Ho conosciuto i Trojan diversi anni fa, quando iniziarono a circolare le prime versioni del BO e del NETBUS.
Poi non mi è più capitato di occuparmene e certamente si saranno molto evoluti in tutti questi anni.
Ieri pero' sul Pc di un mio amico ho visto quello che non mi sarei mai aspettato di vedere.
Nel tentativo di cercare una PATCH NO-CD per il recente NEED FOR SPEED UNDERGROUND abbiamo in qualche modo infettato il Pc nonostante fosse protetto dal Norton Antivirus 2003 aggiornato all'ultimo upgrade rilasciato.
Il Norton in effetti non segnala alcuna anomalia, eppure....

Il PC è letteralemente impazzito... anzi.... è diventato INTELLIGENTE!
Péroprio come accadeva con levecchie versioni del NETBUS, vedevo la freccia del mouse scorrere liberamente sul desktop, aprire cartelle e lanciare programmi in ordine apparentemente casuale e addirittura avviare la connessione ad internet.... tutto sotto i miei occhi!

Niente di nuovo se noi fossimo stati ancora collegati (perché tutto questo avrebbe potuto farlo qualcuno in remoto).... invece io avevo immediatamente provveduto a staccare fisicamente il cavo del modem.... e il PC imperteritto continuo ad auto-manovrare indisturbato anche dopo ripetuti tentativi di riavvio!

Immagino che sia stata appositamente creata una routine che impartisce ordini al Pc.... ma io non avevo mai visto nualla di simile, ce peraltro appare piuttosto inquietante.... insomma vedere la freccia del mouse che si mette a fare tutto quello che vuole proprio sotto i tuoi occhi....

Naturalmente se voglio posso riprendere il controllo del mouse, in qualunque momento, ma così facendo è come se sul PC potessimo contemporanemante lavorarci in due..... lui continua a fare indisturbato quello che gli pare non appena io mi fermo per qualche attimo....

Insomma... ne sapete qualcosa?
Esiste qualche antidoto?
Vorrei evitare di formattare....

Grazie.

intanto hai cancellato il file? poi se riavvi succede ancora??
Avevo un file divertente che ti continuava a muovere il mouse ;)

~§~ Sempre E Solo Lei ~§~

Spero e confido di trovare qui qualcuno che sia competente in materia.
Ti ringrazio per esserti interessato al mio caso, ma ti
assicuro che in quello che accade su quel Pc non c'é proprio niente
che lasci anche solo un impercettebile alone di umorismo!
La faccenda, al contrario, appare piuttosto grave ed inquietante...
ben altro che le vecchie inflazionate gags che simulano qualche
stupidaggine divertente.

L'unica cosa certa è che, se non si tratta di un virus, certamente è
qualcosa di simile ad un trojan programmato per compiere operazioni casuali, le più fastidiose possibile.
I giochetti a cui fai riferimento, a parte il fatto che sono
chiaramente riconoscibili, non creano una nuova connessione in
automatico, non avviano da soli il modem che chiama un numero e tenta di collegarsi chissa dove, non avviano i tuoi programmi e non aprono le tue cartelle... il tutto sotto i tuoi occhi!!!

Se qualcuno pertanto ne sa qualcosa, prego di postare, perché quello che è successo a me succederà a molti, visto che circola già in rete!

Grazie ancora.

Prova a installa re Spybot 1.2 e aggiornalo immediatamente (sempre te lo faccia fare!!!!!!!!!), poi inizia una scansione del pc, e se effettivamente e' un trojan, dovrebbe rilevartelo e poi fartelo eliminare, oppure se vai sul sito di Bilancino (www.sicurezzainrete.com), e scarica un buon trojan remover, altro non saprei dirti, cmq e' strana la cosa che te lo faccia anche con pc non connesso,,,,,,,,:) Buona Fortuna.

Grazie Grazie Grazie

Ho postato qui e su altri newsgroup a tema.
Questa è la prima risposta sensata che mi arriva.

Effettivamente quello che accade è strano... stranissimo... pero'... non escludo che versioni simili ai vecchi BO e NETBUS più all'avanguardia incorporino una piccola routine capace di prendere i comandi.... in fin dei conti i sistemi operativi come XP hanno fra di loro una miriade di punti in comune, sono schematizzati e quindi non è difficile prevedere la posizione delle cartelle e dei file per automatizzarne l'apertura e l'avvio.

Comunque ti faro' sapere...
Grazie.

Se nel frattempo qualcuno se sapesse di più è pregato di postare.

Se si tratta di un virus è sicuramente qualcosa di micidiale. L'unico suggerimento che mi sento di darti è di provare ad avviare in modalità provvisoria. Così, almeno spero, non dovrebbe essere caricato niente, ma avresti la possibilità di dare un'occhiata al sistema e magari eliminare qualsiasi riferimento strano a programmi predisposti per essere lanciati all'avvio....auguri!

questa (quella che sto per dire) è una cosa che spero sia d'aiuto a tutti coloro che hanno problemi di virus, trojan, worm, joke e spiritelli vari nel pc :)

Ragazzi, non vi fate prendere dal panico! Di soprannaturale si è visto poco finora :rolleyes: il resto è tutto spiegabile (più o meno :D)

Per quanto riguarda questa situazione in particolare, ora non so di preciso di cosa si possa trattare. Sicuramente però si può provare ad individuare questo simpatico (?) scherzo. Come? Cercando tra le chiavi di avvio del sistema
La soluzione il 90% delle volte si può trovare lì.
Pietro70 fai cosi: scarica Hijackthis da qui http://mjc1.com/mirror/hjt/

Poi posta tutto il risultato che ti dà il programma

Sicuramente lo scoviamo il trucco ;) :) Non ti preoccupare :)

Ciao

Eraser :)

A che serve il prog?

Originariamente inviato da Pinocchio
A che serve il prog?

Serve a visualizzare tutti i processi (ma proprio tutti) che vengono caricati all'avvio del sistema ed a eliminarli. Va usato con cognizione di causa perchè potresti cancellare qualche stringa necessaria al funzionamento dell'SO con le conseguenze che puoi facilmente immaginare....

X Pietro70

Se riesci scarica e lancia anche questo programma:

http://www.spywareinfo.com/~merijn/files/cwshredder.zip

Questo è il responso HIJACKTHIS sul PC del mio amico; io non riesco a notare nulla di anomalo... se non quello SCSIACCESS.EXE che potrebbe incuriosirmi visto che il PC non ha periferiche Scsi.
Voi cosa ne pensate?

Logfile of HijackThis v1.97.7
Scan saved at 12.14.28, on 06/01/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\RTE\RTEGPRS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Documents and Settings\Gaetano\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programmi\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [RTEGPRS] "C:\Programmi\File comuni\RTE\RTEGPRS.exe" tray
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37865.1262962963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Originariamente inviato da pietro70
Questo è il responso HIJACKTHIS sul PC del mio amico; io non riesco a notare nulla di anomalo... se non quello SCSIACCESS.EXE che potrebbe incuriosirmi visto che il PC non ha periferiche Scsi.
Voi cosa ne pensate?

Logfile of HijackThis v1.97.7
Scan saved at 12.14.28, on 06/01/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\RTE\RTEGPRS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Documents and Settings\Gaetano\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programmi\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [RTEGPRS] "C:\Programmi\File comuni\RTE\RTEGPRS.exe" tray
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37865.1262962963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

non vorrei sbagliarmi vista la domestichezza con l'inglese ma mi sembra che a questo indirizzo ci sia un utente con i stessi tuoi
sintomi prova a darci un occhiata:
http://www.computing.net/security/wwwboard/forum/8532.html
http://forums.techguy.org/t188223/s4cec575af3c38b1a8ab8d09404056ae5.html

Ti devi liberare dello spyware MyWay-MyBar: disinstallalo dal pannello di controllo/installazione applicazioni.
Poi compi 1 bella pulitina con spybot aggiornato.


ScsiAccess.EXE = Virtual SCSI controller used by the Alcohol 120% software from Alcohol Software


Questo nn so cosa sia: "C:\Programmi\File comuni\RTE\RTEGPRS.exe" <-- potrebbe essere 1 prog x i cellulari ke tu hai installato???


X ciò ke ti crea tutti gli altri prob, è probabilmente 1 trojan: prova vari prog antitrojan --> a2 free è gratuito e lo trovi su w*w.emsisoft.com/en/ e poi ad es TrojanHunter ke è shareware xò e ke trovi su misec.net