|
|
|
|
Strumenti |
05-01-2008, 18:51 | #1 |
Member
Iscritto dal: May 2005
Messaggi: 90
|
[win XP] infostealer.wowcraft - aiuto per favore
ciao,
purtroppo da una decina di giorni almeno ho un problema con il trojan infostealer.wowcraft Il firewall di norton (eh sì norton, non l'ho scelto io purtroppo) lo intercetta e blocca. Ho seguito le istruzioni di symantec per eliminarlo (scansione in modalità provvisoria con definizione virus aggiornate e successiva eliminazione della chiave "load" = "[PATH TO DROPPED FILE]" in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ma la scansione non ha rilevato nulla e la chiave nel registro non c'era. ) ho cercato qui sul forum e ho trovato un thread dove un utente aveva lo stesso problema e la procedura symantec era inutile come nel mio caso. Lui ha risolto con a-squared free, così ho provato pure io ma a-squared non ha trovato il trojan (ne ha trovato un'altro che norton non aveva trovato e che ho eliminato (backdoor.win32.mIRC-based.d) - ha pure trovato altri possibili problemi e ho messo quelle voci in quarantena). Ho allora seguito le istruzioni nella guida di questo forum usando: ESET ADS Revealer (ha rivelato un sacco di possibili voci ma non so cosa farne) A-Squared Free v3.x (scansione DEEP) Prevx CSI e salvato il log DrWeb HiJackThis e ho fixato delle voci facendo l'analisi del log tramite il tool indicato dalla guida di hwupgrade Gmer che non ha dato scritte in rosso e di cui ho salvato i report del rootkit e dell'autostart. Fatto tutto questo, purtroppo il trojan continua a ritentare la connessione ogni 60 min. aggiungo solo che (non so se sono info che possono essere utili): -da tempo il messenger non parte, o meglio: parte solo dopo 2 o 3 ore che gli ho dato l'avvio. Ho provato a reinstallarlo, è partito subito ma al riavvio del pc il prblema si è ripresentato. A volte, avendolo messo per prova in autostart, quando avvio il pc si avvia subito pure il msnger ma se mi disconnetto rimane la sua icona vicino all'orologio con la x di disconnesione sopra ma non reagisce più, nè col tasto destro che col sinistro. -ho qualche giorno prima installato skype -prima di avere i problemi, mi è apparsa una richiesta, mi pare del firewall di norton ma non ne sono certo (stavo lavorando e non ci ho fatto caso e sì che di solito sto attento ) di attivare qualcosa o permettere la connessione a qualcosa che o era o assomigliava a winlogon Grazie a chi mi potrà aiutare posto ora il log di hijackthis Codice:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19.45.40, on 05/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe J:\Programmi\a-squared Free\a2service.exe C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programmi\Portrait Displays\PerfectSuite\dtsslsrv.exe C:\Programmi\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe C:\Programmi\Portrait Displays\PerfectSuite\DTSRVC.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programmi\CyberLink\Shared files\RichVideo.exe C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe c:\windows\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\Mts64Pan.Exe C:\WINDOWS\system32\DeltTray.exe C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\Portrait Displays\Pivot Software\wpctrl.exe C:\Programmi\Portrait Displays\PerfectSuite\DTHtml.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\Microsoft IntelliType Pro\type32.exe C:\Programmi\Microsoft IntelliPoint\point32.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programmi\iPod\bin\iPodService.exe C:\Programmi\Portrait Displays\Pivot Software\floater.exe J:\strumenti diagnostica pc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar5.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar5.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mts64Pan] Mts64Pan.Exe O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot O4 - HKLM\..\Run: [PivotSoftware] "C:\Programmi\Portrait Displays\Pivot Software\wpctrl.exe" O4 - HKLM\..\Run: [DT Task] C:\Programmi\Portrait Displays\PerfectSuite\DTHtml.exe -startup_folder O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8 -reboot 1 O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ? O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm O8 - Extra context menu item: Sottoscrivi con RSS Bandit - C:\Documents and Settings\Carlo\Dati applicazioni\RssBandit\iecontext_subscribebandit.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windo..._5.3.0.228.cab O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedIn...derControl.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab34246.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - J:\Programmi\a-squared Free\a2service.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Asset Management Daemon - Unknown owner - C:\Programmi\Portrait Displays\PerfectSuite\dtsslsrv.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programmi\Portrait Displays\PerfectSuite\DTSRVC.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Perfd35 - Portrait Displays, Inc. - (no file) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- End of file - 14633 bytes Ultima modifica di Etex : 05-01-2008 alle 19:38. |
05-01-2008, 20:08 | #2 |
Senior Member
Iscritto dal: Dec 2006
Città: Cagliari
Messaggi: 682
|
per quanto riguarda il problema di msn posso solo dirti che puoi provare a seguire la procedura alla disinfezione di msn.
e per il resto, che il solo log di Hijackthis non serve, e se vuoi aiuto da chi piu esperto devi postare tutti i log delle scansioni (eseguite una alla volta) e nell'ordine richiesto. |
05-01-2008, 21:14 | #3 |
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
ciao etex
EDIT: ho letto meglio quello che hai scritto c'è un'altra discussione di un altro utente, questa qui, anche in questo caso segui la procedura indicata da riverside Ultima modifica di murack83pa : 05-01-2008 alle 21:19. |
05-01-2008, 21:34 | #4 | ||
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
Quote:
Quote:
Mi ripeto: il problema non dipende da una infezione presa attraverso MSN Messeger. Non vedo la ragione per cui deve essere dirottato in quella discussione. Questa, è la sezione più attinente. |
||
05-01-2008, 21:39 | #5 |
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
scusa river, ma la discussione a cui io ho dirottato nn si riferisce alla rimozione del virus msn, ma ad uin 3d in cui è stato rimosso lo stesso trojan indicato dall'utente: infostealer.wowcraft
è sbagliato? |
05-01-2008, 21:47 | #6 | |
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
Quote:
Direi, in ogni caso (dopo aver analizzato il log di Hthis pubblicato) che sia il caso di proseguire qui: siamo di fronte a due situazioni diverse. Ovviamente, suggerisco di seguire, inizialmente, la procedura indicata nel post che hai linkato. |
|
06-01-2008, 09:44 | #7 | |
Member
Iscritto dal: May 2005
Messaggi: 90
|
Quote:
sto uscendo e tornerò stasera ma non ho resistito dal dare un'occhiata al forum appena torno provo la procedura nel link. Avevo fatto una ricerca sul forum ma quella discussione non l'avevo trovata, chiedo venia. Aggiungo solo una info sperando possa essere utile: ieri sera parlavo con mia moglie riguardo al trojan in oggetto e mi ha detto che in effetti potrebbe avermelo trasmesso lei (nel caso, si può parlare di malattia venerea? ) infatti lei lo aveva da qualche giorno sul portatile e non mi aveva detto nulla al riguardo. Ricostruendo meglio, in effetti mi è comparso da quando ho inserito una sua chiavetta usb con dei dati che mi stava passando. Grazie ancora. Stasera o al più tardi domattina posto l'esito della procedura |
|
06-01-2008, 11:11 | #8 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
@ Etex:
io vedo solo il log di HiJackThis e dovresti per lo meno pubblicare tutti i log non solo quello di hijackthis perchè danno una completa radiografia.. il pc è lì con te e noi dalla distanza abbiamo bisogno di dati sicuri se vuoi riottenere il pc in perfette condizioni. Potete proseguire qui visto che quel thread non era stato risolutivo.
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
07-01-2008, 14:17 | #9 |
Member
Iscritto dal: May 2005
Messaggi: 90
|
ok, grazie
purtroppo ieri sono tornato tardi adesso in pausa pranzo ho provato a fare un test: avendo notato che il trojan tenta la connessione con l'esterno ogni 60 min, nella configurazione del firewall norton ho attivato "attiva controllo componenti programmi". Ho poi dato l'ok solo ai componenti necessari per navigare su internet (ma se il test non avesse funzionato avrei riprovato togliendo pure quelli). Ho poi aspettato la scadenza dei 60 min e ho guardato se succedeva qualcosa. Esito: allo scadere dell'ora x mi è apparsa una prima richiesta del norton per il processo svchost con l'elenco dei relativi moduli che ho copiato e inserisco: Codice:
moduli relativi a svchost: c:\WINDOWS\WinSx...\msvcr80.dll c:\WINDOWS\Microso...\mscorie.dll c:\WINDOWS\system32\mscoree.dll c:\WINDOWS\system32\vb6it.dll c:\WINDOWS\system32\msvbvm60.dll Codice:
moduli relativi a AppSvc32: c:\Programmi\File co...\dec_abi.dll c:\Programmi\File comuni\...\msl.dll c:\Programmi\File...\NAVENG32.DLL c:\Programmi\File...\NAVEX32A.DLL c:\Programmi\Fil...\ECMSVR32.DLL c:\Programmi\File c...\ecmldr32.DLL c:\Programmi\File co...\ccScanW.dll c:\Programmi\File co...\ccEvtCli.dll c:\Programmi\File co...\ccProSub.dll c:\Programmi\File co...\AVExclu.dll c:\Programmi\File com...\Srtsp32.dll c:\Programmi\File co...\QBackup.dll c:\Programmi\File c...\AVModule.dll c:\Programmi\Fil...\CCERASER.dll c:\Programmi\File c...\DefUtDCD.dll c:\Programmi\File c...\AVDefMgr.dll c:\Programmi\File comuni\...\AV.loc c:\Programmi\File com...\AVScan.dll c:\Programmi\File ...\AppSvc32.exe Sbaglio nel dedurre che il trojan dovrebbe essere legato ad uno di questi moduli? Sottolineo che la richiesta del primo consenso è avvenuta proprio nel minuto preciso della scadenza dell'intervallo dei 60 min "usuali " del trojan mentre l'intercettazione del trojan da parte di norton è avvenuta soltanto dopo che ho dato i due consensi quindi con il ritardo (circa 10 min) dovuto al tempo per me necessario per copiare/incollare le immagini delle schermate. Prima di postare ho lasciato ripassare un'ora ed il trojan ha ripreso la sua solita puntualità (visto che dopo aver acconsentito non ho più cancellato la lista, era prevedibile) Ho fatto anche l'immagine/stampa del monitor con i processi/moduli autorizzati al momento precedente "l'ora x" di cui sopra; se può servire, taglio le immagini, le comprimo e le allego appena fatto. Intanto posto le info sopra Ultima modifica di Etex : 07-01-2008 alle 14:28. |
07-01-2008, 15:03 | #10 | |
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
Quote:
Torniamo, per un attimo, al log di Hthis che hai pubblicato, e segui questa procedura: Disabilita il Ripristino configurazione di sistema procedendo in questa maniera: ● tasto destro del mouse sull'icona Risorse del Computer ● seleziona la voce Proprietà ● apri la scheda Ripristino configurazione di Sistema ● spunta la voce Disattiva ripristino configurazione di sistema ● conferma, la modifica, con Applica e, poi Ok Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto Svuota il contenuto della cartella Prefetch procedendo in questa maniera: ● clicca su Risorse del Computer ● clicca su Disco locale C: ● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows ● aprila ed, al suo interno, cerca la cartella Prefetch ● aprila ed elimina tutte le voci conservate al suo interno mi raccomando, non eliminare la cartella svuota la cache di JAVASUN: ● Start ● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica) ● clicca sulla icona Java per accedere al Pannello di controllo ● clicca sulla scheda Generale ● vai all'ultima sezione File temporanei Internet ● clicca sul pulsante Impostazioni ● clicca sul pulsante Elimina file e poi conferma con OK aggiorna JAVASUN: ● Start ● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica) ● clicca sulla icona Java per accedere al suo Pannello di controllo ● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso pulisci, gli eventuali ADS quindi: ● rilancia Hijackthis_v2 ● clicca sulla voce Open the Misc Tool section ● clicca su Open ADS Spy ● clicca su Scan ● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected Scarica DUSTBUSTER (richiede l’installazione) clicca qui per il download ● una volta installato, lancialo: ● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk Scarica ASQUARED FREE (richiede l’installazione) clicca qui per il download Una volta installato, lancialo: ● scarica gli aggiornamenti ● esegui una scansione del sistema in modalità Deep Scan ● metti in quarantena tutto ciò che viene rilevato allega il log che verrà rilasciato Rilancia Hthis e fixa questa voce: O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedIn...derControl.cab Al termine, riavvia il sistema ed allega un nuovo log di Hthis. Ultima modifica di Riverside : 07-01-2008 alle 15:05. |
|
07-01-2008, 15:25 | #11 | |
Member
Iscritto dal: May 2005
Messaggi: 90
|
Quote:
Quick scan (Windows base folder only) : selezionata Ignore safe system info stream: selezionata calculate md5 checksum of streams: deselezionata se è ok, vado avanti; intanto scarico il necessario per il resto della procedura. Ultima modifica di Etex : 07-01-2008 alle 15:32. |
|
07-01-2008, 15:29 | #12 |
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
si, è molto veloce
|
07-01-2008, 15:31 | #13 |
Member
Iscritto dal: May 2005
Messaggi: 90
|
ok grazie
il link a dustbuster porta a una pagina mancante; ho cercato sul sito la parola "dustbuster" e ho trovato un file .zip della versione 2.9.5.1 è quella giusta? se è ok, la installo EDIT: un'altra cosa: asquared lo avevo già installato ed usato mettendo ciò che ha trovato in quarantena. -Se è meglio rifare la scansione alla luce delle ultime azioni intraprese, devo prima togliere gli elementi dalla quarantena? (magari sennò non li mette nel nuovo log, è solo una mia ipotesi/scrupolo, ditemi voi) Ultima modifica di Etex : 07-01-2008 alle 15:36. |
07-01-2008, 16:40 | #14 |
Member
Iscritto dal: May 2005
Messaggi: 90
|
aggiornamento:
nel dubbio se togliere i files dalla quarantena o meno (vedi post subito sopra) ho guardato con attenzione gli elementi in quarantena: ci sono tantissimi files relativi a ac3filters, qualche tracking cookie e un file molto pericoloso: Trojan.Downloader in secpol.exe. Potrebbe essere lui la causa di tutto? Quello proprio non mi fido a "liberarlo". Sto eseguendo la scansione e ci vorrà un po' di tempo ma seguo il forum da un altro pc. |
07-01-2008, 18:05 | #15 |
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
|
07-01-2008, 22:29 | #16 | |
Member
Iscritto dal: May 2005
Messaggi: 90
|
Quote:
poi ho riavviato la scansione "deep" con asquared. Temo impiegherà un paio di orette. se non riesco a postare stanotte lo farò domattina. Sarai sul forum? Intanto ho avviato la stessa procedura sul pc portatile (quello di mia moglie, infetto per primo) dandogli prima un pulita e fattogli aggiustare il registro con cccleaner: ma dustbuster fatica, sembra bloccato, lo lascio andare tutta notte? Sempre riguardo al portatile, hijackthis ha rilevato un elemento da fixare uguale a quello che avevo fixato sul pc fisso la prima volta che avevo provato a risolvere e che penso di non aver citato esplicitamente: Codice:
020 - winlogon Notify: fsmgmt - fsmgmt.dll (file missing) Hanno veramente problemi? In tal caso li posso fixare? perchè il 90% di quelli non li posso eliminare (non li posso postare perchè in effetti in conflitto con la privacy ma immagino che con la tua esperienza mi possa dare una risposta di principio) grazie ancora per la disponibilità |
|
07-01-2008, 22:38 | #17 | |||
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
Quote:
Quote:
Quote:
|
|||
07-01-2008, 22:41 | #18 | |
Member
Iscritto dal: May 2005
Messaggi: 90
|
Quote:
per il lavoro, temo di conoscere il problema per il pc, aspetto allora. Grazie ancora |
|
07-01-2008, 23:27 | #19 | |
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
|
Quote:
Ovvero: la prima da sopra:non spuntata la seconda : spuntata di dafault la terza : non spuntata di default Rifai la scansione in questo modo......
__________________
Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta... |
|
07-01-2008, 23:33 | #20 |
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
la prima xò è spuntata di default: infatti quando l'ho installato l'ho dovuta togliere xchè nn mi convinceva...
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:16.