PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Trojan da cancellare ?

Altre pagine della discussione:




madela
Principiante Principiante
madela
Principiante Principiante
madela
Principiante
Principiante

Avatar


Iscritto dal : 12/Maggio/2006
Da: Italy
Status: Offline
Posts: 64
Riporta il testo di: madela Rispondibullet Topic: Post n° 72.426 - Postato: 05/Ottobre/2007 alle 20:03


ho appena controllato e si e' ricreato questo:

C:\11D3.tmp
Win32:Zhelatin-ML [Wrm]
la dimensione e' di un GB quindi non posso far analizzare il file singolo on line.
Ora provo a fare le scansioni in modalita' provvisoria e poi riferisco
Intanto ringrazio per la disponibilita'
Ciao



madela



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 72.428 - Postato: 05/Ottobre/2007 alle 20:20


Fai fare anche l'aggiornamento a Spybot... e fagli fare una scansione...
Ciao...



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



madela
Principiante Principiante
madela
Principiante Principiante
madela
Principiante
Principiante

Avatar


Iscritto dal : 12/Maggio/2006
Da: Italy
Status: Offline
Posts: 64
Riporta il testo di: madela Rispondibullet Topic: Post n° 72.436 - Postato: 05/Ottobre/2007 alle 23:31


Ciao

Tengo regolarmente aggiornati i programmi prima di ogni scansione
On line sono riuscita a fare solo quella con ewido e kaspersky,ke non hanno trovato niente
Tutte le altre kiudono la pagina
Poi ho fatto le scansioni con i programmi installati,sia in modalita' normale ke provvisoria,non e' stato rilevato nulla tranne il file ke ti ho postato sopra.(lo rileva avast).Ho fatto anke pulizia con atf cleaner,ccleaner e regseeker
Ke altro posso fare? io cancello i file incriminati ma si ricreano con altro nome e tipo di virus
Ciao,grazie



madela



madela
Principiante Principiante
madela
Principiante Principiante
madela
Principiante
Principiante

Avatar


Iscritto dal : 12/Maggio/2006
Da: Italy
Status: Offline
Posts: 64
Riporta il testo di: madela Rispondibullet Topic: Post n° 72.438 - Postato: 06/Ottobre/2007 alle 00:42


Ciao, spyware doctor mi trova sempre questa infezione anke se la metto in quarantena:

Spyware,Known_Bad_sites
Cookie browser
banner.32vegas.com/banner.32vegas.com
Grazie



madela



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 72.440 - Postato: 06/Ottobre/2007 alle 02:32


Va beh... allora fai uno scan con hijackthis e posta il log... (purtroppo non
mi è mai capitato... quindi vediamo il log di hijackthis... per adesso...)
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



madela
Principiante Principiante
madela
Principiante Principiante
madela
Principiante
Principiante

Avatar


Iscritto dal : 12/Maggio/2006
Da: Italy
Status: Offline
Posts: 64
Riporta il testo di: madela Rispondibullet Topic: Post n° 72.444 - Postato: 06/Ottobre/2007 alle 13:08


Ecco il log......spesso la cpu sale al 100%,il pc si blocca e devo forzare lo spegnimento

Di nuovo grazie.Ciao
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.04.55, on 06/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Programmi\Google\Gmail Notifier\gnotify.exe
C:\Programmi\rndware\rndNoter\rndNoter.exe
C:\WINDOWS\vphc600.exe
C:\Programmi\ClocX\ClocX.exe
C:\PROGRA~1\SPYWAR~3\SpywareTerminatorShield.exe
C:\Documents and Settings\Mariadelia\Desktop\unforgiven\UnOrg.exe
C:\Programmi\Rainlendar2\Rainlendar2.exe
C:\Programmi\Power Soft\Power Notes\Notes.exe
C:\Programmi\3M\PDNotes\PDNotes.exe
C:\Programmi\DeskPins\DeskPins.exe
C:\Programmi\hott notes 4\hottnotes.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\PROGRA~1\SPYWAR~3\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\SPYWAR~3\SpywareTerminator.exe
C:\Documents and Settings\Mariadelia\Desktop\SCANSIONI\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programmi\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [rndNoter] C:\Programmi\rndware\rndNoter\rndNoter.exe
O4 - HKLM\..\Run: [phc600] C:\WINDOWS\vphc600.exe
O4 - HKLM\..\Run: [ClocX] C:\Programmi\ClocX\ClocX.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~3\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKCU\..\Run: [Unforgiven Organizer#Autostart] "C:\Documents and Settings\Mariadelia\Desktop\unforgiven\UnOrg.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Rainlendar2] C:\Programmi\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [Power Notes] "C:\Programmi\Power Soft\Power Notes\Notes.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DeskPins.lnk = C:\Programmi\DeskPins\DeskPins.exe
O4 - Startup: hott notes 4.lnk = C:\Programmi\hott notes 4\hottnotes.exe
O4 - Global Startup: Post-it(R) Digital Notes.lnk = C:\Programmi\3M\PDNotes\PDNotes.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189444191328
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~3\sp_rsser.exe
--
End of file - 7423 bytes



madela



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 72.445 - Postato: 06/Ottobre/2007 alle 13:10


Ok! Adesso ci do uno sguardo...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 72.492 - Postato: 07/Ottobre/2007 alle 19:32


Allora... mi sembra che non ci siano voci infette...
Purtroppo hai un worm... che si "mangia" le risorse del tuo pc... e quindi
arrivi al punto di dover resettare e far ripartire...
Ho trovato questi file... e vorrei che li verificassi... con qualche servizio
di analisi online... (tipo www.virustotal.it) i file sono i seguenti...:

C:\Programmi\rndware\rndNoter\rndNoter.exe
C:\Programmi\Power Soft\Power Notes\Notes.exe
C:\Programmi\3M\PDNotes\PDNotes.exe
C:\Programmi\hott notes 4\hottnotes.exe

Molto probabilmente... si tratta di programmi legittimi installati da te...
ma è meglio essere prudenti e controllare...
Virustotal ti farà l'analisi per ogni file che gli mandi... (uno alla volta...)
e te lo analizza in base a vari antivirus... riporta solo i risultati positivi...
(cioè solo se il file è risultato positivo ad un determinato virus...)
Hai detto che hai Sysclean... hai provato a far fare una scansione da
modalità provvisoria e con pattern aggiornato?
Se non hai provato... prova... e per postare il log...
ti conviene di usare
qualche servizio di file hosting... puoi provare con www.freefilehosting.net...
vai sul sito che ti ho indicato... e tramite sfoglia seleziona il file creato
sul pc... dopo di che clicca su upload file now... (in questo modo trasferisci
il file sul sito...) una volta fatto questo... copia il link diretto al file... (Direct link)
ed inseriscilo in un post..., qui sul forum, in modo che possiamo controllare i
risultati...
Se poi lo hai fatto... utilizza manda il log che ti ha fatto... (lo trovi nella cartella
dove tieni Sysclean)
In questo modo non si occuperà spazio inutile...
Ciao.



Modificato da prgn - 07/Ottobre/2007 alle 19:36



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



madela
Principiante Principiante
madela
Principiante Principiante
madela
Principiante
Principiante

Avatar


Iscritto dal : 12/Maggio/2006
Da: Italy
Status: Offline
Posts: 64
Riporta il testo di: madela Rispondibullet Topic: Post n° 72.495 - Postato: 07/Ottobre/2007 alle 20:59


Accidenti e da dove viene?ho formattato meno di un mese fa,riusciremo a scovarlo ed eliminarlo?

I programmi ke mi indiki li ho installati io,sono programmi di post-it virtuali
Ecco i risultati di virustotal

Ora faccio la scansione in modalita' provvisoria con sysclean e ti posto il log

C:\Programmi\hott notes 4\hottnotes.exe:

Prevx1 V2 2007.10.07 Heuristic: Suspicious File With Code Injection Technology

C:\Programmi\3M\PDNotes\PDNotes.exe: tutti negativi

 
C:\Programmi\Power Soft\Power Notes\Notes.exe

eSafe 7.0.15.0 2007.10.07 suspicious Trojan/Worm

Webwasher-Gateway

6.0.1

2007.10.05

Win32.ModifiedUPX.gen!84 (suspicious)

C:\Programmi\rndware\rndNoter\rndNoter.exe:

CAT-QuickHeal 9.00 2007.10.06 (Suspicious) - DNAScan

ClamAV 0.91.2 2007.10.07 PUA.Packed.TeLock

eSafe 7.0.15.0 2007.10.07 suspicious Trojan/Worm

Sunbelt 2.2.907.0 2007.10.06 VIPRE.Suspicious

TheHacker 6.2.6.079 2007.10.07 W32/Behav-Heuristic-066

Webwasher-Gateway 6.0.1 2007.10.05 Win32.Malware.gen!88 (suspicious)

Cosa devo fare?Sono falsi positivi o cosa?

Ok vado a scansionare con sysclean

Ps:mentro facevo le scansioni con virustotal si e'bloccato tutto e la pagina del forum si e' bloccata diventando bianca,ho dovuto ricominciare da capo

A Presto.Ciao




madela



madela
Principiante Principiante
madela
Principiante Principiante
madela
Principiante
Principiante

Avatar


Iscritto dal : 12/Maggio/2006
Da: Italy
Status: Offline
Posts: 64
Riporta il testo di: madela Rispondibullet Topic: Post n° 72.497 - Postato: 07/Ottobre/2007 alle 22:02


Ecco il link del log di sysclean

Grazie di nuovo



madela



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,043 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni