tequila bandita 1.3b2.a

[supermario_bros]

spybot non trova niente, ad-aware non trova niente, con tauscan settato con l'advanced trojan analyser mi trovo un mucchio di file infettati da questo trojan, ma molti non riesce a cancellarli e quando li disinfetta li cancella rendendo il sistema molto instabile, ho provato anche sul pc a lavoro ed è la stessa cosa

l'ho messo sul pc di un amico e anche qui ha trovato una marea di file infettati.

sapete se esiste un modo per rimuoverlo?

in tutti e 3 i casi l'os è win xp sp2 pro

[BravoGT83]

inanzi tutto devi disattivare il ripristino di sistema...

poi fare una bella scansione anche con un altro spyware tipo ewido

e poi posta il log di hijackthis

ho letto che spybot dovrebbe rilevarlo

[supermario_bros]

ripristino di sistema sempre disattivato, spybot non lo rileva, o è tauscan che se lo inventa

[BravoGT83]

l'hai aggiornato il spybot?

prova a fare un paio di scansioni in modalità prov. con ad aware e un altro antispy per vedere cosa succede

[andorra24]

Quote:

Originariamente inviato da supermario_bros

ripristino di sistema sempre disattivato, spybot non lo rileva, o è tauscan che se lo inventa

Anche una scansione antivirus non sarebbe male. Prova con bitdefender free:http://www.bitdefender.com/site/Down...adFile/340/EN/
falla in modalita' provvisoria dopo averlo aggiornato. E anche con ewido.

[supermario_bros]

Quote:

Originariamente inviato da BravoGT83

l'hai aggiornato il spybot?

prova a fare un paio di scansioni in modalità prov. con ad aware e un altro antispy per vedere cosa succede

certo versione 1.4 aggioornata

adesso sto facendo una scansione con pclogger

[supermario_bros]

Quote:

Originariamente inviato da andorra24

Anche una scansione antivirus non sarebbe male. Prova con bitdefender free:http://www.bitdefender.com/site/Down...adFile/340/EN/
falla in modalita' provvisoria dopo averlo aggiornato. E anche con ewido.

antivirus nei vari pc c'è avg ultimo free, mcafee managed virsu scan 3.0.0.590 aggiornato

[BravoGT83]

prova con Antivir di fare la scansione visto che rileva molti + virus di avg

[BravoGT83]

Quote:

Originariamente inviato da supermario_bros

certo versione 1.4 aggioornata

adesso sto facendo una scansione con pclogger

purtroppo riesco a trovare poco...

poi sono al lavoro e non sul mio pc dove ho tutti i link

[andorra24]

Quote:

Originariamente inviato da supermario_bros

antivirus nei vari pc c'è avg ultimo free, mcafee managed virsu scan 3.0.0.590 aggiornato

Prova ewido in modalita' provvisoria e con il ripristino disattivato:http://download.ewido.net/ewido-setup.exe

[supermario_bros]

istallato e aggiornato,ora riavio in mod provv e vedo un po' che me dice

[supermario_bros]

ewido mi ha trovato un cookie e basta ma niente tequila bonita.

tauscan lo trova, ma:

1) per fare una scanzione euristica del sistema ci mette 15 ore.....
2) cancella, e nemmeno tutti i file infetti, il che vuol dire che dopo non funziona nemmeno un programma
3) faccio prima a formattare

[andorra24]

Posta un log di hijackthis.

[supermario_bros]

Logfile of HijackThis v1.99.1
Scan saved at 17.06.22, on 01/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\McAfee\Managed VirusScan\Agent\myagttry.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\ewido\security suite\SecuritySuite.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\Programmi\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://172.23.1.84/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Programmi\McAfee\Managed VirusScan\Agent\myagttry.exe"
O4 - HKLM\..\Run: [MVS Splash] C:\PROGRA~1\McAfee\MANAGE~1\VScan\Splash.exe
O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscan.saspens.it/VS2/bin/myCioAgt.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106914105734
O17 - HKLM\System\CCS\Services\Tcpip\..\{847FF13C-6999-40FB-B1D8-C9D0BE5F013B}: NameServer = 151.99.125.2,151.99.250.2
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Programmi\McAfee\Managed VirusScan\Agent\myRmProt3.0.0.590.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: McShield - Network Associates, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
O23 - Service: McAfee Managed Services Agent (myAgtSvc) - McAfee, Inc. - C:\Programmi\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

[andorra24]

Io fixerei questa:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://172.23.1.84/
tu la conosci?

[supermario_bros]

è la pagina iniziale, è il nostro intranet

[andorra24]

Quote:

Originariamente inviato da supermario_bros

è la pagina iniziale, è il nostro intranet

Pero' non riesco assolutamente a visualizzarla ne' con firefox ne' con IE. Per questo ti ho chiesto se la conoscevi. Per il resto il tuo log e' pulitissimo.

[supermario_bros]

si è possibile visualizzarla solo da interno (solo da utenti connessi al server).

a questo punto vorrei sapere se è tauscan che si inventa sta tequila bandita o se è davvero un supertrojan invisibile

[andorra24]

Quote:

Originariamente inviato da supermario_bros

si è possibile visualizzarla solo da interno (solo da utenti connessi al server).

a questo punto vorrei sapere se è tauscan che si inventa sta tequila bandita o se è davvero un supertrojan invisibile

Perche' tu possa essere un po' piu' sicuro ti consiglio di individuare i presunti files infetti e di farli analizzare su questo sito multi-scanner: http://virusscan.jotti.org/

[supermario_bros]

Service load:
0% 100%
File: NCSView.dll
Status:
OK
MD5 c869ccecc6cac719a5bc2dc170e1a99e
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found nothing