PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Trojan Toosrr.SRR

Altre pagine della discussione:




luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.370 - Postato: 27/Gennaio/2008 alle 20:56


SAlve mi sono beccato un trojan che ha eliminato avast e il firewall kerio in un sol colpo...non i fa andare in modalità provvisoria e non mi fa ripristinare ......cosa fare???ho scansionato con spyware e mi ha trovato il seguente trojan : Toosrr.SRR:HKCU\Software\FirstRRRun L'ho becato scaricando e azionando un file in exe di un mini-programma idi utilità free che pero' avevo scansionato prima con avast ( il quale non ha inimamente riconosciuto cosa fosse) 


prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 78.372 - Postato: 27/Gennaio/2008 alle 21:12


per adesso fammi un favore, clicca CTRL+ALT+DEL e vedi se tra i processi attivi hai questi soprattutto il primo:
hldrrr.exe
wintems.exe




live right now, just be yourself..it doesn't matter if it's good enough for someone else



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.376 - Postato: 27/Gennaio/2008 alle 22:47


assolutamente no.....crdo mi convenga fare una scansione e inviarla qui...con virustotal a desempio


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.377 - Postato: 27/Gennaio/2008 alle 22:48


nessuno dei due processi ; faro' una scansione con un sito esterno al pc per verificare cosa trovano e la mando qui


prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 78.380 - Postato: 27/Gennaio/2008 alle 23:48


ciao luigi,
come scansione esterna ti consiglio di fare una scansione online con Kasperky da qui: http://www.avp.it/virusscanner.html
poi postaci il risultato.

dovresti postarci poi un log di hijackthis (almeno come prima cosa) dovresti scaricare il programma da qui.
avviarlo e cliccare su "do a system scan and save a log file"
fai il copia e incolla di quello che viene fuori.






live right now, just be yourself..it doesn't matter if it's good enough for someone else



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.407 - Postato: 28/Gennaio/2008 alle 11:48


OK Intanto invio il risultato della scansione con spywere terminator, ancor attivo ( avast è morto ) :
1) Trojan/Mglieder ( Trojan)
C:\Windows\system32\eintems.exe
2) Trojan/Toosrr.SRR ( Elementi rimanenti )
RegistryHKCU\Software\FirstRRRun 
Gli ho messi in quarantena perche' è impossibile rimuoverli....
Ora faccio la scansione che avete richiesto


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.408 - Postato: 28/Gennaio/2008 alle 11:49


correggo l'errore di scrittura:
C:\Windows\system32\wintems.exe


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.411 - Postato: 28/Gennaio/2008 alle 11:54


Logfile of Spyware Terminator v2.0.1.224 (db:1.0.085.850)

Scan Time: 28/01/2008 11.00.24  length: 281 s

Platform: Windows XP Service Pack 2 (WINNT 5.1.2600)

User: Admin

Boot Mode: Normal

Scan type: Fast_Spyware_Scan

Scanned Objects: 33815 (Critical:2)

Filter: No System items, No Safe items


Services

23 - : C:\WINDOWS\system32\DRIVERS\SROSA.SYS

 

Threat Files

<Trojan/Mglieder> : C:\WINDOWS\system32\wintems.exe


***LOG ELIMINATO: sono state lasciate solo le voci sospette***




Modificato da prisca85 - 30/Gennaio/2008 alle 00:30


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.413 - Postato: 28/Gennaio/2008 alle 11:57



%SYSDIR%\DRIVERS\SROSA.SYS [] MD5=6B651E313678443E862A415FF947DD6E SIZE=112432


End of Report

 

 

     Procedura per la Quarantena:

 

  Preparazione delle strutture

  Creazione del punto di ripristino

  Quarantena Trojan/Mglieder

  Spostamento File non riuscito (Failed) : C:\WINDOWS\system32\wintems.exe

  Rilevamento File non riuscito: C:\WINDOWS\system32\wintems.exe

  Quarantena Trojan/Toosrrr.SRR

  Registry spostato : HKCU\Software\FirstRRRun

  Chiusura del punto di ripristino



***LOG ELIMINATO: sono state lasciate solo le voci sospette***

 



Modificato da prisca85 - 30/Gennaio/2008 alle 00:32


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.416 - Postato: 28/Gennaio/2008 alle 12:41



  Home / Viruses / Virus Encyclopedia / Malware Descriptions / Trojan Programs / Trojan Proxies

Trojan-Proxy.Win32.Mitglieder.cw

Other versions: .a, .ee, .o, .s

Aliases
Trojan-Proxy.Win32.Mitglieder.cw (Kaspersky Lab) is also known as: W32/Bagle.gen (McAfee),   Trojan.Mitglieder.O (Symantec),   Troj/BagDl-Gen (Sophos),   TROJ_MGLIEDER.D (Trend Micro),   Worm/Bagle.Y.2 (H+BEDV),   Proxy.20.BI (Grisoft),   BehavesLike:Win32.ExplorerHijack (SOFTWIN),   Trojan.Proxy.Mitglieder-2 (ClamAV),   W32/Bagle.BV.worm (Panda),   Win32/TrojanProxy.Mitglieder.CW (Eset)
Detection added Mar 09 2005 22:24 GMT
Update released Mar 09 2005 23:44 GMT
Behavior TrojanProxy



Modificato da prisca85 - 30/Gennaio/2008 alle 00:34


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,043 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni