[win XP] infostealer.wowcraft - aiuto per favore

[Etex]

ciao,

purtroppo da una decina di giorni almeno ho un problema con il trojan infostealer.wowcraft

Il firewall di norton (eh sì norton, non l'ho scelto io purtroppo) lo intercetta e blocca.

Ho seguito le istruzioni di symantec per eliminarlo (scansione in modalità provvisoria con definizione virus aggiornate e successiva eliminazione della chiave "load" = "[PATH TO DROPPED FILE]" in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ma la scansione non ha rilevato nulla e la chiave nel registro non c'era. )
ho cercato qui sul forum e ho trovato un thread dove un utente aveva lo stesso problema e la procedura symantec era inutile come nel mio caso. Lui ha risolto con a-squared free, così ho provato pure io ma a-squared non ha trovato il trojan (ne ha trovato un'altro che norton non aveva trovato e che ho eliminato (backdoor.win32.mIRC-based.d) - ha pure trovato altri possibili problemi e ho messo quelle voci in quarantena).

Ho allora seguito le istruzioni nella guida di questo forum usando:

ESET ADS Revealer (ha rivelato un sacco di possibili voci ma non so cosa farne)

A-Squared Free v3.x (scansione DEEP)

Prevx CSI e salvato il log

DrWeb

HiJackThis e ho fixato delle voci facendo l'analisi del log tramite il tool indicato dalla guida di hwupgrade

Gmer che non ha dato scritte in rosso e di cui ho salvato i report del rootkit e dell'autostart.

Fatto tutto questo, purtroppo il trojan continua a ritentare la connessione ogni 60 min.

aggiungo solo che (non so se sono info che possono essere utili):

-da tempo il messenger non parte, o meglio: parte solo dopo 2 o 3 ore che gli ho dato l'avvio. Ho provato a reinstallarlo, è partito subito ma al riavvio del pc il prblema si è ripresentato. A volte, avendolo messo per prova in autostart, quando avvio il pc si avvia subito pure il msnger ma se mi disconnetto rimane la sua icona vicino all'orologio con la x di disconnesione sopra ma non reagisce più, nè col tasto destro che col sinistro.

-ho qualche giorno prima installato skype

-prima di avere i problemi, mi è apparsa una richiesta, mi pare del firewall di norton ma non ne sono certo (stavo lavorando e non ci ho fatto caso e sì che di solito sto attento ) di attivare qualcosa o permettere la connessione a qualcosa che o era o assomigliava a winlogon

Grazie a chi mi potrà aiutare

posto ora il log di hijackthis

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.45.40, on 05/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
J:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Portrait Displays\PerfectSuite\dtsslsrv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\Portrait Displays\PerfectSuite\DTSRVC.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\windows\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\Mts64Pan.Exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Portrait Displays\Pivot Software\wpctrl.exe
C:\Programmi\Portrait Displays\PerfectSuite\DTHtml.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Portrait Displays\Pivot Software\floater.exe
J:\strumenti diagnostica pc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar5.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar5.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mts64Pan] Mts64Pan.Exe
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programmi\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [DT Task] C:\Programmi\Portrait Displays\PerfectSuite\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Sottoscrivi con RSS Bandit - C:\Documents and Settings\Carlo\Dati applicazioni\RssBandit\iecontext_subscribebandit.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windo..._5.3.0.228.cab
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedIn...derControl.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab34246.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - J:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Asset Management Daemon - Unknown owner - C:\Programmi\Portrait Displays\PerfectSuite\dtsslsrv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programmi\Portrait Displays\PerfectSuite\DTSRVC.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Perfd35 - Portrait Displays, Inc. - (no file)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 14633 bytes

[deneb87]

per quanto riguarda il problema di msn posso solo dirti che puoi provare a seguire la procedura alla disinfezione di msn.

e per il resto, che il solo log di Hijackthis non serve, e se vuoi aiuto da chi piu esperto devi postare tutti i log delle scansioni (eseguite una alla volta) e nell'ordine richiesto.

[murack83pa]

ciao etex


EDIT: ho letto meglio quello che hai scritto
c'è un'altra discussione di un altro utente, questa qui, anche in questo caso segui la procedura indicata da riverside

[Riverside]

Quote:

Originariamente inviato da deneb87

per quanto riguarda il problema di msn posso solo dirti che puoi provare a seguire la procedura alla disinfezione di msn.

Il problema non dipende da una infezione presa da MSN Messenger.

Quote:

Originariamente inviato da deneb87

e per il resto, che il solo log di Hijackthis non serve ......

Chi lo ha detto?

Quote:

Originariamente inviato da murack83pa

segui la procedura indicata da riverside

Mi ripeto: il problema non dipende da una infezione presa attraverso MSN Messeger.
Non vedo la ragione per cui deve essere dirottato in quella discussione.
Questa, è la sezione più attinente.

[murack83pa]

scusa river, ma la discussione a cui io ho dirottato nn si riferisce alla rimozione del virus msn, ma ad uin 3d in cui è stato rimosso lo stesso trojan indicato dall'utente: infostealer.wowcraft
è sbagliato?

[Riverside]

Quote:

Originariamente inviato da murack83pa

scusa river, ma la discussione a cui io ho dirottato nn si riferisce alla rimozione del virus msn, ma ad uin 3d in cui è stato rimosso lo stesso trojan indicato dall'utente: infostealer.wowcraft
è sbagliato?

No Murack, non è sbagliato!!! in effetti, in parte hai ragione (quindi scusa): non avevo controllato il link che hai indicato.
Direi, in ogni caso (dopo aver analizzato il log di Hthis pubblicato) che sia il caso di proseguire qui: siamo di fronte a due situazioni diverse.
Ovviamente, suggerisco di seguire, inizialmente, la procedura indicata nel post che hai linkato.

[Etex]

Quote:

Originariamente inviato da Riverside

No Murack, non è sbagliato!!! in effetti, in parte hai ragione (quindi scusa): non avevo controllato il link che hai indicato.
Direi, in ogni caso (dopo aver analizzato il log di Hthis pubblicato) che sia il caso di proseguire qui: siamo di fronte a due situazioni diverse.
Ovviamente, suggerisco di seguire, inizialmente, la procedura indicata nel post che hai linkato.

intanto grazie ad entrambi per le risposte

sto uscendo e tornerò stasera ma non ho resistito dal dare un'occhiata al forum

appena torno provo la procedura nel link. Avevo fatto una ricerca sul forum ma quella discussione non l'avevo trovata, chiedo venia.

Aggiungo solo una info sperando possa essere utile: ieri sera parlavo con mia moglie riguardo al trojan in oggetto e mi ha detto che in effetti potrebbe avermelo trasmesso lei (nel caso, si può parlare di malattia venerea? )

infatti lei lo aveva da qualche giorno sul portatile e non mi aveva detto nulla al riguardo. Ricostruendo meglio, in effetti mi è comparso da quando ho inserito una sua chiavetta usb con dei dati che mi stava passando.

Grazie ancora. Stasera o al più tardi domattina posto l'esito della procedura

[xcdegasp]

@ Etex:
io vedo solo il log di HiJackThis e dovresti per lo meno pubblicare tutti i log non solo quello di hijackthis perchè danno una completa radiografia..
il pc è lì con te e noi dalla distanza abbiamo bisogno di dati sicuri se vuoi riottenere il pc in perfette condizioni.

Potete proseguire qui visto che quel thread non era stato risolutivo.

[Etex]

ok, grazie

purtroppo ieri sono tornato tardi

adesso in pausa pranzo ho provato a fare un test: avendo notato che il trojan tenta la connessione con l'esterno ogni 60 min,

nella configurazione del firewall norton ho attivato "attiva controllo componenti programmi". Ho poi dato l'ok solo ai componenti necessari per navigare su internet (ma se il test non avesse funzionato avrei riprovato togliendo pure quelli).
Ho poi aspettato la scadenza dei 60 min e ho guardato se succedeva qualcosa.

Esito: allo scadere dell'ora x mi è apparsa una prima richiesta del norton per il processo svchost con l'elenco dei relativi moduli che ho copiato e inserisco:

Codice:

 moduli relativi a svchost:

c:\WINDOWS\WinSx...\msvcr80.dll
c:\WINDOWS\Microso...\mscorie.dll
c:\WINDOWS\system32\mscoree.dll
c:\WINDOWS\system32\vb6it.dll
c:\WINDOWS\system32\msvbvm60.dll

ho acconsentito che accedesse ad internet e mi è subito apparsa un'altra richiesta per il processo AppSvc32

Codice:

moduli relativi a AppSvc32:

c:\Programmi\File co...\dec_abi.dll
c:\Programmi\File comuni\...\msl.dll
c:\Programmi\File...\NAVENG32.DLL
c:\Programmi\File...\NAVEX32A.DLL
c:\Programmi\Fil...\ECMSVR32.DLL
c:\Programmi\File c...\ecmldr32.DLL
c:\Programmi\File co...\ccScanW.dll
c:\Programmi\File co...\ccEvtCli.dll
c:\Programmi\File co...\ccProSub.dll
c:\Programmi\File co...\AVExclu.dll
c:\Programmi\File com...\Srtsp32.dll
c:\Programmi\File co...\QBackup.dll
c:\Programmi\File c...\AVModule.dll
c:\Programmi\Fil...\CCERASER.dll
c:\Programmi\File c...\DefUtDCD.dll
c:\Programmi\File c...\AVDefMgr.dll
c:\Programmi\File comuni\...\AV.loc
c:\Programmi\File com...\AVScan.dll
c:\Programmi\File ...\AppSvc32.exe

ho acconsentito di nuovo e... norton ha intercettato il trojan!
Sbaglio nel dedurre che il trojan dovrebbe essere legato ad uno di questi moduli?

Sottolineo che la richiesta del primo consenso è avvenuta proprio nel minuto preciso della scadenza dell'intervallo dei 60 min "usuali " del trojan mentre l'intercettazione del trojan da parte di norton è avvenuta soltanto dopo che ho dato i due consensi quindi con il ritardo (circa 10 min) dovuto al tempo per me necessario per copiare/incollare le immagini delle schermate. Prima di postare ho lasciato ripassare un'ora ed il trojan ha ripreso la sua solita puntualità (visto che dopo aver acconsentito non ho più cancellato la lista, era prevedibile)

Ho fatto anche l'immagine/stampa del monitor con i processi/moduli autorizzati al momento precedente "l'ora x" di cui sopra; se può servire, taglio le immagini, le comprimo e le allego appena fatto. Intanto posto le info sopra

[Riverside]

Quote:

Originariamente inviato da Etex

Ho fatto anche l'immagine/stampa del monitor con i processi/moduli autorizzati al momento precedente "l'ora x" di cui sopra; se può servire, taglio le immagini, le comprimo e le allego appena fatto.

Te le puoi tenere: non servono a nulla.

Quote:

Originariamente inviato da Etex

Intanto posto le info sopra

Torniamo, per un attimo, al log di Hthis che hai pubblicato, e segui questa procedura:

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

aggiorna JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

pulisci, gli eventuali ADS quindi:
● rilancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Scarica DUSTBUSTER (richiede l’installazione)
clicca qui per il download

● una volta installato, lancialo:
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

Scarica ASQUARED FREE (richiede l’installazione)
clicca qui per il download

Una volta installato, lancialo:
● scarica gli aggiornamenti
● esegui una scansione del sistema in modalità Deep Scan
● metti in quarantena tutto ciò che viene rilevato
allega il log che verrà rilasciato

Rilancia Hthis e fixa questa voce:

O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedIn...derControl.cab

Al termine, riavvia il sistema ed allega un nuovo log di Hthis.

[Etex]

Quote:

Originariamente inviato da Riverside

pulisci, gli eventuali ADS quindi:
● rilancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

sono al punto qui sopra: non ha rilevato nulla ma la scansione è durata una frazione di secondo; è normale? le opzioni sono quelle di default:

Quick scan (Windows base folder only) : selezionata
Ignore safe system info stream: selezionata
calculate md5 checksum of streams: deselezionata

se è ok, vado avanti; intanto scarico il necessario per il resto della procedura.

[murack83pa]

si, è molto veloce

[Etex]

Quote:

Originariamente inviato da murack83pa

si, è molto veloce

ok grazie

il link a dustbuster porta a una pagina mancante; ho cercato sul sito la parola "dustbuster" e ho trovato un file .zip della versione 2.9.5.1 è quella giusta? se è ok, la installo

EDIT: un'altra cosa: asquared lo avevo già installato ed usato mettendo ciò che ha trovato in quarantena.

-Se è meglio rifare la scansione alla luce delle ultime azioni intraprese, devo prima togliere gli elementi dalla quarantena? (magari sennò non li mette nel nuovo log, è solo una mia ipotesi/scrupolo, ditemi voi)

[Etex]

aggiornamento:

nel dubbio se togliere i files dalla quarantena o meno (vedi post subito sopra) ho guardato con attenzione gli elementi in quarantena: ci sono tantissimi files relativi a ac3filters, qualche tracking cookie e un file molto pericoloso: Trojan.Downloader in secpol.exe. Potrebbe essere lui la causa di tutto?
Quello proprio non mi fido a "liberarlo".

Sto eseguendo la scansione e ci vorrà un po' di tempo ma seguo il forum da un altro pc.

[Riverside]

Quote:

Originariamente inviato da Etex

Trojan.Downloader in secpol.exe. Potrebbe essere lui la causa di tutto?

ovvio che è lui: segalo via
Al termine pubblica tutti i log.
Grazie per la segnlazione relativa a link di Dust Buster (ora provvedo )

[Etex]

Quote:

Originariamente inviato da Riverside

ovvio che è lui: segalo via
Al termine pubblica tutti i log.
Grazie per la segnlazione relativa a link di Dust Buster (ora provvedo )

ho eliminato il file ma il trojan si ripresenta ancora

poi ho riavviato la scansione "deep" con asquared. Temo impiegherà un paio di orette. se non riesco a postare stanotte lo farò domattina.

Sarai sul forum?

Intanto ho avviato la stessa procedura sul pc portatile (quello di mia moglie, infetto per primo) dandogli prima un pulita e fattogli aggiustare il registro con cccleaner: ma dustbuster fatica, sembra bloccato, lo lascio andare tutta notte?

Sempre riguardo al portatile, hijackthis ha rilevato un elemento da fixare uguale a quello che avevo fixato sul pc fisso la prima volta che avevo provato a risolvere e che penso di non aver citato esplicitamente:

Codice:

020 - winlogon Notify: fsmgmt - fsmgmt.dll (file missing)

per quanto riguarda gli ads, con hijackthis non ha trovato nulla mentre con eset adsr revealer ha segnalato moltissimi files tra cui ti cito ad esempio: documenti word di lavoro, files pdf, pagine web salvate, files zippati, files midi, profilo e impostazioni messenger, e tanti altri "non sospettabili".
Hanno veramente problemi? In tal caso li posso fixare? perchè il 90% di quelli non li posso eliminare (non li posso postare perchè in effetti in conflitto con la privacy ma immagino che con la tua esperienza mi possa dare una risposta di principio)

grazie ancora per la disponibilità

[Riverside]

Quote:

Originariamente inviato da Etex

ho eliminato il file ma il trojan si ripresenta ancora
poi ho riavviato la scansione "deep" con asquared. Temo impiegherà un paio di orette. se non riesco a postare stanotte lo farò domattina.
Sarai sul forum?

In serata, salvo imprevisti si; durante la giornata è un pò più difficile: pare che anche il sottoscritto, come tutti i comuni mortali, debba lavorare

Quote:

Originariamente inviato da Etex

Intanto ho avviato la stessa procedura sul pc portatile (quello di mia moglie, infetto per primo)

Sistemiamo una cosa per volta, per favore.

Quote:

Originariamente inviato da Etex

per quanto riguarda gli ads, con hijackthis non ha trovato nulla mentre con eset adsr revealer ha segnalato moltissimi files tra cui ti cito ad esempio: documenti word di lavoro, files pdf, pagine web salvate, files zippati, files midi, profilo e impostazioni messenger, e tanti altri "non sospettabili".

Tranquillo, pulisci tutto quello che ti consente di pulire: non è necessario pubblicare il log.

[Etex]

Quote:

Originariamente inviato da Riverside

In serata, salvo imprevisti si; durante la giornata è un pò più difficile: pare che anche il sottoscritto, come tutti i comuni mortali, debba lavorare

Sistemiamo una cosa per volta, per favore.

Tranquillo, pulisci tutto quello che ti consente di pulire: non è necessario pubblicare il log.

ok, allora, se dici che non li elimina, li pulisco

per il lavoro, temo di conoscere il problema

per il pc, aspetto allora.

Grazie ancora

[lancetta]

Quote:

Originariamente inviato da Etex

sono al punto qui sopra: non ha rilevato nulla ma la scansione è durata una frazione di secondo; è normale? le opzioni sono quelle di default:

Quick scan (Windows base folder only) : selezionata
Ignore safe system info stream: selezionata
calculate md5 checksum of streams: deselezionata

se è ok, vado avanti; intanto scarico il necessario per il resto della procedura.

Hem.... la voce in hijackthis Quick scan...NON deve essere spuntata,lasciando invariate le altre di default....
Ovvero:
la prima da sopra:non spuntata
la seconda : spuntata di dafault
la terza : non spuntata di default

Rifai la scansione in questo modo......

[murack83pa]

la prima xò è spuntata di default: infatti quando l'ho installato l'ho dovuta togliere xchè nn mi convinceva...