PDA

View Full Version : trojan startpage.1505


ania
09-01-2007, 15:37
Ciao a tutti, la doverosa premessa è che sul mio pc è installato Windows XP pro, SP2, con tutte le patch di sicurezza finora rilasciate da Microsft.
Ho avuto il sospetto che qualcosa non andasse per il verso giusto quando mi sono accorta che fra le applicazioni cui il firewall di Panda (su uno soltanto dei miei pc, sui quali ho installato gli stessi progrrammi, quindi le aplicazioni dovrebbero essere le medesime), concede autorizzazione in uscita è comparsa una voce nuova che io non avevo mai visto né tanto meno autorizzato, cioè:

Modulo di esecuzione DLLcome applicazioni
e se clicco su questa voce mi compare
C:\WINDOWS\system32\rundll32.exe

Non conoscendo il significato ed il ruolo dell’applicazione, io ho stabilito : “nessuna connessione”, modificando l'impostazione ( cioè l' autorizzazione) che il firewall aveva inizialmente attribuito. :confused: :mbe:

Però, mi è rimasta la sensazione di qualcosa che stava sfuggendo al mio controllo :doh: , e volevo vederci più chiaro. :read:

Così, ho fatto le scansioni di rito (AV PANDA, avg antispyware, ad-aware, spybot, superantispyware, a-squared 2 free) in modalità normale, ma non ho trovato nulla.

Poi, mi è venuto in mente il programmino suggerito da Eraser , ed anche se di solito non lo uso perché non mi scansiona i file zippati, ho usato pure quello.
Insomma Dr.Web CureIt mi ha scovato una voce di registro infetta dal Trojan.StartPage.1505., ma se ho capito bene, questa voce non è NEL registro di Windows, ma in una sottocartella all’interno di Documents and setting

Questo è il percorso esatto della voce di registro trovata infetta:
C:\Document and setting\All Users\Dati Applicazioni\Spybot Search & Destroy\Snapshots

E la voce trovata è :
RegUBP2b-Administrator.reg

Dunque, ho seguito il percorso indicatomi da Dr Web Cure It ed in C:\Document and setting\All users\Dati applicazioni\Spybot search and destroy, ho trovato una cartella SNAPSHOTS che contiene al suo interno ben 50 chiavi di registro.

Fra queste 50 voci di registro c’è appunto anche la chiave ritenuta infetta da DrWeb Cure IT.

Finora NON ho rimosso la chiave, ( mediterei di ramazzare l'intera cartella :D , se ho il vostro consenso ;) ) nè ho usato DrWebCureit in modalità "cure" ed ho cercato di capire le cose.

DOMANDA: da dove esce questa maledetta cartella :cry: , come si è creata?

La mia spiegazione alla cosa è stata che quando in una sua scansione SPYBOT ha trovato il trojan.startpage ( che forse spybot search & destroy ha riconosciuto come "snapshots") ha curato e disinfettato, ed ha corretto le chiavi infette, solo che io devo avere molto sottovalutato la cosa , tanto che non ricordo nemmeno esattamente quando SPYBOT ha fatto l’operazione suddetta ( dalla data di creazione della cartella “snapshots” vedo che il misfatto è accaduto il 14 dicembre, avevo appena formattato, dovevo essere un po’ lessa, sigh.

Può essere o sono fuori strada? :mc:

A questo punto ho fatto qualche ricerca con Google ed ho trovato alcuni links utili.
http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-trojan.startpage.j.html
Quando Trojan.StartPage.J è eseguito, effettua le seguenti azioni:
PUNTO 1 _Si copia come %System%\boln.dll.
Nota:%System% è una variabile che fa riferimento alla cartella System. Per impostazione predefinita si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
Quindi io sono entrata in C:\Windows\System32 ed ho cercato la libreria che si sarebbe dovuta creare nel caso che il trojan fosse stato eseguito, cioè, boln.dll e non l’ho trovata, quindi ho pensato che il trojan fosse stato scaricato, ma NON eseguito.
PUNTO 2_ Aggiunge il valore:
"Systems Restart" = "Rundll32.exe boln.dll,DllRegisterServer"
alla sottochiave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
per assicurare che il .dll sia eseguito come servizio eseguibile all'avvio.
Ed allora sono entrata nel Regedit, ed ho navigato fino alla ricerca della sottochiave indicata per vedere se vi aveva aggiunto il valore indicato, e non ho trovato riscontro, quel valore non era stato aggiunto.
PUNTO 3_Aggiunge il valore:
"CLSID" = "{B75F75B8-93F3-429D-FF34-660B206D897A}"
alla sottochiave del registro:
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\toolbar
come dirottatore del browser Microsoft Internet Explorer che reindirizza il browser.
Ho controllato anche queste voci, e non ho trovato il valore aggiunto che il trojan avrebbe dovuto inserire.
PUNTO 4_Aggiunge il valore:
"Browser Helper Objects" = "{B75F75B8-93F3-429D-FF34-660B206D897A}"
alla chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer
come dirottatore del browser Microsoft Internet Explorer che reindirizza il browser.
Ho cercato anche qui, e nulla.
PUNTO 5_Crea la seguente chiave di disinstallazione:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Uninstall\Best Search Engine!!!
Ho cercato anche questa e nulla .
Ho fatto tutte le scansioni in modalità provvisoria e non ho trovato nulla.
Non avendo trovato valori aggiunti nel registro di sistema, non ho cancellato chiavi dal registro , naturalmente.
Adesso vi chiedo, era ovvio non trovare chiavi di registro modificate o aggiunte perché non avevo trovato in C:\windows\system32 la libreria “boln.dll” che il trojan in effetti non sembra avere inserito ( perché forse non è stato eseguito?)
La mia deduzione è stata: il trojan è stato scaricato, ma non è stato eseguito, ed è per questo che non ho trovato modifiche al registro di sistema.

Ho dedotto qualcosa di verosimile, oppure non ho ancora capito nulla di come funziona il mondo?

Vorrei domandarvi, cioè, se io scarico un trojan, questo per svolgere la sua attività malevola, deve essere anche eseguito, oppure, in qualche modo è in grado di autoeseguirsi, o c’è comunque qualcosa di indipendente dalla mia volontà che lo fa eseguire?

Cioè, sono io che incautamente ed imprudentemente eseguo il file infetto perché non mi accorgo che ho scaricato un trojan, e penso sia magari un’ utility, (anche se quando scarico dei files faccio sempre la scansione antivirus), oppure, “se me lo porto dentro”, il trojan è in grado di auto-eseguirsi, o viene “fatto eseguire” da qualcosa che è ad esso collegato che sta dentro il mio pc, o fuori dal mio pc, ma che è in grado di “impartirgli l’ordine di eseguirsi”?

Non so se le mie domande risultano comprensibili, mi rendo conto di avere le idee non chiarissime.

Infine, quando si fanno le ricerche nel regedit, fa differenza eseguirle in modalità normale o in modalità provvisoria?

La ricerca da esattamente i medesimi risultati, immagino, giusto?
Poi ho trovato anche un documento successivo :
http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-trojan.startpage.html
più dettagliato, ma per me più complesso , e che mi ha messo in qualche difficoltà in più:
PUNTO 1_Trojan.StartPage può presentarsi come programma valido e può essere compresso con runtime. Quando questo cavallo di Troia vien eseguito, cambia la Home Page di Internet Explorer.
Quando viene eseguito, Trojan.StartPage si comporta nel modo seguente:
Si copia nella cartella %System% o %Windir% con nomi di file che assomigliano a file di sistema Windows legittimi, come:
Rundll32.exe
winproc32.exe
Note:
%System% è una variabile. Il cavallo di Troia individua la cartella System e si replica in tale posizione. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
%Windir% è una variabile. Il cavallo di Troia individua la cartella d'installazione di Windows (che per impostazione predefinita si trova sul percorso C:\Windows o C:\Winnt) e si replica in tale posizione.
I nomi del file variano e spesso sono scelti in modo da assomigliare a nomi di file di sistema legittimi di Windows. Alcuni esempi includono Rundll32.exe e winproc32.exe. Tuttavia, sono stati rilevati altri nomi di file.
In C:\Windows\System32 , ho rundll32.exe, ma credo sia una libreria più che legittima di windows.
Invece non ho il file winproc32.exe.
Eliminare le righe aggiunte dal file Hosts di Windows
Windows XP
Fare clic su Start > Cerca.
Fare clic su Tutti i file e le cartelle..
Nella casella "Tutto o parte del nome", digitare:
hosts
Assicurarsi che "Cerca in" sia impostato su ''Unità disco rigido locali" oppure su (C:).
Fare clic su ''Altre opzioni avanzate''.
Selezionare "Cerca nelle cartelle di sistema".
Selezionare "Cerca nelle sottocartelle".
Fare clic su Cerca.
Fare clic su Trova o Cerca.
Per ogni file Hosts trovato, fare clic con il tasto destro sul file, quindi su Apri con.
Deselezionare la casella “Utilizzare sempre questa opzione per aprire questo programma".
Scorrere attraverso l'elenco dei programmi e fare doppio clic su Blocco note.
Quando il file si apre, eliminare tutte le voci nel file Hosts tranne la riga seguente:
127.0.0.1 localhost
Chiudere Blocco note e salvare le modifiche quando viene richiesto

Ho trovato un solo file hosts, e c’era solo il valore 127.0.01

Comunque, ho cercato anche le altre chiavi indicate nella seconda pagina linkata, ma non ho trovato le modifiche indicate.
Poi ho trovato questa pagina,
http://www.ilsoftware.it/av.asp?ID=128
e mi piacerebbe che mi aiutaste a capire come muovermi in C:\windows\system32\drivers
Come arrivo da qui al file hosts? E’ possibile?
Mi aiutereste a capire meglio cosa è, e come raggiungere il file hosts?

Trojan.Startpage.E
E' un trojan/hijacker e si viene infettati visitando una pagina web con codice HTML malevolo creato appositamente, verrà modificato il registro di configurazione andando a sostituire la propria pagina iniziale con questo url
http:/ /213 .159 .117 .132 /redir.php, l'infezione avverrà se come browser si sta utilizzando Internet Explorer.
Una lista di siti verrà aggiunta all'interno del file Hosts, se lo stesso esiste
WinXP c:\windows\system32\drivers\etc\

Copio ed incollo il mio log file di HJT.
Naturalmente ho anche rifatto tutte le scansioni con tutti i software anche in modalità provvisoria. E' un giorno che sto spulciando
Domanda:
Posso cestinare tutta la cartella SNAPSHOTS?
E’ meglio usare in modalità “cure e delete” Dr web cure it?
Cosa mi suggerite?
Le cose che ho letto e seguito hanno una relazione con il tipo di trojano che avevo (ho) io, oppure si tratta di varianti diverse e quindi è stato tutto lavoro inutile?
Grazie mille a tutti.
Scusatemi per il papiro :cry:

Logfile of HijackThis v1.99.1
Scan saved at 16.20.51, on 09/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\programmi\panda software\panda internet security 2007\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\Programmi\SiteAdvisor\4979\SAService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\apvxdwin.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\SiteAdvisor\4979\SiteAdv.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
c:\programmi\panda software\panda internet security 2007\WebProxy.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis _new\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\4979\SiteAdv.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hwupgrade.it
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165914071623
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programmi\SiteAdvisor\4979\SiteAdv.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\programmi\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmi\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programmi\SiteAdvisor\4979\SAService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmi\Panda Software\Panda Internet Security 2007\TPSrv.exe

wizard1993
09-01-2007, 15:41
pure te posti nel luogo sbagliato il log?

wizard1993
09-01-2007, 15:43
il log comunque è pulito

ania
09-01-2007, 15:44
pure te posti nel luogo sbagliato il log?

Ehm :cry: , ho pensato :mbe: che se mettevo la spiegazione della cosa qui, ed il log nell'altra sezione, vi avrei complicato solo la vita, o no? :doh:

wizard1993
09-01-2007, 15:46
e in più ce n'è un altra di cosa interessante
http://www.viruslist.com/en/find?search_mode=full&words=Trojan.StartPage.J&x=0&y=0
ne esiste più di una versione che differisce per file modificati e chiavi

ania
09-01-2007, 16:01
e in più ce n'è un altra di cosa interessante
http://www.viruslist.com/en/find?search_mode=full&words=Trojan.StartPage.J&x=0&y=0
ne esiste più di una versione che differisce per file modificati e chiavi

Sigh :cry: , infatti DrWebCureIT lo identifica come :
trojan startpage.1505
quersto vuole dire che tutto il lavoraccio immane che ho fatto all'interno del regedit alla ricerca di chiavi aggiunte è stato praticamente inutile?
Le chiavi dipendono dalla variante del trojan, immagino. :mc: :cry: :doh:
Infatti le due pagine di symantec facevano riferimento a valori di chiavi di registro diverse, lo so perchè oramai le ho imparate a memoria :doh: :cry: a forza di cavarmici gli occhi per verifecare che non fossero presenti.
Rimangono i mei quesiti ;) , se qualcuno :kiss: un giorno o l'altro non sa come passare un pò di tempo :read: , leggerò le risposte che mi darete :kiss: così da imparare qualcosa in più
E naturalmente nonostante l'apparente "essere pulito del logfile di HJT" accolgo indicazioni su cosa fare della cartella "snapshots", per la quale avrei in progetto un "delete integrale". :D
ciao e grazie mille di cuore :kiss:

wizard1993
09-01-2007, 16:06
fai agli altri quello che vorresti fosse fatto a te; ah e per favore. scarica bitdefender free edidtion aggiornalo e dai una bella pulita; inoltre io te lo devo direper chè è mio dovere; dai test in firewall della panda e riuscito a piazzare un ottimo ultimo posto pulito; fai te

y4mon
09-01-2007, 18:09
azzardo un'ipotesi:

visto che non hai rallentamenti, nè altri malfunzionamenti,

potrebbe essere anche un falso positivo:

http://forums.clamwin.com/viewtopic.php?p=1257&

se apri col notepad in modifica il file:

RegUBP2b-Administrator.reg

che c'è scritto dentro?

x caso è uguale a quello del mio link:

""REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
// the value ""Start Page_bak"" does not exist
// the value ""Default_Page_URL"" does not exist
// the value ""Default_Search_URL"" does not exist
// the value ""First Home Page"" does not exist
// the value ""SearchAssistant"" does not exist
// the value ""HomeOldSP"" does not exist
""

ciao

wizard1993
09-01-2007, 18:50
odio i falsi positivi

ania
09-01-2007, 19:12
azzardo un'ipotesi:

visto che non hai rallentamenti, nè altri malfunzionamenti,

Sigh :cry: , i rallentamenti li ho eccome :mc: , e visto che ho formattato meno di un mese fà :doh: , mi sembrerebbe pure un pò presto per averne dell'entità in cui io li ho. :help:


potrebbe essere anche un falso positivo:
http://forums.clamwin.com/viewtopic.php?p=1257&
se apri col notepad in modifica il file:
RegUBP2b-Administrator.reg

che c'è scritto dentro?
x caso è uguale a quello del mio link:
""REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
// the value ""Start Page_bak"" does not exist
// the value ""Default_Page_URL"" does not exist
// the value ""Default_Search_URL"" does not exist
// the value ""First Home Page"" does not exist
// the value ""SearchAssistant"" does not exist
// the value ""HomeOldSP"" does not exist
""

Allora, ho aperto il "file malefico" :cry: con il blocco note che immagino sia la stessa cosa del Note pad ( giusto?)
ed ho trovato questo:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.hwupgrade.it"
// the value ""Start Page_bak"" does not exist
// the value ""Default_Page_URL"" does not exist
// the value ""Default_Search_URL"" does not exist
// the value ""First Home Page"" does not exist
// the value ""SearchAssistant"" does not exist
// the value ""HomeOldSP"" does not exist


Sinceramente, quell'applicazione che solo in questo pc, stranamente ha ottenuto dal firewall di Panda autorizzazione all'uscita, e cioè:

Modulo di esecuzione DLLcome applicazioni
e se clicco su questa voce mi compare
C:\WINDOWS\system32\rundll32.exe

non mi fa molto ben sperare. :cry:

Con Bitdefender free ho provato in passato :mc: , e non so perchè , non lo ho mai capito, non riuscivo a farlo connettere al server per aggiornarlo :mc: , mi appariva sempre la schermata "impossibile contattare il server o qualcosa del genere" :cry: , in passato l'avevo anche installato e disinstallato più volte per cercare di farlo fungere, ma non ci sono mai riuscita, ed alla fine mi ero arresa all'idea di non saper come riuscire. :cry:

In questro momento ho un pc (questo) che è piuttosto lento, non so cosa altro aggiungere, ah si, nel mio logfile alla voce 09 ci sono due voci che mi "stonano" abbastanza :confused: :cry:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

P.S. Avrei una domanda da porre, ho letto da più parti che se si trovano dei files infetti , è buona cosa "ripulire il file di paging" , mi piacerebbe domandarvi come si può espletare questa procedura., perchè io non ho idea di come si faccia.
In ogni caso, temo che per me questo sia un pensiero prematuro, perchè non penso di esssermi ancora liberata del mio problema con il trojan start page 1505( però, dopo....)
Inoltre "sempre post infezione" e cura, ho letto che è indicato anche procedere con una pulizia del registro con programmi appositi come ad es. "regclnr"
Ecco, cosa si intende per regcln ?
a me verrebbe in mente solo regseeker, e sono un pò in difficoltà pure nell'uso di regseeker :cry:

grazie mille di cuore :kiss: a tutti per la gentilezza, la generosità, l'aiuto, l'attenzione, il tempo regalatomi. :kiss:

wizard1993
09-01-2007, 19:29
sono leciti

ania
09-01-2007, 22:30
Ciao , ho provato a fare una scansione on line sul sito di kaspersky, ma sono in serie difficoltà, perchè non riesco a installare il controllo active X, io autorizzo l'installazione del controllo active X e nonostante ciò non riesco a installarlo, mi date un suggerimento, per favore?
ciao e grazie

FOXYLADY
10-01-2007, 10:16
Snapshot è una cartella legittima che viene creata da spybot, non so esattamente a cosa serva, penso che spybot memorizzi li alcune impostazioni, come il blocco della pagina iniziale del browser per esempio.
Credo che Drweb abbia preso un abbaglio, è un buon antivirus, ma è famoso anche per i suoi falsi positivi.
In ogni caso puoi far analizzare quel file su jotti per avere o meno conferma.
http://virusscan.jotti.org/de/

ania
10-01-2007, 12:26
Snapshot è una cartella legittima che viene creata da spybot, non so esattamente a cosa serva, penso che spybot memorizzi li alcune impostazioni, come il blocco della pagina iniziale del browser per esempio.

In ogni caso puoi far analizzare quel file su jotti per avere o meno conferma.
http://virusscan.jotti.org/de/

Ehm, visto che sono una ragazza un pò apprensiva :doh: , ieri ho "ramazzato" ( delete integrale :help: ) l'intera cartella Snapshots", l'ho fatto perchè ( non ho ancora imparato a non mettere le manine dove non dovrei :muro: ) , ed anche perchè nel secondo pc , dove ho installato identici programmi, quella cartella "snaphots" all'interno della cartella di Spybot non c'era.

E così, nella mia testolina fantasiosa :doh: si è creata l'illuminante idea che se la cartella si era creata in un pc, ma solo nell'altro, doveva essere inutile o addirittura "periicolosa".

Lì per lì, mi sembrava una scelta di sicurezza cancellare, e così ho fatto. :muro:

Anche sull'altro pc, naturalmente ho fatto una passata con DrWebCureIt, e quella voce infetta non era saltata fuori ( d'altra parte non c'era nemmeno la cartella snapshots.

Insomma, sul pc nel quale DrWebCureIT aveva trovato la chiave infetta dal trojan startpage, ora la cartella snapshots non c'è più. :doh:

Se era una cartella legittima ed utile, allora , mi conviene disinstallare e reinstallare Spybot?

Infine, visto che non sono riuscita :cry: a fare uno scan on line sul sito di Kaspersky, ho scaricato bitdefender 8 free ;) , e questa volta, fortunatamente riesco a farlo connettere al server ed a farlo aggiornare, evidentemente c'era qualcosa di sbagliato in qualche impostazione usata nel passato.

Cmq, bitdefender non ha trovato nulla. ;)

P.S:
io credevo che si potessero inviare per l'analisi a virus scan jotti, o a virus total solo degli exe, ma posso usare quei servizi per le chiavi di registro trovate infette?

Ciao e grazie mille :kiss:

FOXYLADY
10-01-2007, 17:14
Sui siti come jotti o virustotal puoi far analizzare qualunque file, per quel che ne so io, non solo gli .exe, l'unica limitazione è la dimensione del file stesso.
Per quanto riguarda il tuo problema, onestamente non so perchè su un PC ci fosse la cartella snapshot e sull'altro no, forse dipende da come è impostato Spybot stesso :boh:
Comunque, visto che hai già fatto tante scansioni e non mi sembri affatto una utente avventata nell'uso del PC, penso che il tuo PC sia pulito.
Se non noti malfunzionamenti in Spybot, lascia tutto com'è, altrimenti disinstalla e reinstalla ;) .

bReAkDoWn
10-01-2007, 17:20
Ciao Ania, allora, per quanto riguarda il file ti posso garantire al 100% che era un falso positivo, dato che ho visto il suo contenuto che hai postato.
Jotti, virusscan ecc. scansionano tutto: archivi, .dll, file di testo che possono contenere script, e così via. Tu hai fatto bene a cercare i segni di quel malware trovati su symantec; se il positivo non fosse stato falso avresti potuto trovarli.

rundll32 serve per eseguire codice che si trova nella libreria .dll che gli viene passata come parametro.
Rundll32 da solo è generico: la pericolosità o meno dipende da quale libreria viene eseguita. Quindi bisognerebbe vedere se Panda ha il controllo anche sui moduli (le varie .dll) all'interno di una applicazione. In quel caso potresti creare regole appropriate a seconda di cosa viene richiamato da rundll32, altrimenti puoi solo negare o consentire genericamente.
E nel dubbio fai come hai già fatto: nega. Se poi non funziona qualcosa te ne accorgerai.

I trojan, i malware, i virus e affini, hanno come primo e indispensabile traguardo quello di mandare il loro codice in esecuzione, altrimenti, soltanto stazionando sull'hd, non sono in grado di fare niente. I bug di windows, che vengono puntualmente :) corretti da Microsoft, permettono ai vari malware di eseguire codice (come se tu eseguissi un'applicazione) senza che l'utente se ne renda conto, anche con la semplice apertura di una pagina web. Quindi, in quei casi, il momento delll'infezione passa completamente inosservato, (salvo avere l'antivirus che ferma il malware non appena questo crea i suoi file sul disco) ma se i bug sono patchati e tu vai su un sito che sfrutta quei bug per infettare un sistema, così come se scarichi un eseguibile infetto e lo tieni sul disco senza eseguirlo, non accadrà mai niente.

File host: http://www.dotnethell.it/tips/WindowsHosts.aspx

regedit puoi usarlo allo stesso modo in modalità normale o provvisoria. Anche se ci sono casi in cui può essere più opportuno fare modifiche in mod. provvisoria, in generale non cambia niente.

Il file di paging, nascosto, che si trova di norma nella cartella root di una partizione, c:\ d:\ ecc. non è altro che la cosidetta memoria virtuale di Windows. Al riavvio del sistema il suo contenuto dovrebbe essere completamente invalidato, quindi non so bene a cosa si riferiscano gli articoli che hai letto. Forse a motivi di privacy..

ania
10-01-2007, 17:57
Grazie mille di cuore :kiss: per la pazienza con cui mi avete aiutato, ed anche dato risposta ai miei dubbi ed incertezze. grazie ancora :kiss:

sampei.nihira
10-01-2007, 18:20
Permetti un consiglio radicale (per il futuro) ?

Cambia AV !!

Se andiamo a ben vedere (anche considerando il sito internet non molto affidabile) sotto riportato:

http://www.virus.gr/english/fullxml/default.asp?id=82&mnu=82

PANDA è in 25ª posizione !! :eek:

Fanno meglio tutti gli antivirus gratuiti (se prendiamo in esame il fatto di un cambio a costo zero).

wizard1993
11-01-2007, 13:55
per non contare un firewall; che para tutto tranne i trojan