[win XP] trojan.hoster

[murack83pa]

ebbene si: anche io sono infetto....
il motivo: devo mettere la password al mio pc
ho lasciato x una sera il pc acceso, e i miei cari cuginetti si sono divertiti a navigare in nn so quali siti....

qualke giorno fa,dopo aver fatto l'aggiornamento di asquared, questo bel programmino nn completava la scansione, arrivava ad un certo punto e poi terminava la scansione,come se nn fosse successo niente, come se tutto fosse normale, come se il mio pc avesse solo circa 1500 file.....
ho fatto disisntallazione reinstallazione...nulla....

ho installato virit ma nulla, una scansione con prevx csi nulla, una scansione online con asquared antimalware e nulla
ho fatto una scansione con avira e nulla
ho fatto una scansione con bitdefender online, il quale mi ha trovato qualkosa...xò si è bloccato e qui ho visto una cosa che nn mi convinceva:ho fatto task managar....ed erano spariti il nome utente....x ogni processo nn mi indicava piu alcun nome utente(solo x il ciclo di sistema...system)

ho pensato ad un rootkit: ho provato panda...nulla, si bloccava...l'ho provato in modalità provvissoria, nulla
ho utilizzato gmer, e nn mi ha rilevato nulla, ho provato l'antirootki della trend nn mi ha rilevato nulla, ho fatto quello di mcafee il quale mi ha trovato degli oggetti nascosti ma nn mi sembravano sospetti(vi allego il log)....ho fatto una scansione antirootkit con avira e nulla....

oggi ho fatto una scansione on line su nanoscan (virus/spyware) nulla, una scansione on line piu completa sempre su nanoscan e nulla
di nuovo bitdefender nulla

ho provato come antirootkit poco fa cachtme ( il cui nome è venuto fuori in un 3d in questa sezione) e nn mi ha rilevato nulla....
le ultime parole famose

ho voluto provare superantispyware, scansione e indovina:
trojan.hoster in c:\windows\system\bpenhan.dll

l'ho fatto controllare su virus total e niente...
ho provato a fare una ricerca su google su trojan.hoster ed è venuto fuori che è un rootkit...almeno credo di aver letto cosi

l'ho rimosso con superantispyware,che ha voluto riavviare il pc...xò nn ne sono sicuro che si sia risolto tutto...

sottolineo che nn ha avuto rallentamenti, ne ho processi che occupavano troppa memoria, ne programmi che improvvissamente si connettevano ad internet, ne tantomeno pagine che si aprivano da sole, tutti i prgrammi funzionano.....
ho scaricato di recente vlc e nient'altro...
rimane ancora il problema del task manger che nn specifca i nomi utenti x ogni processo.....

da un sito ho visto una descrizione: qui
panda ha ancora problemi: mi da errore, vi allego le immagini relative a panda...

vi posto anche un log di hijackthis, ma nn mi sembrato che c sia niente di sospetto...a voi la parola....

[murack83pa]

ecco il log di hijackthis

[Chill-Out]

hosta su www.zshare.net un log di Gmer, thx.
inoltre fai questa verifica:
apri Task Manager - Visualizza - Seleziona colonne - Controlla che sia spuntata la voce Nome Utente

svuota la cartella dei PM

[Nuz]

Quote:

Originariamente inviato da murack83pa

.... visto una cosa che nn mi convinceva:ho fatto task managar....ed erano spariti il nome utente....x ogni processo nn mi indicava piu alcun nome utente(solo x il ciclo di sistema...system)...

Vedi se riesci a risolvere così:

Quote:

Task Manager User Name column is empty

When you open Task Manager, the User Name field might be blank, as shows in the Fig. This happens if the Terminal Service is not started. The default startup type for this service need to be set to Automatic and it must be started. Follow this procedure:

* Click Start, Run and type Services.msc
* Locate Terminal Services and double-click it
* Set the Startup type to Automatic, and click Apply
* Click the Start button to launch the service manually.
* Now Task Manager User Name field will show up.



fonte: http://www.winxptutor.com/tmuserblank.htm

[Riverside]

Quote:

Originariamente inviato da murack83pa

ebbene si: anche io sono infetto.... il motivo: devo mettere la password al mio pc ho lasciato x una sera il pc acceso, e i miei cari cuginetti si sono divertiti a navigare in nn so quali siti....

Murack ma che ci combini? proprio tu, poi ......

Quote:

Originariamente inviato da murack83pa

ho voluto provare superantispyware, scansione e indovina: trojan.hoster in c:\windows\system\bpenhan.dll ......che è un rootkit... almeno credo di aver letto cosi

Scarica TrendMicro Rootkit Booster: clicca qui per il download
scompattalo ed eseguilo (è un tool standalone) e vedi se rileva qualcosa.

Quote:

Originariamente inviato da murack83pa

vi posto anche un log di hijackthis, ma nn mi sembrato che c sia niente di sospetto...

Infatti è pulito e lindo.

@ Nuz, sei un grande: lo stavo cercando anche io ma non ricordavo dove lo avevo visto.

[murack83pa]

premetto che sono fuori casa
quando ritorno vi posto il log completo di gmer
farò quanto indicato da nuz
e poi proverò il programma di river e speriamo bene.....

vorrei chiedervi come si prende questo trojan: siti porno? ma io cmq uso ff con script disattivato e ho visto che nn hanno aperto internet explorer
ho visto in cronologia che sono andati su un sito che è sicuramente porno,ha un nome strano,xò nn ho voluto controllare....mi hanno detto che hanno visto un video con quicktime o simile xchè hanno visto il logo di quicktime apparire...
puo essere che si prende tramite quicktime? xchè ho letto che c sono state delle falle....

poi in questi giorni ho visto che molte dll riferite a directshow chiedevano di connettersi,sopratutto quando entravo con msn...vedere qui nel 3d di comodo
e guarda caso,poichè sto diventando un po pignolo, facendo una ricerca in internet ho letto di una falla,credo sul sito di megalab o pcalsicuro...


stessa cosa con bitdefender online: io lo avevo utilizzato un bel po di tempo fa,ed è rimasto e continua ad esserci nel mio pc e oggi ho letto che c'è un falla nel control active x di bit,no?

boh....devo mettere password nel pc e credo che utilizzero la guida di sisupoika sul sandbox,anche se già ho provato una volta e ho avuto difficoltà in un passaggio....

grazie delle risposte, c sentiamo domani
ciao ciao

[murack83pa]

allora: ho seguito la procedura di nuz, ed è tornato tutto ok..avevo disabilitato il servizio terminal....
gmer ha finito: niente righe rosse, vi posto cmq il log

gmer.txt - 0.07MB

l'antirootkit della micro già avevo fatto la scansione e nulla: l'ho rifatta poco fa e nulla
ho riscaricato panda antirootkit, e continua a dare lo stesso errore
che dite?
grazie di tutto
a domani

[wizard1993]

fai una scansione con asquared super antispyware o quello che hai in modalità provvisoria

[Nuz]

Ma quella dll a cosa è associata, a quale software?
In rete si trova poco al riguardo. L'ho scaricata da qui:

http://www.dlllab.com/bpenhan.dll_download.html

Poi ho fatto la scansione con Superantispyware e a me non me la dava come infetta.

[wizard1993]

Quote:

Originariamente inviato da Nuz

Ma quella dll a cosa è associata, a quale software?
In rete si trova poco al riguardo. L'ho scaricata da qui:

http://www.dlllab.com/bpenhan.dll_download.html

Poi ho fatto la scansione con Superantispyware e a me non me la dava come infetta.

sarà il solito birus che usa i nomi che realmente esistono

[murack83pa]

allora
scusate il ritardo
ho ripristinato il file x vedere le proprietà e nn c'era alcun riferimento a microsoft, anzi ho visto come società BPEnhance e come lingua cinese....
che dite?lo rimuovo dalla quarantena?
rifaccio una scansione completa con superantispyware?
grazie dell'aiuto
bye

edit: io ho letto un po in giro e si faceva riferimento a tutta una serie di file exe in system32, con nome tutta una serie di numeri..ma io nn ho nulla di tutto questo....

[Nuz]

Ma quella dll ha per caso a che fare con questo tuo post?

http://www.hwupgrade.it/forum/showpo...postcount=2076

Se si, mi dici dove hai scaricato quei codec?

[Chill-Out]

il log di Gmer è OK, falcia dalla quarantena quella .dll infetta che secondo me è un rimasuglio di un'infezione pregressa o in parte eliminata, ma questo ce lo devi dire tu

[murack83pa]

no, il discorso è molto piu complicato:

nel post da te indicato, nuz, parlo di 2 problemi: uno precedente, e poi un altro....2 problemi che ho gestito in maniera completamente diversa....

infatti, come ho raccontato: prima ho cancellato come un cretino dei file che si riferivano a directshow....xchè? xchè mi sono preoccupato x quelle scritte giapponesi che mi spuntavano in comodo...

quando poi ho avuto il 2 problema (con un altra dll), dopo aver fatto esaminare questo quartz.dll (sempre di directshow) questa volta ho lasciato che si connettesse...

questo file (bpenhan.dll) nn era mai emerso prima.....

[Nuz]

Allora fallo fuori con Avenger e non ci pensare più. Al limite se riscontri qualcosa di strano quella dll la trovi anche su internet.

[Chill-Out]

ma non è già in quarantena

[Nuz]

Allora mi è sfuggito.

[murack83pa]

si
è già in quarantena: allora la elimino....
visto che ho letto che è un file leggittimo di windows, mi puoi dare il link da dove poter scaricarlo?

ora: rimane ancora il problema di panda che nn riesce a fare la scansione....
ho finito la scansione con superantispyware e nn mi ha trovato nulla

[Nuz]

Il link è qualche post più sopra.

[Chill-Out]

Panda fallo girare da mod.provvisoria F8