ania
09-01-2007, 15:37
Ciao a tutti, la doverosa premessa è che sul mio pc è installato Windows XP pro, SP2, con tutte le patch di sicurezza finora rilasciate da Microsft.
Ho avuto il sospetto che qualcosa non andasse per il verso giusto quando mi sono accorta che fra le applicazioni cui il firewall di Panda (su uno soltanto dei miei pc, sui quali ho installato gli stessi progrrammi, quindi le aplicazioni dovrebbero essere le medesime), concede autorizzazione in uscita è comparsa una voce nuova che io non avevo mai visto né tanto meno autorizzato, cioè:
Modulo di esecuzione DLLcome applicazioni
e se clicco su questa voce mi compare
C:\WINDOWS\system32\rundll32.exe
Non conoscendo il significato ed il ruolo dell’applicazione, io ho stabilito : “nessuna connessione”, modificando l'impostazione ( cioè l' autorizzazione) che il firewall aveva inizialmente attribuito. :confused: :mbe:
Però, mi è rimasta la sensazione di qualcosa che stava sfuggendo al mio controllo :doh: , e volevo vederci più chiaro. :read:
Così, ho fatto le scansioni di rito (AV PANDA, avg antispyware, ad-aware, spybot, superantispyware, a-squared 2 free) in modalità normale, ma non ho trovato nulla.
Poi, mi è venuto in mente il programmino suggerito da Eraser , ed anche se di solito non lo uso perché non mi scansiona i file zippati, ho usato pure quello.
Insomma Dr.Web CureIt mi ha scovato una voce di registro infetta dal Trojan.StartPage.1505., ma se ho capito bene, questa voce non è NEL registro di Windows, ma in una sottocartella all’interno di Documents and setting
Questo è il percorso esatto della voce di registro trovata infetta:
C:\Document and setting\All Users\Dati Applicazioni\Spybot Search & Destroy\Snapshots
E la voce trovata è :
RegUBP2b-Administrator.reg
Dunque, ho seguito il percorso indicatomi da Dr Web Cure It ed in C:\Document and setting\All users\Dati applicazioni\Spybot search and destroy, ho trovato una cartella SNAPSHOTS che contiene al suo interno ben 50 chiavi di registro.
Fra queste 50 voci di registro c’è appunto anche la chiave ritenuta infetta da DrWeb Cure IT.
Finora NON ho rimosso la chiave, ( mediterei di ramazzare l'intera cartella :D , se ho il vostro consenso ;) ) nè ho usato DrWebCureit in modalità "cure" ed ho cercato di capire le cose.
DOMANDA: da dove esce questa maledetta cartella :cry: , come si è creata?
La mia spiegazione alla cosa è stata che quando in una sua scansione SPYBOT ha trovato il trojan.startpage ( che forse spybot search & destroy ha riconosciuto come "snapshots") ha curato e disinfettato, ed ha corretto le chiavi infette, solo che io devo avere molto sottovalutato la cosa , tanto che non ricordo nemmeno esattamente quando SPYBOT ha fatto l’operazione suddetta ( dalla data di creazione della cartella “snapshots” vedo che il misfatto è accaduto il 14 dicembre, avevo appena formattato, dovevo essere un po’ lessa, sigh.
Può essere o sono fuori strada? :mc:
A questo punto ho fatto qualche ricerca con Google ed ho trovato alcuni links utili.
http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-trojan.startpage.j.html
Quando Trojan.StartPage.J è eseguito, effettua le seguenti azioni:
PUNTO 1 _Si copia come %System%\boln.dll.
Nota:%System% è una variabile che fa riferimento alla cartella System. Per impostazione predefinita si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
Quindi io sono entrata in C:\Windows\System32 ed ho cercato la libreria che si sarebbe dovuta creare nel caso che il trojan fosse stato eseguito, cioè, boln.dll e non l’ho trovata, quindi ho pensato che il trojan fosse stato scaricato, ma NON eseguito.
PUNTO 2_ Aggiunge il valore:
"Systems Restart" = "Rundll32.exe boln.dll,DllRegisterServer"
alla sottochiave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
per assicurare che il .dll sia eseguito come servizio eseguibile all'avvio.
Ed allora sono entrata nel Regedit, ed ho navigato fino alla ricerca della sottochiave indicata per vedere se vi aveva aggiunto il valore indicato, e non ho trovato riscontro, quel valore non era stato aggiunto.
PUNTO 3_Aggiunge il valore:
"CLSID" = "{B75F75B8-93F3-429D-FF34-660B206D897A}"
alla sottochiave del registro:
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\toolbar
come dirottatore del browser Microsoft Internet Explorer che reindirizza il browser.
Ho controllato anche queste voci, e non ho trovato il valore aggiunto che il trojan avrebbe dovuto inserire.
PUNTO 4_Aggiunge il valore:
"Browser Helper Objects" = "{B75F75B8-93F3-429D-FF34-660B206D897A}"
alla chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer
come dirottatore del browser Microsoft Internet Explorer che reindirizza il browser.
Ho cercato anche qui, e nulla.
PUNTO 5_Crea la seguente chiave di disinstallazione:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Uninstall\Best Search Engine!!!
Ho cercato anche questa e nulla .
Ho fatto tutte le scansioni in modalità provvisoria e non ho trovato nulla.
Non avendo trovato valori aggiunti nel registro di sistema, non ho cancellato chiavi dal registro , naturalmente.
Adesso vi chiedo, era ovvio non trovare chiavi di registro modificate o aggiunte perché non avevo trovato in C:\windows\system32 la libreria “boln.dll” che il trojan in effetti non sembra avere inserito ( perché forse non è stato eseguito?)
La mia deduzione è stata: il trojan è stato scaricato, ma non è stato eseguito, ed è per questo che non ho trovato modifiche al registro di sistema.
Ho dedotto qualcosa di verosimile, oppure non ho ancora capito nulla di come funziona il mondo?
Vorrei domandarvi, cioè, se io scarico un trojan, questo per svolgere la sua attività malevola, deve essere anche eseguito, oppure, in qualche modo è in grado di autoeseguirsi, o c’è comunque qualcosa di indipendente dalla mia volontà che lo fa eseguire?
Cioè, sono io che incautamente ed imprudentemente eseguo il file infetto perché non mi accorgo che ho scaricato un trojan, e penso sia magari un’ utility, (anche se quando scarico dei files faccio sempre la scansione antivirus), oppure, “se me lo porto dentro”, il trojan è in grado di auto-eseguirsi, o viene “fatto eseguire” da qualcosa che è ad esso collegato che sta dentro il mio pc, o fuori dal mio pc, ma che è in grado di “impartirgli l’ordine di eseguirsi”?
Non so se le mie domande risultano comprensibili, mi rendo conto di avere le idee non chiarissime.
Infine, quando si fanno le ricerche nel regedit, fa differenza eseguirle in modalità normale o in modalità provvisoria?
La ricerca da esattamente i medesimi risultati, immagino, giusto?
Poi ho trovato anche un documento successivo :
http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-trojan.startpage.html
più dettagliato, ma per me più complesso , e che mi ha messo in qualche difficoltà in più:
PUNTO 1_Trojan.StartPage può presentarsi come programma valido e può essere compresso con runtime. Quando questo cavallo di Troia vien eseguito, cambia la Home Page di Internet Explorer.
Quando viene eseguito, Trojan.StartPage si comporta nel modo seguente:
Si copia nella cartella %System% o %Windir% con nomi di file che assomigliano a file di sistema Windows legittimi, come:
Rundll32.exe
winproc32.exe
Note:
%System% è una variabile. Il cavallo di Troia individua la cartella System e si replica in tale posizione. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
%Windir% è una variabile. Il cavallo di Troia individua la cartella d'installazione di Windows (che per impostazione predefinita si trova sul percorso C:\Windows o C:\Winnt) e si replica in tale posizione.
I nomi del file variano e spesso sono scelti in modo da assomigliare a nomi di file di sistema legittimi di Windows. Alcuni esempi includono Rundll32.exe e winproc32.exe. Tuttavia, sono stati rilevati altri nomi di file.
In C:\Windows\System32 , ho rundll32.exe, ma credo sia una libreria più che legittima di windows.
Invece non ho il file winproc32.exe.
Eliminare le righe aggiunte dal file Hosts di Windows
Windows XP
Fare clic su Start > Cerca.
Fare clic su Tutti i file e le cartelle..
Nella casella "Tutto o parte del nome", digitare:
hosts
Assicurarsi che "Cerca in" sia impostato su ''Unità disco rigido locali" oppure su (C:).
Fare clic su ''Altre opzioni avanzate''.
Selezionare "Cerca nelle cartelle di sistema".
Selezionare "Cerca nelle sottocartelle".
Fare clic su Cerca.
Fare clic su Trova o Cerca.
Per ogni file Hosts trovato, fare clic con il tasto destro sul file, quindi su Apri con.
Deselezionare la casella “Utilizzare sempre questa opzione per aprire questo programma".
Scorrere attraverso l'elenco dei programmi e fare doppio clic su Blocco note.
Quando il file si apre, eliminare tutte le voci nel file Hosts tranne la riga seguente:
127.0.0.1 localhost
Chiudere Blocco note e salvare le modifiche quando viene richiesto
Ho trovato un solo file hosts, e c’era solo il valore 127.0.01
Comunque, ho cercato anche le altre chiavi indicate nella seconda pagina linkata, ma non ho trovato le modifiche indicate.
Poi ho trovato questa pagina,
http://www.ilsoftware.it/av.asp?ID=128
e mi piacerebbe che mi aiutaste a capire come muovermi in C:\windows\system32\drivers
Come arrivo da qui al file hosts? E’ possibile?
Mi aiutereste a capire meglio cosa è, e come raggiungere il file hosts?
Trojan.Startpage.E
E' un trojan/hijacker e si viene infettati visitando una pagina web con codice HTML malevolo creato appositamente, verrà modificato il registro di configurazione andando a sostituire la propria pagina iniziale con questo url
http:/ /213 .159 .117 .132 /redir.php, l'infezione avverrà se come browser si sta utilizzando Internet Explorer.
Una lista di siti verrà aggiunta all'interno del file Hosts, se lo stesso esiste
WinXP c:\windows\system32\drivers\etc\
Copio ed incollo il mio log file di HJT.
Naturalmente ho anche rifatto tutte le scansioni con tutti i software anche in modalità provvisoria. E' un giorno che sto spulciando
Domanda:
Posso cestinare tutta la cartella SNAPSHOTS?
E’ meglio usare in modalità “cure e delete” Dr web cure it?
Cosa mi suggerite?
Le cose che ho letto e seguito hanno una relazione con il tipo di trojano che avevo (ho) io, oppure si tratta di varianti diverse e quindi è stato tutto lavoro inutile?
Grazie mille a tutti.
Scusatemi per il papiro :cry:
Logfile of HijackThis v1.99.1
Scan saved at 16.20.51, on 09/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\programmi\panda software\panda internet security 2007\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\Programmi\SiteAdvisor\4979\SAService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\apvxdwin.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\SiteAdvisor\4979\SiteAdv.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
c:\programmi\panda software\panda internet security 2007\WebProxy.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis _new\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\4979\SiteAdv.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hwupgrade.it
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165914071623
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\programmi\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmi\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programmi\SiteAdvisor\4979\SAService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmi\Panda Software\Panda Internet Security 2007\TPSrv.exe
Ho avuto il sospetto che qualcosa non andasse per il verso giusto quando mi sono accorta che fra le applicazioni cui il firewall di Panda (su uno soltanto dei miei pc, sui quali ho installato gli stessi progrrammi, quindi le aplicazioni dovrebbero essere le medesime), concede autorizzazione in uscita è comparsa una voce nuova che io non avevo mai visto né tanto meno autorizzato, cioè:
Modulo di esecuzione DLLcome applicazioni
e se clicco su questa voce mi compare
C:\WINDOWS\system32\rundll32.exe
Non conoscendo il significato ed il ruolo dell’applicazione, io ho stabilito : “nessuna connessione”, modificando l'impostazione ( cioè l' autorizzazione) che il firewall aveva inizialmente attribuito. :confused: :mbe:
Però, mi è rimasta la sensazione di qualcosa che stava sfuggendo al mio controllo :doh: , e volevo vederci più chiaro. :read:
Così, ho fatto le scansioni di rito (AV PANDA, avg antispyware, ad-aware, spybot, superantispyware, a-squared 2 free) in modalità normale, ma non ho trovato nulla.
Poi, mi è venuto in mente il programmino suggerito da Eraser , ed anche se di solito non lo uso perché non mi scansiona i file zippati, ho usato pure quello.
Insomma Dr.Web CureIt mi ha scovato una voce di registro infetta dal Trojan.StartPage.1505., ma se ho capito bene, questa voce non è NEL registro di Windows, ma in una sottocartella all’interno di Documents and setting
Questo è il percorso esatto della voce di registro trovata infetta:
C:\Document and setting\All Users\Dati Applicazioni\Spybot Search & Destroy\Snapshots
E la voce trovata è :
RegUBP2b-Administrator.reg
Dunque, ho seguito il percorso indicatomi da Dr Web Cure It ed in C:\Document and setting\All users\Dati applicazioni\Spybot search and destroy, ho trovato una cartella SNAPSHOTS che contiene al suo interno ben 50 chiavi di registro.
Fra queste 50 voci di registro c’è appunto anche la chiave ritenuta infetta da DrWeb Cure IT.
Finora NON ho rimosso la chiave, ( mediterei di ramazzare l'intera cartella :D , se ho il vostro consenso ;) ) nè ho usato DrWebCureit in modalità "cure" ed ho cercato di capire le cose.
DOMANDA: da dove esce questa maledetta cartella :cry: , come si è creata?
La mia spiegazione alla cosa è stata che quando in una sua scansione SPYBOT ha trovato il trojan.startpage ( che forse spybot search & destroy ha riconosciuto come "snapshots") ha curato e disinfettato, ed ha corretto le chiavi infette, solo che io devo avere molto sottovalutato la cosa , tanto che non ricordo nemmeno esattamente quando SPYBOT ha fatto l’operazione suddetta ( dalla data di creazione della cartella “snapshots” vedo che il misfatto è accaduto il 14 dicembre, avevo appena formattato, dovevo essere un po’ lessa, sigh.
Può essere o sono fuori strada? :mc:
A questo punto ho fatto qualche ricerca con Google ed ho trovato alcuni links utili.
http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-trojan.startpage.j.html
Quando Trojan.StartPage.J è eseguito, effettua le seguenti azioni:
PUNTO 1 _Si copia come %System%\boln.dll.
Nota:%System% è una variabile che fa riferimento alla cartella System. Per impostazione predefinita si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
Quindi io sono entrata in C:\Windows\System32 ed ho cercato la libreria che si sarebbe dovuta creare nel caso che il trojan fosse stato eseguito, cioè, boln.dll e non l’ho trovata, quindi ho pensato che il trojan fosse stato scaricato, ma NON eseguito.
PUNTO 2_ Aggiunge il valore:
"Systems Restart" = "Rundll32.exe boln.dll,DllRegisterServer"
alla sottochiave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
per assicurare che il .dll sia eseguito come servizio eseguibile all'avvio.
Ed allora sono entrata nel Regedit, ed ho navigato fino alla ricerca della sottochiave indicata per vedere se vi aveva aggiunto il valore indicato, e non ho trovato riscontro, quel valore non era stato aggiunto.
PUNTO 3_Aggiunge il valore:
"CLSID" = "{B75F75B8-93F3-429D-FF34-660B206D897A}"
alla sottochiave del registro:
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\toolbar
come dirottatore del browser Microsoft Internet Explorer che reindirizza il browser.
Ho controllato anche queste voci, e non ho trovato il valore aggiunto che il trojan avrebbe dovuto inserire.
PUNTO 4_Aggiunge il valore:
"Browser Helper Objects" = "{B75F75B8-93F3-429D-FF34-660B206D897A}"
alla chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer
come dirottatore del browser Microsoft Internet Explorer che reindirizza il browser.
Ho cercato anche qui, e nulla.
PUNTO 5_Crea la seguente chiave di disinstallazione:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Uninstall\Best Search Engine!!!
Ho cercato anche questa e nulla .
Ho fatto tutte le scansioni in modalità provvisoria e non ho trovato nulla.
Non avendo trovato valori aggiunti nel registro di sistema, non ho cancellato chiavi dal registro , naturalmente.
Adesso vi chiedo, era ovvio non trovare chiavi di registro modificate o aggiunte perché non avevo trovato in C:\windows\system32 la libreria “boln.dll” che il trojan in effetti non sembra avere inserito ( perché forse non è stato eseguito?)
La mia deduzione è stata: il trojan è stato scaricato, ma non è stato eseguito, ed è per questo che non ho trovato modifiche al registro di sistema.
Ho dedotto qualcosa di verosimile, oppure non ho ancora capito nulla di come funziona il mondo?
Vorrei domandarvi, cioè, se io scarico un trojan, questo per svolgere la sua attività malevola, deve essere anche eseguito, oppure, in qualche modo è in grado di autoeseguirsi, o c’è comunque qualcosa di indipendente dalla mia volontà che lo fa eseguire?
Cioè, sono io che incautamente ed imprudentemente eseguo il file infetto perché non mi accorgo che ho scaricato un trojan, e penso sia magari un’ utility, (anche se quando scarico dei files faccio sempre la scansione antivirus), oppure, “se me lo porto dentro”, il trojan è in grado di auto-eseguirsi, o viene “fatto eseguire” da qualcosa che è ad esso collegato che sta dentro il mio pc, o fuori dal mio pc, ma che è in grado di “impartirgli l’ordine di eseguirsi”?
Non so se le mie domande risultano comprensibili, mi rendo conto di avere le idee non chiarissime.
Infine, quando si fanno le ricerche nel regedit, fa differenza eseguirle in modalità normale o in modalità provvisoria?
La ricerca da esattamente i medesimi risultati, immagino, giusto?
Poi ho trovato anche un documento successivo :
http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-trojan.startpage.html
più dettagliato, ma per me più complesso , e che mi ha messo in qualche difficoltà in più:
PUNTO 1_Trojan.StartPage può presentarsi come programma valido e può essere compresso con runtime. Quando questo cavallo di Troia vien eseguito, cambia la Home Page di Internet Explorer.
Quando viene eseguito, Trojan.StartPage si comporta nel modo seguente:
Si copia nella cartella %System% o %Windir% con nomi di file che assomigliano a file di sistema Windows legittimi, come:
Rundll32.exe
winproc32.exe
Note:
%System% è una variabile. Il cavallo di Troia individua la cartella System e si replica in tale posizione. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
%Windir% è una variabile. Il cavallo di Troia individua la cartella d'installazione di Windows (che per impostazione predefinita si trova sul percorso C:\Windows o C:\Winnt) e si replica in tale posizione.
I nomi del file variano e spesso sono scelti in modo da assomigliare a nomi di file di sistema legittimi di Windows. Alcuni esempi includono Rundll32.exe e winproc32.exe. Tuttavia, sono stati rilevati altri nomi di file.
In C:\Windows\System32 , ho rundll32.exe, ma credo sia una libreria più che legittima di windows.
Invece non ho il file winproc32.exe.
Eliminare le righe aggiunte dal file Hosts di Windows
Windows XP
Fare clic su Start > Cerca.
Fare clic su Tutti i file e le cartelle..
Nella casella "Tutto o parte del nome", digitare:
hosts
Assicurarsi che "Cerca in" sia impostato su ''Unità disco rigido locali" oppure su (C:).
Fare clic su ''Altre opzioni avanzate''.
Selezionare "Cerca nelle cartelle di sistema".
Selezionare "Cerca nelle sottocartelle".
Fare clic su Cerca.
Fare clic su Trova o Cerca.
Per ogni file Hosts trovato, fare clic con il tasto destro sul file, quindi su Apri con.
Deselezionare la casella “Utilizzare sempre questa opzione per aprire questo programma".
Scorrere attraverso l'elenco dei programmi e fare doppio clic su Blocco note.
Quando il file si apre, eliminare tutte le voci nel file Hosts tranne la riga seguente:
127.0.0.1 localhost
Chiudere Blocco note e salvare le modifiche quando viene richiesto
Ho trovato un solo file hosts, e c’era solo il valore 127.0.01
Comunque, ho cercato anche le altre chiavi indicate nella seconda pagina linkata, ma non ho trovato le modifiche indicate.
Poi ho trovato questa pagina,
http://www.ilsoftware.it/av.asp?ID=128
e mi piacerebbe che mi aiutaste a capire come muovermi in C:\windows\system32\drivers
Come arrivo da qui al file hosts? E’ possibile?
Mi aiutereste a capire meglio cosa è, e come raggiungere il file hosts?
Trojan.Startpage.E
E' un trojan/hijacker e si viene infettati visitando una pagina web con codice HTML malevolo creato appositamente, verrà modificato il registro di configurazione andando a sostituire la propria pagina iniziale con questo url
http:/ /213 .159 .117 .132 /redir.php, l'infezione avverrà se come browser si sta utilizzando Internet Explorer.
Una lista di siti verrà aggiunta all'interno del file Hosts, se lo stesso esiste
WinXP c:\windows\system32\drivers\etc\
Copio ed incollo il mio log file di HJT.
Naturalmente ho anche rifatto tutte le scansioni con tutti i software anche in modalità provvisoria. E' un giorno che sto spulciando
Domanda:
Posso cestinare tutta la cartella SNAPSHOTS?
E’ meglio usare in modalità “cure e delete” Dr web cure it?
Cosa mi suggerite?
Le cose che ho letto e seguito hanno una relazione con il tipo di trojano che avevo (ho) io, oppure si tratta di varianti diverse e quindi è stato tutto lavoro inutile?
Grazie mille a tutti.
Scusatemi per il papiro :cry:
Logfile of HijackThis v1.99.1
Scan saved at 16.20.51, on 09/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\programmi\panda software\panda internet security 2007\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\Programmi\SiteAdvisor\4979\SAService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\apvxdwin.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\SiteAdvisor\4979\SiteAdv.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
c:\programmi\panda software\panda internet security 2007\WebProxy.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis _new\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\4979\SiteAdv.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hwupgrade.it
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165914071623
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\programmi\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmi\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programmi\SiteAdvisor\4979\SAService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmi\Panda Software\Panda Internet Security 2007\TPSrv.exe