirus/antispyware...
poi... potresti fare un po' di ricerche su quello che ti viene rilevato... e
muoverti di conseguenza... e principalmente seguire le discussioni sull'argomento...
Comunque, penso che noi ci saremo ... e se non io ... ci saranno altre persone
pronte a darti una mano... contaci.

Per me è stato un piacere averti aiutato... in bocca al lupo per il futuro...
e che sia libero da trojan... e malware vari... Big%20smile

Ciao

Modificato da prgn - 03/Febbraio/2008 alle 14:05

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

gionnix
Senior

Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575

Riporta il testo di: gionnix Rispondi

Topic: Post n° 78.827 - Postato: 03/Febbraio/2008 alle 19:21

Crepi il lupo..e pure i trojan LOL

.

Leggerò i link che mi hai postato, ma essendo l'eliminazione dei trojan da farsi caso per caso è più probabile che, se in futuro notassi file sospetti, venga a ritrovarvi Embarrassed

....anche perché qui trovo "fenomeni" dell'informatica come te Clap

.

Ah..senti l'ultimissima cosa, una delle ultime volte che ho usato Iexplorer, quando aprivo la cronologia c'era sempre la cartella "risorse del computer" e dentro la "e" di Iexplorer davanti a tutti i documenti di Word e le immagini aperte da me sul pc quell determinato giorno..è normale trovare la "e" di Iexplorer innanzi a questi file? Eppure non sono link.

Ciao.

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.837 - Postato: 03/Febbraio/2008 alle 22:58

Si... hai ragione... crepino tutti questi dannati trojan... Big%20smile

Riguardi i collegamenti in cronologia... sono normali... e penso che quell'icona...
gli venga associata... in quanto si tratta di un collegamento... interpretabile
comunque dal browser... (infatti... se copi l'indirizzo... nella casella indirizzo di
IExplorer... in pratica ti accederà al link...)

Ciao Smile

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: Help: devo togliere un dialer.

Altre pagine della discussione:

Firefox 2.0.0.11

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: Help: devo togliere un dialer.

Altre pagine della discussione:

Firefox 2.0.0.11

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !