|
|||||||
|
|
|
 |
|
|
Strumenti |
17-09-2007, 21:54
|
#1 |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
Ho bisognio di aiuto per virus...
Faccio la scansione con antivir e mi trova dei file infetti (dice siano trojan):
dldr/.Zlob.AADU.1 dldr/.Zlob.bww.13 dldr/.Zlob.btq.152 e poi trova anche questi file: contains detection pattern of the phish-file/email Ho fatto anche il ripiristino di configurazione sistema a qualche giorno fa (l'ho fatto più volte) ma continuano ad esserci. Come faccio a toglierli? |
|
|
|
17-09-2007, 23:33
|
#2 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28983
|
i nomi dei file?in che posizione si trovano esattamente?
|
|
|
|
|
17-09-2007, 23:40
|
#3 |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
purtroppo facendo la scansione con antivir poi li ho cancellati e non ho segnato...ca rifacendo la scansione (una volta spento il pc) credo prorpio che esca nuovamente.
|
|
|
|
|
17-09-2007, 23:43
|
#4 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28983
|
li puoi trovare sul pannello di controllo di avira
|
|
|
|
|
17-09-2007, 23:54
|
#5 | |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
Quote:
|
|
|
|
|
|
17-09-2007, 23:55
|
#6 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28983
|
Quote:
 
|
|
|
|
|
|
18-09-2007, 00:09
|
#7 |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
Avevo immaginato...ma da li sono cancellati tutti i file (dopo la scansione li ho cancellati uno alla volta) per questo non capivo cosa intendessi. Credevo ci fosse qualche altro modo per poterlo fare....
|
|
|
|
|
18-09-2007, 00:30
|
#8 |
|
Senior Member
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
|
Rifai la scansione e riguarda se li trova di nuovo, dato che hai detto che ogni volta risaltano fuori.
|
|
|
|
|
18-09-2007, 02:07
|
#9 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3259
|
oltre a vedere se risalta fuori il trojan posta anche un log di hijakthis (in firma di Gle
 )
__________________
Opera disabilitazione script ed iframe  Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...
|
|
|
|
|
28-09-2007, 15:29
|
#10 |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
Ora sono risucito ad identificare il nome del virus:
TR/Obfuscated.EN.205 Posto anche il risultato di Hijthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15.28.40, on 28/09/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\digicom\Michelangelo USB ADSL\CnxDslTb.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE C:\Programmi\Java\jre1.5.0_06\bin\Dialup.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\Outlook Express\msimn.exe C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe C:\Programmi\AntiVir PersonalEdition Classic\avnotify.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\digicom\Michelangelo USB ADSL\CnxDslTb.exe O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min -nosplash O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{36ADBD80-5E4B-4979-847A-22B5E9252B80}: NameServer = 193.70.152.15 193.70.152.25 O17 - HKLM\System\CS1\Services\Tcpip\..\{36ADBD80-5E4B-4979-847A-22B5E9252B80}: NameServer = 193.70.152.15 193.70.152.25 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 5075 bytes |
|
|
|
|
28-09-2007, 16:20
|
#11 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Disattiva ripristino configurazione sistema
Riavvia in modalità provvisoria F8 Da fixare: C:\Programmi\Java\jre1.5.0_06\bin\Dialup.exe Riavvia in modalità normale Scarica CCleaner per la pulizia dei file temporanei da qui: http://www.filehippo.com/download/05...0340/download/ installalo senza la toolbar di Yahoo, lancialo, clicca su opzione, avanzate, spunta la casella "Cancella file Windows Temp solo se più vecchi di 48 ore" e avvia la pulizia. Scarica da qui: http://noahdfear.geekstogo.com/FindAWF.exe fallo girare e posta il log
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 28-09-2007 alle 17:06. |
|
|
|
|
29-09-2007, 11:44
|
#12 | |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
Quote:
devo prima fixare c:\programmi.... e poi riavviare in modalità provvisoria? O devo attivare hijakthis in modalità provvisoria? p.s. come si annulla il ripristino configurazione di sistema? Dopo aver fatto tutto devo riattivarlo? |
|
|
|
|
|
29-09-2007, 11:48
|
#13 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
2 - Riavvia in modalità provvisoria F8 3 - Fixa: C:\Programmi\Java\jre1.5.0_06\bin\Dialup.exe 4 - Riavvia in modalità normale 5 - Scarica CCleaner per la pulizia dei file temporanei da qui: http://www.filehippo.com/download/05...0340/download/ installalo senza la toolbar di Yahoo, lancialo, clicca su opzione, avanzate, spunta la casella "Cancella file Windows Temp solo se più vecchi di 48 ore" e avvia la pulizia. 6 - Scarica da qui: http://noahdfear.geekstogo.com/FindAWF.exe fallo girare e posta il log
__________________
Try again and you will be luckier.
|
|
|
|
|
|
29-09-2007, 13:15
|
#14 | |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
Quote:
Ultima modifica di ciccioz1 : 29-09-2007 alle 13:29. |
|
|
|
|
|
01-10-2007, 08:41
|
#15 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
01-10-2007, 13:30
|
#16 |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
Si ma per fixarlo nella schermata di hjthis non lo trovo. In pratica non esiste proprio nell'elenco mentre nel report che fa c'è! Come mai?
|
|
|
|
|
01-10-2007, 15:19
|
#17 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
01-10-2007, 15:52
|
#18 |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1773
|
Non l'ho già fixato (nell'elenco non c'è). E' proprio che quando apro hjthis con gli elelenti da selezionare per essere fixati questo non c'è. Cmq ti posto il log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15.49.57, on 01/10/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\digicom\Michelangelo USB ADSL\CnxDslTb.exe C:\Programmi\Java\jre1.5.0_06\bin\Dialup.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\MSN Messenger\MsnMsgr.Exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\Programmi\eMule\emule.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\PixArt\PAC7302\Monitor.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\Sega\Virtua Tennis 3\VT3.EXE C:\DOCUME~1\admin\IMPOST~1\Temp\~e5.0001 C:\Programmi\Outlook Express\msimn.exe C:\Documents and Settings\admin\Desktop\FindAWF.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ntvdm.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\digicom\Michelangelo USB ADSL\CnxDslTb.exe O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min -nosplash O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{36ADBD80-5E4B-4979-847A-22B5E9252B80}: NameServer = 193.70.152.15 193.70.152.25 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 5256 bytes Cmq tutti questi non ci sono in hjthis....partono da RO e finiscono a 023! Per l'altro log come devo fare? Lo faccio partire e premo 1 più invio ma non esce niente! |
|
|
|
|
01-10-2007, 16:00
|
#19 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
FindAwf esegui il file e si aprirà una finestra dos, premi invio e attendi l'apertura di una pagina del blocco notes (log) N.B: ho editato il post
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 01-10-2007 alle 16:23. |
|
|
|
|
|
01-10-2007, 16:21
|
#20 | |
|
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
Quote:
per aggiornare JAVASUN: ● Start ● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica) ● clicca sulla icona Java per accedere al suo Pannello di controllo ● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso Ultima modifica di Riverside : 01-10-2007 alle 16:23. |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:04.
