Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: e-mail a raffica

Altre pagine della discussione:

torero123
Principiante

Iscritto dal : 27/Maggio/2005
Da: Italy
Status: Offline
Posts: 15

Riporta il testo di: torero123 Rispondi

Topic: Post n° 16.537 - Postato: 27/Maggio/2005 alle 22:43

Allora i due ip sono quelli del DNS (primario e secondario), non sono i miei.
Cmq anche se nn so come adesso sembra che funzioni. Le email che mi sono arrivate solo nel client sono quelle generate da avg ogni volta che controllava la posta in uscita. Pensate in 2 giorni il trojan ha spedito piu di 5000 email. Se cmq secondo voi ho ancora il trojan nel pc fatemi sapere.

Grazie mille

Yusuke
Senior

Iscritto dal : 20/Aprile/2005
Da: Italy
Status: Offline
Posts: 4.776

Riporta il testo di: Yusuke Rispondi

Topic: Post n° 16.539 - Postato: 27/Maggio/2005 alle 22:56

Dunque.... iniziamo l'ardua impresa:

I programmi indicati in questo post, (se non li hai già) puoi scaricarli da questa pagina: (scaricali e aggiornali prima di procedere)

http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp ?TID=1393&PN=1

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::

In questa pagina http://www.h3.dion.ne.jp/%7Esole/Yoghi/Hijackguida/Hijack-gu ida.html puoi leggere una breve guida su Hijack

Esegui queste operazioni ------ >   (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.
(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità
(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe    &n bsp;   (è un trojan)

Conosci l'indirizzo IP o il Dominio '80.241.160.79,80.241.169.5'? Se no, elimina questo oggetto.

E questo?
'80.241.160.79,80.241.160.5'? Se no, elimina questo oggetto.

che sarebbe:
questo il primo che ti ho detto:

O17 - HKLM\System\CCS\Services\Tcpip\..\{501EEBAA-D27A-4F87-941A-1 C6A5BA8B735}: NameServer = 80.241.160.79,80.241.169.5

e questo il secondo:

O17 - HKLM\System\CCS\Services\Tcpip\..\{E66E97D3-6F57-4DB2-997B-B C583CA64114}: NameServer = 80.241.160.79,80.241.160.5

Fissa questo se non conosci questo sito:
'http://ie.redirect.hp.com/svs/r dr?TYPE'

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/r dr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd =p avilion&pf=laptop

Per eliminare questo:

O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing

scarika questo programma:

O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing

Il + brutto da togliere è questo:

O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE

devi faer 4 passaggi:
1 - DISATTIVA IL RIPRISTINO DI CONFIGURAZIONE
2 - AGGIORNA TUTTI I TUOI ANTIVIRUS
3 - FAI UNA SCANSIONE CON TUTTI I TUOI ANTIVIRUS E CANCELLA TUTTO CIò CHE TROVANO
4 - CANCELLA ALCUNI VIRUS NEL REGISTRO

Fino al 3° punto ci arrivi anke da solo.
Passiamo al 4° punto:

Vai su START poi clikka su ESEGUI e digita REGEDIT e premi invio.

Portati su questa SubKey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

e vedi se c'è questa chiave:

".svchost" = "%Windir%\System\CSRSS.EXE"

se c'è, eliminala naturalmente.

E infine esci dal registro. In caso ci fosse ancora nel log, eliminala cnke da lì.

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza
(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione,
rifai il log   e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fisate da quella normale.

Vista la situazione fai una scansione on line qui:

http://www.pandasoftware.com/activescan/it/activescan_princi pal.htm

e nn dimenticarti di ripostarci il log!!!

P.S Finalmente ce l'ho fatta!!!!! è da + di 2 ore che sto a controllà sto log!! Che sonno!!!! [I)]

lucas
Esperto

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715

Riporta il testo di: lucas Rispondi

Topic: Post n° 16.546 - Postato: 27/Maggio/2005 alle 23:35

yusuke questo link e sbagliato O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing

questo è quello giusto

CLICCA

CIAO CIAO!!

torero123
Principiante

Iscritto dal : 27/Maggio/2005
Da: Italy
Status: Offline
Posts: 15

Riporta il testo di: torero123 Rispondi

Topic: Post n° 16.563 - Postato: 28/Maggio/2005 alle 11:40

Questo è il nuovo log. Mi sembra che sia andato bene tranne

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe

Non lo cancella...boh!

Logfile of HijackThis v1.99.1
Scan saved at 11.37.29, on 28/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\03 Programmi\eMule0.45b\emule.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\03 Programmi\Sicurezza e protezione\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch& amp;locale=IT_IT&c=Q105&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&am p;locale=IT_IT&c=Q105&bd=pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&am p;locale=IT_IT&c=Q105&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&am p;locale=IT_IT&c=Q105&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\03 Programmi\eMule0.45b\emule.exe -AutoStart
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E66E97D3-6F57-4DB2-997B-B C583CA64114}: NameServer = 80.241.160.79,80.241.160.5
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

lucas
Esperto

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715

Riporta il testo di: lucas Rispondi

Topic: Post n° 16.578 - Postato: 28/Maggio/2005 alle 13:57

il log è pulito a parte questa voce che è un processo sconosciuto se lo conosci lascialo altrimenti fissalo e cancellalo(in modalita provvisoria)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll(non fissarlo ha ragione yusuke solo che certe volte è legato a virus)

questo invece ricompare perchè dovrebbe essere un programma legittimo ma a volte in queste stringhe si insidiano spyware e simili allora provalo a fissare in modalita normale vedi se lo cancella in caso lo cancella e noti problemi rimmettilo tramite il bach up!!!!ciao ciao

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe

Modificato da lucas

Yusuke
Senior

Iscritto dal : 20/Aprile/2005
Da: Italy
Status: Offline
Posts: 4.776

Riporta il testo di: Yusuke Rispondi

Topic: Post n° 16.595 - Postato: 28/Maggio/2005 alle 14:51

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

Lucas!!! questo nn è da rimuovere guarda!!

[library belonging to the Intel(R) Graphics Accelerator]
Non rimuovere

Capita anke a te di sbagliare eh!?

NN ELIMINARLO!!!!!

lucas
Esperto

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715

Riporta il testo di: lucas Rispondi

Topic: Post n° 16.599 - Postato: 28/Maggio/2005 alle 15:00

si yusuke ma tu non puoi andare su google e mettere quello e vedere solo la prima cosa che ti appare,devi vedere anche gli altri casi se quella voce è legata anche ad altre!!fai come vuoi ma sappi che quella voce non è sicura come dici tu in tutti i log precedenti quella voce e stata sempre cancellata!!!ciao ciao
poi se leggi bene le pagine quel processo puo essere cancellato senza problema!!!!!

Modificato da lucas

Yusuke
Senior

Iscritto dal : 20/Aprile/2005
Da: Italy
Status: Offline
Posts: 4.776

Riporta il testo di: Yusuke Rispondi

Topic: Post n° 16.607 - Postato: 28/Maggio/2005 alle 16:52

Guarda bene questa pagina e dimmi se è stato cancellato:

posts.asp?TID=2026">http://www.pcprimipassi.it/servizifre
e/forum/forum_posts.asp?TID=2026

lucas
Esperto

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715

Riporta il testo di: lucas Rispondi

Topic: Post n° 16.608 - Postato: 28/Maggio/2005 alle 16:55

la pagina non si vede comunque devi vedere il perchè non è stata cancellata nel log ci sono delle voci legate tra di loro se una manca significa che quella non è la voce leggitima se lo vuoi capire e bene senno lascia perdere!!!!!!ciao ciao

un altra cosa quando ci sono delle chiavi da modificare!!recati prima su quelle del tuo pc e vedi se ce qualche numero o seriale da sostituire se per esempio la chiave giusta e cosi
winxp9754739 ed il virus la modifica tu devi vedere nelle tue chiavi!!!

Modificato da lucas

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: e-mail a raffica

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: e-mail a raffica

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !