Trojan BEAST Remote access

oivilis · 01-08-2005, 22:06

il microsoft antispyware mi rileva ke ho questo...e ogni volta ke lo vado ad eliminare al riavvio del pc mi ricompare sempre...
qualcuno sa di cosa si tratti?? e dei suoi effetti???

matteo1 · 01-08-2005, 22:25

da quello che ho letto è un trojan molto tosto;prova questo programma trial:
http://www.trojanhunter.com/products/TrojanHunter.exe
che promette di eliminarlo
oppure leggi qui:
http://search.symantec.com/custom/us/query.html

GiacoXp · 01-08-2005, 22:26

prova ad avviare la scansione da modalità provvisoria, a fare una bella pulizia del reg e magari a postare il log di HiThisJack

fammi sapere

oivilis · 03-08-2005, 10:14

ora ke ho messo trojan hunter ad ogni avvio di windows si ripresenta e viene bloccato subito...cmq anke facendo la scansione in provvisoria (ke tra l'altro nn lo carica all'avvio),eliminando manualmente in file mshost.exe... ad ogni riavvio del sistema in midalità normale si ricarica sempre...
dopo ke trojan hunter me lo blocca all'avvio è cosi:

Logfile of HijackThis v1.99.1
Scan saved at 10.10.28, on 03/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\eMule.de\emule.exe
C:\Documents and Settings\Silvio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\ypager.exe" -quiet
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://it.msnusers.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{267D36D6-FE55-40AC-8819-15CE3EA345E7}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{267D36D6-FE55-40AC-8819-15CE3EA345E7}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CS2\Services\Tcpip\..\{267D36D6-FE55-40AC-8819-15CE3EA345E7}: NameServer = 130.244.127.161 130.244.127.169
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

se levo trojan hunter mi carica anke il file mshost nei processi e microsoft antispyware mi dice ke è quello il trojan...

andorra24 · 03-08-2005, 10:32

Conosci queste 2 voci:
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
Se non le conosci fixale.
Ti consiglierei anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe

oivilis · 04-08-2005, 14:10

Quote:

Originariamente inviato da andorra24

Conosci queste 2 voci:
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
Se non le conosci fixale.
Ti consiglierei anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe

pare ke con quel programma lo definitivamente eliminato xkè nn mi ricompare +

ottimo software,però sembra un po pesantuccio

01-08-2005, 22:06	#1
oivilis Senior Member Iscritto dal: Nov 2001 Città: Chieti Messaggi: 1109	Trojan BEAST Remote access il microsoft antispyware mi rileva ke ho questo...e ogni volta ke lo vado ad eliminare al riavvio del pc mi ricompare sempre... qualcuno sa di cosa si tratti?? e dei suoi effetti???

01-08-2005, 22:26	#3
GiacoXp Senior Member Iscritto dal: Sep 2004 Città: Brescia Messaggi: 6574	prova ad avviare la scansione da modalità provvisoria, a fare una bella pulizia del reg e magari a postare il log di HiThisJack fammi sapere __________________

01-08-2005, 22:25	#2
matteo1 Senior Member Iscritto dal: Jun 2005 Città: in lombardia Messaggi: 8414	da quello che ho letto è un trojan molto tosto;prova questo programma trial: http://www.trojanhunter.com/products/TrojanHunter.exe che promette di eliminarlo oppure leggi qui: http://search.symantec.com/custom/us/query.html

03-08-2005, 10:14	#4
oivilis Senior Member Iscritto dal: Nov 2001 Città: Chieti Messaggi: 1109	ora ke ho messo trojan hunter ad ogni avvio di windows si ripresenta e viene bloccato subito...cmq anke facendo la scansione in provvisoria (ke tra l'altro nn lo carica all'avvio),eliminando manualmente in file mshost.exe... ad ogni riavvio del sistema in midalità normale si ricarica sempre... dopo ke trojan hunter me lo blocca all'avvio è cosi: Logfile of HijackThis v1.99.1 Scan saved at 10.10.28, on 03/08/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe C:\Programmi\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programmi\MSN Messenger\MsnMsgr.Exe C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe C:\Programmi\eMule.de\emule.exe C:\Documents and Settings\Silvio\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.2\THGuard.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\ypager.exe" -quiet O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://it.msnusers.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{267D36D6-FE55-40AC-8819-15CE3EA345E7}: NameServer = 130.244.127.161 130.244.127.169 O17 - HKLM\System\CS1\Services\Tcpip\..\{267D36D6-FE55-40AC-8819-15CE3EA345E7}: NameServer = 130.244.127.161 130.244.127.169 O17 - HKLM\System\CS2\Services\Tcpip\..\{267D36D6-FE55-40AC-8819-15CE3EA345E7}: NameServer = 130.244.127.161 130.244.127.169 O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe se levo trojan hunter mi carica anke il file mshost nei processi e microsoft antispyware mi dice ke è quello il trojan...

03-08-2005, 10:32	#5
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Conosci queste 2 voci: O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx Se non le conosci fixale. Ti consiglierei anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe

Strumenti
Mostra una versione stampabile Invia questa pagina per email