PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Devo togliere dei trojan

Altre pagine della discussione:




gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 79.763 - Postato: 01/Marzo/2008 alle 17:13


Salve facendo una scansione col nod ho trovato alcuni oggetti infetti...

Rapporto Nod 32

C:\Documents and Settings\utente\Impostazioni locali\Temp\1919370376.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a

C:\Documents and Settings\utente\Impostazioni locali\Temp\2778445058.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a

C:\Documents and Settings\utente\Impostazioni locali\Temp\3149685465.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a

C:\Documents and Settings\utente\Impostazioni locali\Temp\3240277417.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a

C:\Documents and Settings\utente\Impostazioni locali\Temp\4235839111.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a

C:\Documents and Settings\utente\Impostazioni locali\Temp\898039694.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a

 Ho poi eseguito Hijack(in mod. Normale)

Logfile of Trend Micro HijackThis v2.0.2

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe

End of file - 3275 bytes

 

 

Poi Ad-dware (mod. normale) che ha trovato...

Infections Detected3

Family Id 725 Name Tracking Cookie Category DataMiner TAI 3

[600000212] Browser: Internet Explorer Cookie: C:\Documents and Settings\utente\Cookies\index.dat 2o7.net s_vi_zx7Cgnefkhe /

[600000212] Browser: Internet Explorer Cookie: C:\Documents and Settings\utente\Cookies\index.dat 2o7.net s_vi_trimfqf /

[600000212] Browser: Internet Explorer Cookie: C:\Documents and Settings\utente\Cookies\index.dat 2o7.net s_vi_x7Fybcbix7Fimx7Eod /

Ho poi premuto “remove” per rimuovere i tre files.

Poi ho usatoCcleaner ho tolto la spunta da "Cancella file in Windows Temp solo se più vecchi di 48 ore" pulizia pc e registro e files di prefetch, poi “avvia pulizia”e  "Analizza", e poi Registro e  Trova problemi, Ripara selezionati.

Sempre con Visualizzazione dei file impostato in modo da rendere visibili quelli nascosti e  disabilitazione del ripristino configurazione di sistema.


Che dite li ho eliminati?


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.767 - Postato: 01/Marzo/2008 alle 18:46


Senti... a me sembra una cosa tipo quella che ti ha colpito qualche tempo fa...
Win32/KillAV.OE... questo.. potrebbe essere lo stesso trojan...
Adesso... le cose sono 3... o sono residui della vecchia infezione...
(che non sono stati puliti bene...) o ti sei reinfettatto... oppure è una
nuova infezione...
 
Le operazioni che hai fatto... avrebbero potuto aliminare i trojan in %temp%...
ma non si sa se il pc sia ancora infetto...
Quindi... bisogna procedere in maniera da determinare se il pc sia infetto
oppure no...
In primo luogo... determiniamo se si tratti dello stesso trojan dell'altra volta...
quindi... fai una scansione con findAWF... e posta il log... Poi...
fai una scansione approfondita... in modalità provvisoria... con antivirus
ed antispyware aggiornato... e dacci i risultati...
Mica noti particolari problemi...?
Facci sapere... Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 79.769 - Postato: 01/Marzo/2008 alle 19:18


Ciao Prgn..se non ci fossi tu il mio pc sarebbe già morto d'infezioni varieCry.

Forse potrebbero essere tutte e tre le ipotesi...non se se è sopravvissuto il trojan dell'altra volta..io comunque ho sempre navigato con Firefox e mai con Iexplorer...
credo di sapere già dave possa aver preso nuove infezioni...possibile su Youtube mentre guardavo qualche incontro di wrestling? Perché ad un certio punto mi è caduto l'occhio in basso a sinistra è ho visto che stavo scaricando il filmato da un numero strano...inoltre quel (o quei?) filmati si bloccavano spesso...

Problemi,problemi no....però prima che il nod li mettesse in quarantena navigavo con più difficoltà..ora invece scorro bene..inoltre sembra che il pc scansioni sempre qualcosa mentre è accesso (tipo adesso)...per il resto la velocità del pc è ottima.

Quersto è il log  che mi hai richiesto domani farò le scansioni (ricorda che come antispy ho solo ad-aware, o tolto Spy-doctor):

 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: F025-CF28

***

  Duplicate files of bak directory contents
  ~~~~~~~~~~~~~~~~~~~~~~~

   1103752 10 Dec 2007 "C:\Programmi\Spyware Doctor\bak\pctsTray.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
     32768  2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"

  end of report

Ciao.

****************************************
Log editato... ho lasciato solo le voci interessanti...



Modificato da prgn - 02/Marzo/2008 alle 20:50


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.771 - Postato: 01/Marzo/2008 alle 19:42


No... non è la nostra vecchia conoscenza... ;)
(anche se è indicato pure con quel nome... per via del fatto... che spesso
mette fuori servizio gli antivirus...)
Quindi devi fare le scansioni di rito... altre a quelle fatte con i prodotti che hai...
Usa anche questo tool: Sysclean Package
Lo scarichi e lo metti in una cartella... poi scarichi questo file: lpt131.zip
lo scompatti... (è compresso in formato zip) ed il contenuto dello zip...
lo metti nella stessa cartella in cui hai messo sysclean.com... (in modo
che i file della definizione virus aggiornati... si trovino insieme a sysclean.com)
e poi..., con doppio clic, avvii sysclean...
In questo modo... fai la scansione anche con questo valido strumento...
Nella cartella... crea un log... facci sapere se ti ha trovato files infetti...
Ciao
 
PS: il pattern... a seguito dell'aggiornamento... potrebbe non essere più quello...
ti basta cercarlo sul sito della Trend Micro... qualora non lo trovassi...


Modificato da prgn - 01/Marzo/2008 alle 19:47



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 79.792 - Postato: 02/Marzo/2008 alle 19:28


In modalità provvisoria non riesco a fare la scansione con Ad-aware e ...ti invio comunque la scansione fatta in mod normale (se posto roba inutile scusamiWacko):

Rapporto Ad-dware

...

**************************************
Log editato... la scansione non ha rilevato nulla



Modificato da prgn - 02/Marzo/2008 alle 20:26


gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 79.794 - Postato: 02/Marzo/2008 alle 19:34


Il post precedente è stato tagliato ma comunque sta volta ad-aware non ha rilevato nulla..
Scansione col nod in mod normale (l'hop fatta solo su Documents e sitting):
Tecnologia Anti-Stealth abilitata.

******

C:\Documents and Settings\utente\Impostazioni locali\Temp\1919370376.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a
C:\Documents and Settings\utente\Impostazioni locali\Temp\2778445058.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a
C:\Documents and Settings\utente\Impostazioni locali\Temp\3149685465.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a
C:\Documents and Settings\utente\Impostazioni locali\Temp\3240277417.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a
C:\Documents and Settings\utente\Impostazioni locali\Temp\4235839111.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a
C:\Documents and Settings\utente\Impostazioni locali\Temp\898039694.exe - variante modificata di Win32/KillAV.OE cavallo di tr**a
Numero di virus trovati: 6

Ciao.

**********************************
Log editato... rimaste solo le voci infette...




Modificato da prgn - 02/Marzo/2008 alle 20:29


gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 79.795 - Postato: 02/Marzo/2008 alle 19:46


AIUTOWacko...... il file lpt131.zip non riesco a scompattarlo con Winrar .. che faccio?


gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 79.796 - Postato: 02/Marzo/2008 alle 20:20


Rettifico... ci sono riuscito...
Ecco il log:

***

C:\Documents and Settings\utente\Impostazioni locali\Temp\1919370376.exe [TROJ_KILLAV.NB]
C:\Documents and Settings\utente\Impostazioni locali\Temp\2778445058.exe [TROJ_KILLAV.NB]
C:\Documents and Settings\utente\Impostazioni locali\Temp\3149685465.exe [TROJ_KILLAV.NB]
C:\Documents and Settings\utente\Impostazioni locali\Temp\3240277417.exe [TROJ_KILLAV.NB]
C:\Documents and Settings\utente\Impostazioni locali\Temp\4235839111.exe [TROJ_KILLAV.NB]
C:\Documents and Settings\utente\Impostazioni locali\Temp\898039694.exe [TROJ_KILLAV.NB]

6 files containing viruses.

***

Success Clean [  TROJ_KILLAV.NB](    1) from C:\Documents and Settings\utente\Impostazioni locali\Temp\1919370376.exe
Success Clean [  TROJ_KILLAV.NB](    1) from C:\Documents and Settings\utente\Impostazioni locali\Temp\2778445058.exe
Success Clean [  TROJ_KILLAV.NB](    1) from C:\Documents and Settings\utente\Impostazioni locali\Temp\3149685465.exe
Success Clean [  TROJ_KILLAV.NB](    1) from C:\Documents and Settings\utente\Impostazioni locali\Temp\3240277417.exe
Success Clean [  TROJ_KILLAV.NB](    1) from C:\Documents and Settings\utente\Impostazioni locali\Temp\4235839111.exe
Success Clean [  TROJ_KILLAV.NB](    1) from C:\Documents and Settings\utente\Impostazioni locali\Temp\898039694.exe
 
***

**************************************
Log editato... rimaste solo le voci interessanti...



Modificato da prgn - 02/Marzo/2008 alle 20:38


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.797 - Postato: 02/Marzo/2008 alle 20:22


Per lo zip... potresti usare cartelle compresse... cliccaci sopra con il tasto
destro del mouse... e scegli Apri con e poi scegli cartelle compresse...
(se non dovesse scompattarlo nemmeno con questo... nel download... si deve
esser rovinato il file....)
Senti... io ho l'impressione che quei files infetti siano i vecchi dialer dell'altra
infezione... e che con ccleaner non sono stati eliminati...
Quindi... prima di fare ulteriori scansioni... vai in Strart -> Esegui... ed inserisci la seguente stringa...

%temp%

e premi invio per fare accettare...
Una volta aperta la cartella... elimina tutti i files al suo interno... (là... dovrebbero
esserci quei files infetti)
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.799 - Postato: 02/Marzo/2008 alle 20:32


Ciao... come non detto... il tool che ti ho consigliato ha eliminato i trojan...
fai riavviare... e controlla che non ci sia più nulla...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,049 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni