brlf [Archivio] - Hardware Upgrade Forum

NA01

19-05-2004, 15:52

qualcuno sa come la symantec chiama questo virus?
volevo provare la rimozione manuale, avg, lo trova (insieme a tal small) ma non lo rimuove :cry:

ciao

wgator

19-05-2004, 23:00

Originariamente inviato da NA01
qualcuno sa come la symantec chiama questo virus?
volevo provare la rimozione manuale, avg, lo trova (insieme a tal small) ma non lo rimuove :cry:

ciao

Sorry, nessuna informazione, neppure il mitico google lo conosce :(
Sei sicuro di averlo scritto bene?

NA01

20-05-2004, 06:51

così mi è stato comunicato, non è sul mio pc.....

ciao

Ultrastito

21-05-2004, 13:52

Il virus si chiama downloader.small scusate probabilmente c'è stato 1 malinteso...

palimmo

21-05-2004, 17:03

Originariamente inviato da Ultrastito
Il virus si chiama downloader.small scusate probabilmente c'è stato 1 malinteso...

anch'io ho questo virus (o almeno penso)......

perchè mentre navigo in internet mi scollega e tenta di collegarmi ad altro numero.
Che fare?:cry:

NA01

21-05-2004, 18:48

Originariamente inviato da palimmo
anch'io ho questo virus (o almeno penso)......

perchè mentre navigo in internet mi scollega e tenta di collegarmi ad altro numero.
Che fare?:cry:
in questo caso forse adware è più indicato di avg!
sarebbe un dialer, non un virus ;)

ciao

MrOZ

21-05-2004, 19:26

dovrebbe essere un trojan.downloader della famiglia degli small.x od una sua variante

palimmo

21-05-2004, 20:40

Originariamente inviato da MrOZ
dovrebbe essere un trojan.downloader della famiglia degli small.x od una sua variante

infatti!
avg me lo descriveva proprio così.
Ma come eliminarlo????
Ad-aware è già installato ma non è in grado di rimuoverlo.
Ho provato anche con a2 e trojan remover ma nulla.....:muro:

Ultrastito

22-05-2004, 14:52

Allora il virus è proprio quello menzionato da MrOZ 1 downloader della famiglia small.x proprio lui!!A me xo nn tenta di disconnettersi in compenso il sistema è lentissimo e IE nn sempre prende l'indirizzo quando do l'invio.

Inoltre prima AVG nn lo correggeva ora si come mai??Poi una volta corretto mi riconnetto qualke volta e lo ritrovo come mai??

MrOZ

22-05-2004, 15:13

I downloader sono trojan che modificano il registro ed il file di host ed aggiungono file in windows in modo da collegarsi a siti web o ftp di dubbia natura in modo da scaricare altri file dannosi e più pericolosi.

Provate l'av in modalità provvisoria, provate spybot 1.3 aggiornato, provate qualche av online tipo il trendmicro o il panda activescan...

...infine se non ve ne siete liberati postate un log di hijackthis.

palimmo

22-05-2004, 15:48

Originariamente inviato da MrOZ
I downloader sono trojan che modificano il registro ed il file di host ed aggiungono file in windows in modo da collegarsi a siti web o ftp di dubbia natura in modo da scaricare altri file dannosi e più pericolosi.

Provate l'av in modalità provvisoria, provate spybot 1.3 aggiornato, provate qualche av online tipo il trendmicro o il panda activescan...

...infine se non ve ne siete liberati postate un log di hijackthis.

Incomincio col postarti un log di bazooka scanner sperando possa essere utile:

****************************************
Bazooka Spyware Scanner v1.13.01
http://www.kephyr.com/spywarescanner/
http://www.kephyr.com/spywarescanner/library/
[email protected]
Log created 15:45:10.
OS: Windows NT 5.1
Database version: 2.020000
Database format version: 1.020000
Database date: 20040514
Current date: 2004-05-22 15:45

****************************************
Result when scanning:

MS Media Player GUID 404.888.000
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Settings\Client ID
http://www.kephyr.com/spywarescanner/library/msmediaplayerguid/index.phtml

****************************************
Auto start entries:
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\desktop.ini
D:\Programmi\Digisoft AntiDialer\AntiDialer.exe
D:\Programmi\Microsoft Office\Office10\OSA.EXE -b -l
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\desktop.ini
D:\Programmi\Digisoft AntiDialer\AntiDialer.exe
D:\Programmi\Microsoft Office\Office10\OSA.EXE -b -l
C:\Documents and Settings\Tamburello!\Menu Avvio\Programmi\Esecuzione automatica\desktop.ini
C:\Documents and Settings\Tamburello!\Menu Avvio\Programmi\Esecuzione automatica\desktop.ini

Go here to analyse the startup entries and the associated files:
http://www.kephyr.com/filedb/index.php

****************************************
Run entries:
SoundMan SOUNDMAN.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SoundMan

zBrowser Launcher D:\Programmi\Logitech\iTouch\iTouch.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\zBrowser Launcher

freesurfer D:\Programmi\Free Surfer\fs20.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\freesurfer

NvCplDaemon RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon

nwiz nwiz.exe /install
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\nwiz

NeroCheck C:\WINDOWS\system32\NeroCheck.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\NeroCheck

avast! D:\PROGRA~1\Avast4\ashDisp.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\avast!

ashMaiSv D:\PROGRA~1\Avast4\ashmaisv.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ashMaiSv

browser C:\WINDOWS\daemon.exe /i aolnc
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\browser

CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE

MSMSGS "C:\Programmi\Messenger\msmsgs.exe" /background
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSMSGS

Go here to analyse the run entries and the associated files:
http://www.kephyr.com/filedb/index.php

****************************************
Browser helper objects:

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} not set D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

****************************************
Toolbars:

{8E718888-423F-11D2-876E-00A0C9082467} C:\WINDOWS\System32\msdxm.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{8E718888-423F-11D2-876E-00A0C9082467}

{01E04581-4EEE-11D0-BFE9-00AA005B4383} C:\WINDOWS\System32\browseui.dll
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{01E04581-4EEE-11D0-BFE9-00AA005B4383}

{01E04581-4EEE-11D0-BFE9-00AA005B4383} C:\WINDOWS\System32\browseui.dll
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{01E04581-4EEE-11D0-BFE9-00AA005B4383}

{0E5CBF21-D15F-11D0-8301-00AA005B4383} C:\WINDOWS\system32\SHELL32.dll
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}

{4D5C8C25-D075-11d0-B416-00C04FB90376} C:\WINDOWS\System32\shdocvw.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}

{30D02401-6A81-11D0-8274-00C04FD5AE38} C:\WINDOWS\System32\browseui.dll
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}

{32683183-48a0-441b-a342-7c2a440a9478} C:\WINDOWS\System32\browseui.dll
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}

{EFA24E62-B078-11D0-89E4-00C04FC9E26E} C:\WINDOWS\System32\shdocvw.dll
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}

****************************************
All processes:

[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
logonui.exe
spoolsv.exe
explorer.exe
aswUpdSv.exe
SOUNDMAN.EXE
iTouch.exe
ashServ.exe
fs20.exe
ashDisp.exe
ashMaiSv.exe
ctfmon.exe
msmsgs.exe
AntiDialer.exe
SAgent2.exe
mdm.exe
nvsvc32.exe
daemon.exe
svchost.exe
fxssvc.exe
winamp.exe
IEXPLORE.EXE
spywarescanner.exe

Go here to analyse the running processes:
http://www.kephyr.com/filedb/index.php

****************************************
Internet Explorer Settings:

Default_Page_URL http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL

Default_Search_URL http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL

Local Page C:\WINDOWS\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page

Search Bar http://server224.smartbotpro.net/7search/?hklm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Bar

Search Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page

Start Page http://default-homepage-network.com/start.cgi?hklm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page

Use Search Asst no
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Use Search Asst

SearchAssistant http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

CustomizeSearch http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

http://
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

www http://
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\www

provider
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\provider

Local Page C:\WINDOWS\System32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page

Search Bar http://server224.smartbotpro.net/7search/?hkcu
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar

Search Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page

Start Page about:blank
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

Use Search Asst no
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Use Search Asst

****************************************

palimmo

22-05-2004, 18:46

Originariamente inviato da MrOZ
I downloader sono trojan che modificano il registro ed il file di host ed aggiungono file in windows in modo da collegarsi a siti web o ftp di dubbia natura in modo da scaricare altri file dannosi e più pericolosi.

Provate l'av in modalità provvisoria, provate spybot 1.3 aggiornato, provate qualche av online tipo il trendmicro o il panda activescan...

...infine se non ve ne siete liberati postate un log di hijackthis.

Ecco il log di hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 18.36.18, on 22/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programmi\Avast4\aswUpdSv.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programmi\Logitech\iTouch\iTouch.exe
D:\Programmi\Avast4\ashServ.exe
D:\Programmi\Free Surfer\fs20.exe
D:\PROGRA~1\Avast4\ashDisp.exe
D:\PROGRA~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
D:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
c:\programmi\internet explorer\iexplore.exe
D:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\TAMBUR~1\IMPOST~1\Temp\Rar$EX00.485\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hkcu
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [freesurfer] D:\Programmi\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] D:\PROGRA~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [browser] C:\WINDOWS\daemon.exe /i aolnc
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Digisoft AntiDialer.lnk = D:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - D:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: Free Surfer (HKLM)
O9 - Extra 'Tools' menuitem: Free Surfer (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FFFF0029-0001-101A-A3C9-08002B2F49FB} - http://www.appunti.per-studenti.com/8ALL147.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C7042EB-8732-460A-ACAD-0A7AA948A28F}: NameServer = 212.245.255.2

:cry:

MrOZ

22-05-2004, 20:18

anche qui???? :eek: :eek:

eraser

22-05-2004, 20:21

palimmo (come già detto nell'altro thread) ti pregherei di non mettere il tuo log in ogni thread

basta il tuo di thread per risolvere il tuo problema :rolleyes:

Ciao

Eraser :)

palimmo

24-05-2004, 15:17

Originariamente inviato da eraser
palimmo (come già detto nell'altro thread) ti pregherei di non mettere il tuo log in ogni thread

basta il tuo di thread per risolvere il tuo problema :rolleyes:

Ciao

Eraser :)

scusami, hai ragione.... Ho usato un metodo "prepotente" per far conoscere il mio problema. Merito questo richiamo...

comunque il problema persiste, ogni connessione è realmente instabile.....:cry:
ora proverò come detto da MrOz scaricando CWshredder e vi farò sapere.....

scusatemi e grazie ancora!