|
|||||||
|
|
|
 |
|
|
Strumenti |
17-07-2005, 15:20
|
#1 |
|
Member
Iscritto dal: Aug 2002
Messaggi: 106
|
trojan Darkmoon come si cancella?
secondo NOD32 sono infettato dal trojan darkmoon sito nella memoria operativa del pc e non da lui è cancellabile.....come devo fare?
grazie al forum cacao |
|
|
|
17-07-2005, 15:23
|
#2 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
hai provato in modalità provvisoria??
con il ripristino di sistema disabilitato? cmq mi daresti il nome esatto del file  prova a fare uno scan online con panda http://www.pandasoftware.com/product..._principal.htm o microtrend http://housecall.trendmicro.com/ |
|
|
|
|
17-07-2005, 15:47
|
#3 | |
|
Senior Member
Iscritto dal: May 2002
Messaggi: 3126
|
Quote:
ciao sei infettatoda una backdoor un trojan che indirizza l accesso remoto ad un ip sospetto e la porta resta in ascolto in attesa delle informazioni che arrivano da internet sono i trojan che odio di più non sai mai con chi hai a che fare  vai quà e leggi tutto è in spagnolo ma con un pò di fortuna potrai debellarlo tranquillamente http://listas.vsantivirus.com/lista/...e/861/msg/878/alla voce punto 2 DarkMoon. Caballo de Troya de acceso remoto spiega come rimuoverlo e fare i cambiamenti del registro di windows. è una brutta bestia.. 
|
|
|
|
|
|
17-07-2005, 15:49
|
#4 | |
|
Senior Member
Iscritto dal: May 2002
Messaggi: 3126
|
Quote:
|
|
|
|
|
|
17-07-2005, 16:00
|
#5 | |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
Quote:
|
|
|
|
|
|
17-07-2005, 17:41
|
#6 |
|
Member
Iscritto dal: Aug 2002
Messaggi: 106
|
io ho un router con firewall hardware in piu avevo configurato la scudo di microsoft (attive solo le porte di emule e qualche altro programma ) e ultimamente mi trovo sempre disattivato....?!?!? c'e sicuramente qualche canalglia che lo disinserisce...
grazie forum.. cacao |
|
|
|
|
17-07-2005, 17:43
|
#7 |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Posta il log di hijackthis e controlliamo.
|
|
|
|
|
17-07-2005, 18:14
|
#8 |
|
Senior Member
Iscritto dal: May 2002
Messaggi: 3126
|
cacao meravigliao
|
|
|
|
|
17-07-2005, 22:55
|
#9 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
|
|
|
|
|
|
17-07-2005, 23:08
|
#10 |
|
Member
Iscritto dal: Aug 2002
Messaggi: 106
|
hijackthis dove lo trovo?
cacao |
|
|
|
|
17-07-2005, 23:11
|
#11 | |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Quote:
Lo apri e premi il tasto ''do a system scan'' e poi incolli il log nel forum. |
|
|
|
|
|
18-07-2005, 07:13
|
#12 |
|
Member
Iscritto dal: Aug 2002
Messaggi: 106
|
OK grazie, oggi alle 13 sarà fatto...
cacao |
|
|
|
|
18-07-2005, 11:36
|
#13 |
|
Senior Member
Iscritto dal: Jun 2003
Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002
Messaggi: 4426
|
darkmoon è un rat di nuova generazione ed è molto recente... è utilizzato dagli hacker/lamer x entrare in un sistema.
ma ti 6 autoinfettato provando quel prog o ti è arrivato dall'esterno??? |
|
|
|
|
18-07-2005, 12:06
|
#14 |
|
Member
Iscritto dal: Aug 2002
Messaggi: 106
|
gli ho fatto fare anche una scansione con:
http://housecall.trendmicro.com/ e pare abbia avuto qualche effetto mentre con: http://www.pandasoftware.com/product..._principal.htm il portatile andava in loop... ma veniamo a noi: Logfile of HijackThis v1.99.1 Scan saved at 12.59.15, on 18/07/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Ahead\InCD\InCDsrv.exe C:\Programmi\Intel\Wireless\Bin\EvtEng.exe C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe C:\Programmi\Eset\nod32krn.exe C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\VdCap03C\BisonCom.exe C:\Programmi\ASUS\ASUS Live Update\ALU.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe C:\Programmi\Ahead\InCD\InCD.exe C:\Programmi\ASUSTek\ASUSDVD\PDVDServ.exe C:\Programmi\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programmi\ATnotes\ATnotes.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\cacao\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/home/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [BisonCom] C:\WINDOWS\VdCap03C\BisonCom O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTek\ASUSDVD\PDVDServ.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [System32] lExplorer.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe O4 - HKCU\..\Run: [Master Converter] "D:\PROGRA~1\AERMEC\MASTER~1\aermc.exe" /Autolaunch O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe qual è la diagnosi? cacao |
|
|
|
|
18-07-2005, 15:06
|
#15 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
il log è ok
|
|
|
|
|
18-07-2005, 15:54
|
#16 |
|
Member
Iscritto dal: Aug 2002
Messaggi: 106
|
OK grazie.. a casa farò un'ulteriore scansione con NOD32.
Il trojan credo di averlo preso con heart google pro trovato con emule, il programma non funzia in compenso ti installa un bel virus... quello che mi fa specie e che nod non l'abbia verificato appena scaricato, me lo ha lasciato aprire senza avvertirmi di nulla...bohhh... ciao a tutti e grazie cacao |
|
|
|
|
18-07-2005, 16:12
|
#17 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Io fixerei questa linea:
04 - HKLM\..\Run: [System32] lExplorer.EXE non dovrebbe stare in quella posizione |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:20.
