View Full Version : Ebayfraud.Q virus. Aiuto!
Ciao.
Ho cancellato questo file, in Eudora, anche dal trash, ma AntiVir me lo rida' sempre.
Come faccio a toglierlo definitivamente?
Grazie!
AntiVir mi da' questo nel report:
--> Mailbox_[From: ""nome e emaildel mittente del virus""
][Subject: Re: Question for item #4706722631 - METALLICA AIN T MY BITCH VERY RARE MEXICAN PROMO CD ].mim
[DETECTION] Contains signature of the PHISH/Ebayfraud.Q virus
ArchiveType: MIME
NOTE! No files to extract.
io ti consiglio di non scaricare la posta senza prima controllarla,in questo modo eviti di essere infettato.A questo punto prova a scaricare McAfee solo scanner (http://dl.codecpack.nl/m/mcafee_20050819.exe)
e a fare una scansione.
Poi magari anche questo:
http://download.ewido.net/ewido-setup.exe
FOXYLADY
20-08-2005, 22:36
io ti consiglio di non scaricare la posta senza prima controllarla,in questo modo eviti di essere infettato.A questo punto prova a scaricare McAfee solo scanner (http://dl.codecpack.nl/m/mcafee_20050819.exe)
e a fare una scansione.
Poi magari anche questo:
http://download.ewido.net/ewido-setup.exe
Ciao
Quel mcafee solo scanner è il vecchio stinger o è qualcosa di diverso?
è il mcafee intero senza real time;tipo bitdefender free.
FOXYLADY
20-08-2005, 22:39
è il mcafee intero senza real time;tipo bitdefender free.
Grazie, non lo conoscevo, adesso mi hai messo adosso la curiosità di provarlo :D
Ciao
fa parte dei miei attrezzi quando conoscenti mi chiedono di disinfettargli il pc :D
dovrebbe essere quello che KAV chiama PSWtool.html.fraud.gen e che è nascosto all'interno dell'email. il file finisce sempre in Impostazioni Locali/Temp ed ha estensione .tmp.
mi arrivano di continuo email del genere con mittente @yahoo.com
dovrebbe essere quello che KAV chiama PSWtool.html.fraud.gen e che è nascosto all'interno dell'email. il file finisce sempre in Impostazioni Locali/Temp ed ha estensione .tmp.
mi arrivano di continuo email del genere con mittente @yahoo.com
Dovrebbe essere una roba di phishing, giusto?
Boh, adesso sto scaricvando ewido e vediamo.
Comunque, nella directory winnt\temp\ non trovo ne ebayfraud ne pswtool...
andorra24
21-08-2005, 13:51
Eventualmente posta un log di hijackthis
Ewido non mi da niente (solo 5 cookies) su sto "virus" /nome completo e' PHISH/Ebayfraud.Q) . Anche perche' non riesce a scansionare dentro il fil in.mbx di Eudora.
Il log di Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 16.03.12, on 21/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
d:\CPUCooL\CooLSrv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\ADSLSE~1.IT\ADSLTI~1.IT\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINNT\explorer.exe
D:\Download\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.virgilio.it/adsl/01.minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/adsl/01.adsl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NBJ] "D:\nero6\Nero BackItUp\NBJ.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/adsl/01.adsl
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.citylink.co.nz//AxisCamControl.ocx
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{285F5A41-875C-4715-8415-A420B40F85EB}: NameServer = 193.70.192.25 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{285F5A41-875C-4715-8415-A420B40F85EB}: NameServer = 193.70.192.25 193.70.152.25
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - d:\CPUCooL\CooLSrv.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\ADSLSE~1.IT\ADSLTI~1.IT\app\pppoeservice.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
Ma poi... Ewido, Antivir, a2, possono tutti convire insieme?
FOXYLADY
21-08-2005, 15:23
Ewido non mi da niente (solo 5 cookies) su sto "virus" /nome completo e' PHISH/Ebayfraud.Q) . Anche perche' non riesce a scansionare dentro il fil in.mbx di Eudora.
Il log di Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 16.03.12, on 21/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
d:\CPUCooL\CooLSrv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\ADSLSE~1.IT\ADSLTI~1.IT\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINNT\explorer.exe
D:\Download\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.virgilio.it/adsl/01.minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/adsl/01.adsl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NBJ] "D:\nero6\Nero BackItUp\NBJ.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/adsl/01.adsl
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.citylink.co.nz//AxisCamControl.ocx
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{285F5A41-875C-4715-8415-A420B40F85EB}: NameServer = 193.70.192.25 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{285F5A41-875C-4715-8415-A420B40F85EB}: NameServer = 193.70.192.25 193.70.152.25
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - d:\CPUCooL\CooLSrv.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\ADSLSE~1.IT\ADSLTI~1.IT\app\pppoeservice.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
Ma poi... Ewido, Antivir, a2, possono tutti convire insieme?
Il tuo log sembra pulito.
Prova a dare una ripulita a tutti i file temporanei usando crapcleaner
http://www.ccleaner.com/
e fai una scansione online qui
http://www.bitdefender.com/scan8/ie.html
Per quanto riguarda antivir, ewido e A2 possono convivere, però ti consiglio di tenere attivo in tempo reale solo antivir.
Ciao
andorra24
21-08-2005, 15:45
Queste 2 voci mi insospettiscono:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
se queste impostazioni sono state messe da te lasciale, se non le hai messe tu allora fixale perche' potrebbero essere legate a parassiti/hijack.
Queste 2 voci mi insospettiscono:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
se queste impostazioni sono state messe da te lasciale, se non le hai messe tu allora fixale perche' potrebbero essere legate a parassiti/hijack.
in genere le mette spybot :)
andorra24
21-08-2005, 16:22
in genere le mette spybot :)
Lo so che le puo' mettere spybot ma puo' anche metterle un parassita o un hijack. Per questo gli ho chiesto se e' stato lui a mettere quelle impostazioni. Dai un occhiata a questo link alla voce 06: http://www.spywareinfo.com/~merijn/htlogtutorial.html#o6
Allora... in Spybot -> Utilita' -> Regolazioni IE, "blocca l'impostazione della pagina iniziale di IE..." NON e' segnato. Quindi devo fixare? (Non uso IE, ma Firefox)
andorra24
22-08-2005, 18:12
Allora... in Spybot -> Utilita' -> Regolazioni IE, "blocca l'impostazione della pagina iniziale di IE..." NON e' segnato. Quindi devo fixare? (Non uso IE, ma Firefox)
Si fixa pure. ;)
Ok, fixato.
Pulito con ccleaner... 460Mb.... gli faccio anche "risolvere i problemi"?
Poi faccio bitdefender e MacAfee solo scanner... con un 56k e' un po' dura...
Comunque il file sospetto e' in quel file di Eudora, "in.mbx", perche' AntiVir non puo' toglierlo? cavolo.
Ciao,
prova anche con "smitrem" potrebbe fare al caso....
Occhio che dopo l'uso del programma ti setta tutto stile win 2000, devi reimpostare stile win xp
Lo trovi qui: http://forums.techguy.org/showthread.php?p=2739695&mode=threaded
Bitdefender non ha trovato nulla... provero' McAfee?
Mi servono antivirus che testano nei file di email (bitdefender lo fa e non ha trovato niente.... mi sa che le euristiche al massimo livello in AntiVir han cannato sta volta, no?)
THX TO ALL!
:)
MacAfee non ha rilevato niente...
ora provo il metodo di wgator... e se nemmeno quello fa qualcosa... allora e' AntiVir che sbaglia.
Mi terro' il sospetto... on voglio dare l'emai a panda...
andorra24
23-08-2005, 21:54
Mi terro' il sospetto... on voglio dare l'emai a panda...
Ehm... chi ti dice che devi dare per forza una email esistente? :p
Ehm... chi ti dice che devi dare per forza una email esistente? :p
...ehm... non ci avevo pensato...
:)
Allora faccio cosi'. Ho eliminato tutto Eudora, con file in.mbx compreso... e cissenefrega dei messaggi vecchi...
Ora reinstallo Eudora e mi rifaccio un po' di scan. Con Panda bisogna restare connessi? Anche con Bitdefender? o posso scollegarmi una volta partito l'antivirus?
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.