Ragazzi non so come ma mi sono beccato sto troian di merda!! Mi ha fottuto il norton...o meglio..il norton non l'ha visto.
Ho installato Avast e me l'ha beccato subito...solo che mi ha infettato una dll Ole32ws.dll...speriamo non succedano casini :cry: :cry:

ragazzi mi ha trovato anche questo Win32:Dialer-K !!:eek:

e non riesce a riparare i files :cry:

In giro non trovo niente...non ne parla nessuno di sti 2 virus!!

Ancora non ho riavviato..voglio vedere cosa succede!

Allora...sembra essere tutto risolto.
Avast ha fatto il suo dovere (anche se non ha riparato quei files, ma probabilmente era solo cacca).

Mi sento di avvertirvi che sono due virus stronzi...il norton non li vede e anzi mi sa che si era infettato!
In giro del primo se ne comincia a parlare..dil secondo (W32:Dialer.k) non ho trovato quasi niente.

Come accorgersi: bè nel mio caso tramite il firewall ho scoperto una regolare uscita di posta, per la precisioni ogni 31 minuti partivano mail...usava il rever smpt.hotpop.com.

Ragazzi..state in campana. Non ho capito assolutamente come ho fatto a prenderli dietro un firewall hardware del router, uno sw e un antivirus!!
L'unica cosa che fi pensare è che ho ricevuto 2 attacchi sulla porta TCP che uso per mandare e-mule..non vorrei che il p2p sia la causa :eek:

Fatemi sapere cosa ne pensate.

Ciauz

Ciao,

grazie per le segnalazioni, comunque per sicurezza ti conviene analizzare il tuo sistema con hijackthis, magari aiutandoti con questo: http://hijackthis.de/index.php?langselect=english

Ecco il log:


Logfile of HijackThis v1.98.2
Scan saved at 19.48.02, on 02/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\Programmi\Motherboard Monitor 5\MBM5.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\bpk.exe
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\Unforgiven Organizer\UnOrg.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
E:\Seti\SetiDriver\Driver.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
E:\Seti\SetiDriver\SetiSpy.exe
E:\Seti\SetiDriver\SETI.exe
C:\Programmi\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\eMule.de\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Mercurio\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\bpkwb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [MBM 5] "C:\Programmi\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Remote_Agent] C:\Programmi\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [Agent] C:\Programmi\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\Programmi\Babylon\Babylon.exe
O4 - HKCU\..\Run: [Unforgiven Organizer#Autostart] "C:\Programmi\Unforgiven Organizer\UnOrg.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Collegamento a Driver.lnk = E:\Seti\SetiDriver\Driver.exe
O4 - Startup: Collegamento a SetiSpy.lnk = E:\Seti\SetiDriver\SetiSpy.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://netphone.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab



c'è quel bpk.exe che non so cos'è...per il resto mi sembra ok..cosa dici?

Ciao,

si, in effetti controlla bene bpk.exe e bpkwb.dll sembrano essere un keylogger :oink:

C:\WINDOWS\System32\bpk.exe
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\bpkwb.dll

Io le ucciderei senza esitazioni :p

ma allora perchè Avast non lo becca?

hai ragione...è un keylogger!!

ok..adesso ho ripulito tutto..speriamo bene.

Ciauz ;)

Ragazzi..ce l'ho ancora. :eek:
Avast mi ha ritrovato Win32:Trojan-gen però questa volta in:

C:\System Volume Information\_restore{57D69370-659B-45B6-A9E3-1246D23E4AC5}\RP167\A0048540.dll

Come mi devo muovere? Lo posso schiantare o corro il rischio di fare danni??
AIUTOOO!!!:eek: :( :cry:

Originariamente inviato da mercurio76
Ragazzi..ce l'ho ancora. :eek:
Avast mi ha ritrovato Win32:Trojan-gen però questa volta in:

C:\System Volume Information\_restore{57D69370-659B-45B6-A9E3-1246D23E4AC5}\RP167\A0048540.dll

Come mi devo muovere? Lo posso schiantare o corro il rischio di fare danni??
AIUTOOO!!!:eek: :( :cry:

Ciao,


:) la prima regola quando si becca un virus è quella di disattivare il ripristino di configurazione del sistema (da pannello di controllo)

Infatti è li dentro :D

Se lo disattivi vedrai che sparisce del tutto.

Per sicurezza cancella anche tutti i file temporanei e svuota la cartella della cache di internet (i temporanei di internet)

infatti è la prima cosa che ho fatto...speriamo bene.
Adesso cancello anche i file temporanei di explorer..

grazie..speriamo che sia tutto ok...ma voi sto virus l'avete mai incontrato?

Ciauz

...però adesso come faccio e vedere se il virus c'è ancora? Se scansiono la cartella incriminata (C:\System Volume Information\) Avast mi dice che non ha i diriiti di accesso! E allora come ha fatto la prima volta a beccare il virus??!
Ho provato anche in modalità provvisoria ma niente da fare.
Adesso ho riattivato il ripristino ma come sono sicuro che non ci sia + niente?

Ciauz ;)