|
|||||||
|
|
|
 |
|
|
Strumenti |
25-08-2007, 17:12
|
#1 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Problema Trojan Horse
Salve a tutti.
Sono tornato proprio oggi dalle vacanze...e all'arrivo l'amara sorpresa. Mentre ero via, mio padre usando il computer in non so che modo, era riuscito a prendere un Trojan (almeno immagino fosse un trojan) La scansione dell'Hikack This! mi dava questo simpatico risultato: Logfile of HijackThis v1.99.1 Scan saved at 14.58.35, on 25/08/07 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\PROGRAMMI\MESSENGERPLUS! 3\MSGPLUS.EXE C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\ANVSHELL.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMMI\SYGATE\SPF\SMC.EXE C:\WINDOWS\REGEDIT.EXE C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSIMPL.EXE C:\PROGRAMMI\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.katasearch.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [AudioHQ] ; C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe O4 - HKCU\..\Run: [documenti_personali.exe] C:\WINDOWS\SYSTEM\scansvc\trust\documenti_personali.exe O4 - HKCU\..\RunServices: [documenti_personali.exe] C:\WINDOWS\SYSTEM\scansvc\trust\documenti_personali.exe O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_11\BIN\SSV.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_11\BIN\SSV.DLL O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll ***O15 - Trusted Zone: www.katasearch.com ***O15 - Trusted Zone: www.tuttoavolonta.com ***O15 - Trusted Zone: www.foto-personali.name ***O15 - Trusted Zone: www.qoogler.com ***O15 - Trusted Zone: www.microsoft-files.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab ***O16 - DPF: {E4792F3D-760F-4F7D-9612-4DA401D88CF4} - http://www.katasearch.com/sharewke.exe ***O16 - DPF: {ACD7677D-BDB7-485E-923F-48BE06665CED} - http://www.katasearch.com/xxt.exe Ho fixato tutte le voci con l'asterisco e ho modificato la R0 togliendo il sito predefinito e reinserendo nuovamente la mia homepage di partenza. Facendo una scansione con Ad-Aware aggiornato non mi ha trovato niente, nonostante avessi dentro "Risorse del Computer" una misteriosa icona con scritto Immagini, e alla voce di registro HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run il file documenti_personali.exe con relativo collegamento c:\windows\system\scansvc\trust\documenti_personali.exe Facendo una scansione con l'Avast aggiornato mi ha rimosso un file dentro la directory scansvc ma il file documenti_personali.exe è rimasto al suo posto. Cosa posso fare? Rimuovo la directory in questione e sono a posto (avendo anche fixato le voci nell'Hijack this) oppure devo fare altro? C'è il rischio che siano già stati compiuti danni da questo trojan? Ultima modifica di olaffio : 25-08-2007 alle 17:14. |
|
|
|
25-08-2007, 18:21
|
#2 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
fai una scan con bitdefender online e vediamo cosa riesce a falciare
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
25-08-2007, 18:24
|
#3 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Dovrebbe trattarsi di questo worm quasi appena sfornato Email-Worm.Win32.Brizol.a
@wizard piacere di rivederti 
__________________
Try again and you will be luckier.
|
|
|
|
|
25-08-2007, 18:28
|
#4 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Apparentemente dovrebbe essere scomparso...ma mi è rimasto questo...
 Ora faccio una scansione con bitdefender online e vi dico... PS: grazie dell'aiuto
|
|
|
|
|
25-08-2007, 18:32
|
#5 | |
|
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3259
|
non sò se li hai fixati.....
Quote:
LOADQM.EXE,dovrebbe essere per gli aggiornamenti di msn,però se per sicurezza lo vuoi far scansionare....... OT:saluti Wiz
__________________
Opera disabilitazione script ed iframe  Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...
Ultima modifica di lancetta : 25-08-2007 alle 18:35. |
|
|
|
|
|
25-08-2007, 18:37
|
#6 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Katasearch.com è da fixare falso motore di ricerca.
__________________
Try again and you will be luckier.
|
|
|
|
|
25-08-2007, 19:48
|
#7 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Con Bitdefender ONline non ho trovato nulla di strano.
Sembrerebbe essere tutto a posto. Solo non so come togliere quella cartella di sistema "Immagini" dalle risorse del computer (ho messo l'immagine qualche post sopra) qualche idea? |
|
|
|
|
25-08-2007, 20:08
|
#8 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Sul sito della Symantec ho trovato una guida per eliminare una per una le voci del registro che vengono toccate da questo worm...
Ma nel dubbio...esiste qualche buon programma sicuro per fare un backup del registro di sistema prima di metterci le mani? |
|
|
|
|
25-08-2007, 20:22
|
#9 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Ok ce l'ho fatta...
Ho rimosso tutte le chiavi presunte incriminate...ma ho delle perplessità ancora su questa cosa... Sul sito dicono di fare ciò: Restore the following registry entries to their original values, if required: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"MinLevel" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"RecommendedLevel" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1001" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1004" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1200" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1201" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1400" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1402" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1405" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1406" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1407" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1609" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1800" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1803" = "0" Solo che non ho idea di cosa siano questi settings/zones e quale fosse il loro valore iniziale (sempre se fosse stato diverso da 0 ovviamente) Inoltre dice anche di restorare questo: HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"SuperHidden" = "0" Ma nel mio registro di sistema non appare tale voce. Forse perchè in windows 98 se non era prevista? Infine...mi è sparita la cartella di sistema "Immagini", solo per essere sostituita da una cartella di sistema "neutra", chiamata cartella di sistema , dalla forma di una normale cartella di windows, senza alcuna funzione (non si può aprire e non c'è nessun menu associato ad essa, se non taglia copia incolla ed elimina, che non funzionano). C'è il modo di toglierla o dovrà rimanere in eterno lì come ricordo del trojan? :P http://img511.imageshack.us/img511/3897/uff2xv6.jpg Ultima modifica di olaffio : 25-08-2007 alle 20:29. |
|
|
|
|
25-08-2007, 20:37
|
#10 |
|
Senior Member
Iscritto dal: Apr 2007
Messaggi: 895
|
Nel mio registro ho dei valori un po' diversi... non è detto comunque che siano settati al meglio. Non le ho mai toccate finora quelle chiavi.
Se vuoi, dopo cena, ti posto i valori che ho impostati. |
|
|
|
|
25-08-2007, 20:42
|
#11 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Ti ringrazio molto
|
|
|
|
|
25-08-2007, 21:15
|
#12 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
25-08-2007, 21:45
|
#13 | |
|
Senior Member
Iscritto dal: Apr 2007
Messaggi: 895
|
Come promesso, ti posto i valori delle mie chiavi e, per valori, intendo proprio quelli esadecimali che appaiono dentro alla finestrella se clicchi due volte sulla chiave, capito?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"MinLevel" = "10000" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"RecommendedLevel" = "10000" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1001" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1004" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1200" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1201" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1400" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1402" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1405" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1406" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1407" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1609" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1800" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1803" = "0" HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "1" HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"SuperHidden" = "1" Quote:
|
|
|
|
|
|
25-08-2007, 22:01
|
#14 | |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Quote:
Ho controllato le chiavi. A parte una corrispondono alle mie. Proverò magari a cambiare quella...grazie Direi che ormai dovrebbe essere tutto risolto...a parte l'icona chiamata cartella di sistema che non vuole andarsene... |
|
|
|
|
|
26-08-2007, 19:20
|
#15 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Dunque...ho fatto una pulizia del registro con regseeker e quella cartella continua a essere lì...dove non dovrebbe.
Mi viene il dubbio che sia una cointroindicazione del virus, ma sinceramente mi sembra strano di avere ancora qualcosa di virale, tanto che non ho sintomi di nessun tipo e da controlli risulta tutto pulito. Qualche idea su come togliere quella cosa oppure me la devo tenere? Se è innocua (come penso) in fondo non dovrebbe essere un problema anche se rimane lì giusto? |
|
|
|
|
29-08-2007, 01:26
|
#16 |
|
Senior Member
Iscritto dal: Mar 2004
Messaggi: 861
|
Ciao!
Sulla base della segnalazione di Chill-Out, ho trovato alcune info su quel worm: http://www.pandasecurity.com/homeuse...idvirus=170422 Comunque ti consiglio anche una scansione con Spybot SD e AdAware SE aggiornati.
__________________
S’i’ fosse fuoco, arderei ‘l mondo; s’i’ fosse vento, lo tempestarei, s’i’ fosse acqua, i’ l’annegherei; s’i’ fosse Dio, mandereil’ en profondo. Ultima modifica di 12pippopluto34 : 29-08-2007 alle 01:30. |
|
|
|
|
30-08-2007, 00:33
|
#17 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Guardando su quel sito mi sono reso conto di avere questo nel registro di sistema:
 nella posizione HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\katasearch.com e analogamente in HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\katasearch.com Cosa sono? Li posso togliere senza correre rischi oppure devo fare altro? PS: Adaware SE aggiornato non trova nulla PPS: Avevo anche un Cookie che faceva riferimento a Katasearch che ho appena tolto |
|
|
|
|
30-08-2007, 01:13
|
#18 | |
|
Senior Member
Iscritto dal: Mar 2004
Messaggi: 861
|
Quote:
http://www.hwupgrade.it/forum/showthread.php?p=17415199
__________________
S’i’ fosse fuoco, arderei ‘l mondo; s’i’ fosse vento, lo tempestarei, s’i’ fosse acqua, i’ l’annegherei; s’i’ fosse Dio, mandereil’ en profondo. |
|
|
|
|
|
03-09-2007, 00:04
|
#19 |
|
Member
Iscritto dal: Aug 2004
Messaggi: 102
|
Ora mi sono trovato pure questo...
O16 - DPF: {BD0D1F18-5561-11DC-A0D9-692F56D89593} - http://sindako.info/down/d1001.exe L'ho già fixato...qualcuno sa di cosa poteva trattarsi? |
|
|
|
|
04-09-2007, 21:32
|
#20 | |
|
Senior Member
Iscritto dal: Mar 2004
Messaggi: 861
|
Quote:
Magari tieni d'occhio con un buon firewall eventuali chiamate verso l'esterno per vedere se c'e' qualcosa di anomalo.
__________________
S’i’ fosse fuoco, arderei ‘l mondo; s’i’ fosse vento, lo tempestarei, s’i’ fosse acqua, i’ l’annegherei; s’i’ fosse Dio, mandereil’ en profondo. |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:23.
