PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Bloodhound.exploit.78





eldo
Principiante Principiante
eldo
Principiante Principiante
eldo
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2005
Da: Italy
Status: Offline
Posts: 57
Riporta il testo di: eldo Rispondibullet Topic: Post n° 62.893 - Postato: 15/Novembre/2006 alle 10:00


Durante la navigazione in internet, uso una adsl flat alice 2 mega, norton mi segnala virus Bloodhound.exploit.78.

Non riesco a trovare informazioni in merito sulla rete.

Cosa mi consigliate? 



prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 62.947 - Postato: 16/Novembre/2006 alle 01:31


ciao eldo, per prima cosa dovresti dirci il nome e il percorso del file infetto che ti segnala il norton. (o se sono piu' di uno, mettici tutti i nomi)
poi scarica hijackthis da questo link:
http://thespykiller.co.uk/files/HJTsetup.exe

avvia il programma, clicca sul bottone "do a system scan and save a log file", aspetta pochi secondi che si aprira' il blocco note, e copia e incolla qui sul forum tutto il contenuto del blocco note.





live right now, just be yourself..it doesn't matter if it's good enough for someone else



eldo
Principiante Principiante
eldo
Principiante Principiante
eldo
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2005
Da: Italy
Status: Offline
Posts: 57
Riporta il testo di: eldo Rispondibullet Topic: Post n° 62.953 - Postato: 16/Novembre/2006 alle 09:13


Avevo già provveduto a fare il log:

Logfile of HijackThis v1.99.1
Scan saved at 19.49.28, on 15/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mgabg.exe
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\PDesk\PDesk.exe
C:\Programmi\Trust\Ami Mouse 250S Cordless\Amoumain.exe
C:\WINDOWS\WDVRCtrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Win_Magazine.exe
C:\DOCUME~1\Fabio\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Ho fatto la scansione con Ad aware con spybot, ma non lo ha trovato.

Non ho avuto il tempo di rifarla con norton, pertanto stasera provo a farla e vedere se trova il file.

Grazie



eldo
Principiante Principiante
eldo
Principiante Principiante
eldo
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2005
Da: Italy
Status: Offline
Posts: 57
Riporta il testo di: eldo Rispondibullet Topic: Post n° 62.961 - Postato: 16/Novembre/2006 alle 13:38


Ho provato a far leggere il log in rete e questa è la breve sintesi:

:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe - Sconosciuto
D:\Win_Magazine.exe - Sconosciuto
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1 - Abbastanza sospetto
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti - Abbastanza sospetto
O4 - HKLM\..\Run: [ScanRegistry] C:\W - Sconosciuto
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe - Sconosciuto
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll - Sconosciuto

 



prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 63.009 - Postato: 17/Novembre/2006 alle 00:52


ciao eldo, il log e' pulito

per quanto rigurda il Bloodhound.exploit.78, non e' un vero e proprio virus ma il Norton lo rileva come una falla di Internet Explorer che potrebbe essere usata da possibili virus. esegui quindi gli updates di windows installando tutte le patches a disposizione 



live right now, just be yourself..it doesn't matter if it's good enough for someone else



eldo
Principiante Principiante
eldo
Principiante Principiante
eldo
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2005
Da: Italy
Status: Offline
Posts: 57
Riporta il testo di: eldo Rispondibullet Topic: Post n° 63.172 - Postato: 21/Novembre/2006 alle 13:19


Ok prisca85, grazie.
Ho fatto varie scansioni anche in rete ma nulla.

Spybot mi ha trovato e bloccato solo Main Pean, che dovrebbe essere un dialer.

Ma in giro ho letto che con ADSL non ci sono problemi di dialer, in quanto non ha un numero telefonico di connessione.

E' vero questo?

Ciao



eldo
Principiante Principiante
eldo
Principiante Principiante
eldo
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2005
Da: Italy
Status: Offline
Posts: 57
Riporta il testo di: eldo Rispondibullet Topic: Post n° 63.246 - Postato: 23/Novembre/2006 alle 08:25


up


lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 63.259 - Postato: 23/Novembre/2006 alle 15:39


E' vero per un senso non esatto per l'atro,l'unico effetto che non subiscoi è la composizioni di numeri telefonici ad alto costo,ma gli altri effetti del dialer li hai tutti,ciao


eldo
Principiante Principiante
eldo
Principiante Principiante
eldo
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2005
Da: Italy
Status: Offline
Posts: 57
Riporta il testo di: eldo Rispondibullet Topic: Post n° 63.283 - Postato: 24/Novembre/2006 alle 12:04


Caro lucas gli effetti a cui ti riferisci sono le disconnessioni o cosa altro?


lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 63.301 - Postato: 24/Novembre/2006 alle 18:11


Disconnessioni e altro,dipende da come è programmato il dialer,li effetti possono essere diversi da variante a variante,ciao






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,016 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni