help: trojan horse (sarò infetto?)

[juninho85]

mi ci gioco quel che vuoi che oltre a quegli exe c'hai pure una DLL...fai uno scan completo da modalità provvisoria...eddai

[wizard1993]

Quote:

Originariamente inviato da juninho85

mi ci gioco quel che vuoi che oltre a quegli exe c'hai pure una DLL...fai uno scan completo da modalità provvisoria...eddai

sono perfettamente d'accordo

[paditora]

Quote:

Originariamente inviato da juninho85

mi ci gioco quel che vuoi che oltre a quegli exe c'hai pure una DLL...fai uno scan completo da modalità provvisoria...eddai

fatto e non ha trovato nulla.
ecco ti passo anche il log di antivir





AntiVir PersonalEdition Classic
Report file date: domenica 14 ottobre 2007 13:46

Scanning for 878606 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: padi
Computer name: PADITORA

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 10/09/2007 14:06:58
AVSCAN.DLL : 7.0.6.0 49192 Bytes 10/09/2007 14:06:58
LUKE.DLL : 7.0.5.3 147496 Bytes 10/09/2007 14:06:59
LUKERES.DLL : 7.0.6.1 10280 Bytes 10/09/2007 14:06:59
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:59:09
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 09:02:54
ANTIVIR2.VDF : 7.0.0.57 446464 Bytes 07/10/2007 11:18:57
ANTIVIR3.VDF : 7.0.0.84 166912 Bytes 13/10/2007 11:35:55
AVEWIN32.DLL : 7.6.0.23 2753024 Bytes 12/10/2007 11:18:29
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 10/09/2007 14:06:58
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 14:39:26
AVREG.DLL : 7.0.1.6 30760 Bytes 10/09/2007 14:06:58
AVARKT.DLL : 1.0.0.20 278568 Bytes 10/09/2007 14:06:56
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 10/09/2007 14:06:56
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 10/09/2007 14:06:54
RCTEXT.DLL : 7.0.62.0 86056 Bytes 10/09/2007 14:06:54
SQLITE3.DLL : 3.3.17.1 339968 Bytes 10/09/2007 14:06:59

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: D:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: domenica 14 ottobre 2007 13:46

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Start scanning boot sectors:
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
D:\WINDOWS\system32\manxhbfj.exe
[WARNING] The file could not be opened!
The registry was scanned ( '37' files ).


Starting the file scan:

Begin scan in 'D:\'
D:\pagefile.sys
[WARNING] The file could not be opened!
D:\WINDOWS\system32\manxhbfj.exe
[WARNING] The file could not be opened!


End of the scan: domenica 14 ottobre 2007 14:02
Used time: 16:46 min

The scan has been done completely.

1786 Scanning directories
90783 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
90783 Files not concerned
767 Archives were scanned
3 Warnings
127 Notes

[juninho85]

prova con lo scan rootkit attivo

[wizard1993]

Quote:

Originariamente inviato da juninho85

prova con lo scan rootkit attivo

o più semplicemente scan con gmer e panda antirootkit

[paditora]

ma posso usare 200.000 programmi per lo scan
ma se non me lo fa eliminare come si fa.
nel vostro XP c'è quel file?

[juninho85]

Quote:

Originariamente inviato da paditora

ma posso usare 200.000 programmi per lo scan
ma se non me lo fa eliminare come si fa.
nel vostro XP c'è quel file?

ovvio che no,altrimenti ti avrei saputo dire già come fare...per questo vorrei quel file,infettarmi e vedere cosa crea e modifica

[juninho85]

Quote:

Originariamente inviato da wizard1993

o più semplicemente scan con gmer e panda antirootkit

esatto,anzi già che ci siamo testiamo l'avira antirootkit

[wizard1993]

Quote:

Originariamente inviato da juninho85

esatto,anzi già che ci siamo testiamo l'avira antirootkit

non è stand alone da quel che mi ricordi

[paditora]

anche antirootkit non trova nulla
ma su XP non si può fare una roba come il vecchio windows98?
ossia avviare da un dischetto e copiarsi i file usando i comandi dos.

[wizard1993]

Quote:

Originariamente inviato da paditora

anche antirootkit non trova nulla
ma su XP non si può fare una roba come il vecchio windows98?
ossia avviare da un dischetto e copiarsi i file usando i comandi dos.

non ha una funzione integrata, ma volendo si fa dal cd del sistema operativo o creandosene uno con bartpe

[paditora]

ok forse sono riuscito a terminarlo
vediamo se lo copia

edit: niente come non detto (ho provato a terminare l'esecuzione con ctrl+alt+canc)

[juninho85]

tra l'altro sei pure sfortunato,il trojan è nel vdf avira già da luglio a finora,almeno ricercando su google,nessuno sembra ne sia rimasto infetto
prova come detto prima con gmer

[paditora]

Quote:

Originariamente inviato da wizard1993

non ha una funzione integrata, ma volendo si fa dal cd del sistema operativo o creandosene uno con bartpe

dal cd di windows si possono copiare i files?
spe che provo

[wizard1993]

puoi crearti con bartpe builder un cd avviabile con un sistema di emergenza con tanto di prompt dei comandi

[juninho85]

Quote:

Originariamente inviato da wizard1993

non è stand alone da quel che mi ricordi

ricordi giusto

[paditora]

Quote:

Originariamente inviato da juninho85

tra l'altro sei pure sfortunato,il trojan è nel vdf avira già da luglio a finora,almeno ricercando su google,nessuno sembra ne sia rimasto infetto
prova come detto prima con gmer

juni non ho più voglia di provare programmi su programmi.
tanto il risultato è lo stesso.
ci scommetto che il file è quello ormai ne sono sicuro.
voglio solo trovare il modo di copiarmelo.

[paditora]

Quote:

Originariamente inviato da wizard1993

puoi crearti con bartpe builder un cd avviabile con un sistema di emergenza con tanto di prompt dei comandi

ok allora provo così

[juninho85]

Quote:

Originariamente inviato da paditora

juni non ho più voglia di provare programmi su programmi.
tanto il risultato è lo stesso.
ci scommetto che il file è quello ormai ne sono sicuro.
voglio solo trovare il modo di copiarmelo.

su questo non ci son dubbi,il problema è che non è solo quello.
io farei prima un tentativo con gmer(stand alone)
e anche con gmer,con questo script:
Files to move:
D:\WINDOWS\system32\manxhbfj.exe | D:\WINDOWS\Temp
se va a buon fine te lo zippi direttamente cliccandoci col tasto destro

[lucas84]

Linkoptmizer.b, basta che li modifichi i permessi e lo puoi eliminare

Ciao