|
|||||||
|
|
|
 |
|
|
Strumenti |
27-11-2006, 16:15
|
#1 |
|
Member
Iscritto dal: Jun 2005
Messaggi: 39
|
navigazione bloccata
Giorni fa ho preso un trojano di ultima generazione...
si è modificato in molti modi fino a quando ha provato a disinstallare i driver delle porte USB e a scaricarmi i suoi dialer. Poi usando Adware e spyboot ho ripulito un pò , ma l'ultimo respiro lo ha emanato non permettendo ai browser di navigare ovviamente sulla porta 80. quindi mi ritrovo con il pc pulito ma con i browser bloccati. Uso xpPro e di seguito vi passo la log di Hijack... spero in una mano. Ciao. Codice:
codice:
Logfile of HijackThis v1.99.1
Scan saved at 16.17.23, on 27/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\BCL Technologies\easyPDF 4\bepprldr.exe
C:\WINDOWS\Downlo~1\fctz8r\lepjyuh.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\hij\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/pa...can_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: BCL easyPDF SDK Loader (bepprldr) - Unknown owner - C:\Programmi\File comuni\BCL Technologies\easyPDF 4\bepprldr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
Ultima modifica di Ghena : 27-11-2006 alle 16:22. |
|
|
|
27-11-2006, 18:11
|
#2 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
I log di hijackthis andrebbero postati nell'apposito thread
http://www.hwupgrade.it/forum/showthread.php?t=937676 comunque nel tuo noto due cose strane, la prima questa C:\WINDOWS\Downlo~1\fctz8r\lepjyuh.exe a me non sembra nullo di buono, prova a cercare nella cartella C:\WINDOWS quell'eseguibile e a rimuoverlo manualmente, se non ci riesci usa unlocker per sbloccarlo http://ccollomb.free.fr/unlocker/ l'altra cosa è che mancano i dns del tuo provider internet, normalmente sono visibili nel log di hijackthis. Tu che provider e che tipo di connessione hai?
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
28-11-2006, 14:12
|
#3 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
quoto
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
03-12-2006, 18:29
|
#4 |
|
Member
Iscritto dal: Jun 2005
Messaggi: 39
|
beh sarà che questo virus attacca la domenica ?
Il lunedì sembrava tutto ok e così per tutta la settimana fino ad oggi   scusate se riposto qui la log di Hij ma preferisco non aprire un nuovo 3d: Codice:
Logfile of HijackThis v1.99.1
Scan saved at 19.20.07, on 03/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\BCL Technologies\easyPDF 4\bepprldr.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Alwil Software\Avast4\ashSimp2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\hij\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Comodo Firewall] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2C4B638-5BA7-4E31-A5B2-28306D80874E}: NameServer = 85.37.17.39 85.38.28.71
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: BCL easyPDF SDK Loader (bepprldr) - Unknown owner - C:\Programmi\File comuni\BCL Technologies\easyPDF 4\bepprldr.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
4 servizi host attivi... non esiste più la voce C:\WINDOWS\Downlo~1\fctz8r\lepjyuh.exe anche se il firewall mi richiede di autorizzarlo. e poi i dns... io uso telecom alice... ma cosa diavolo succede ? 
|
|
|
|
|
03-12-2006, 18:43
|
#5 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Il tuo log stavolta pare pulito, ora ci sono anche i dns che sono corretti (telecom).
Avere quattro svchost non è insolito, è nella norma. Sinceramente non capisco dove possa essere il problema, ne se sia dovuto a qualche malaware, soprattutto in considerazione del fatto che per una settimana non hai avuto problemi. Prova comunque a fare un paio di scansioni con questi http://www.sophos.it/products/free-...ti-rootkit.html http://www.superantispyware.com/dow...UPERANTISPYWARE
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
03-12-2006, 19:05
|
#6 |
|
Member
Iscritto dal: Jun 2005
Messaggi: 39
|
grazie fox...
ma anche se installo i programmi nel pc infetto non posso scaricare gli a aggiornamenti la cosa strana è che posta + browser + ftp sono bloccate ma Skype riesce a connettersi.... secondo me c'è qualche voce di registro modificata che ha disabilitato la porta 80 ma non sono sicuro di questo.. |
|
|
|
|
03-12-2006, 19:29
|
#7 | ||
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Quote:
Quote:
Controlla bene anche le impostazioni del firewall.
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
||
|
|
|
|
03-12-2006, 19:42
|
#8 |
|
Member
Iscritto dal: Jun 2005
Messaggi: 39
|
il primo link che mi hai passato porta ad una pagina non trovata...
ho cercato dentro il sito di sophos e l'unica cosa free da scaricare è un antiivirus... che non penso posso installare avendo già avast... il firewall l'ho completamente rimosso senza alcun beneficio... uso anche firefox per la cronaca.  
|
|
|
|
|
03-12-2006, 19:49
|
#9 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Il link corretto è questo
http://www.sophos.it/products/free-t...i-rootkit.html
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
04-12-2006, 11:03
|
#10 |
|
Member
Iscritto dal: Jun 2005
Messaggi: 39
|
ho fatto la scnasione con il tool...
nessuno processo nascosto trovato. Ho chiamato telecom e mi hanno detto che la linea è ok ho disinstallato il firewall , l'antivirus, tutti i sistemi di protezione, ho analizzato la connessioen di rete e l'ip lo ottiene automaticamente così come i dsn.... ieri però sobno stato attaccato e il pc è andato in protezione spegnendosi... ho fatto l'ennesimo controllo Avast senza nessun risultato.. Prima di formattare vi chiedo se posso compiere qualche altra manovra... infatti formattare sarebbe un kaos. Spero i un commento. Saluti. |
|
|
|
|
04-12-2006, 12:31
|
#11 |
|
Member
Iscritto dal: Jun 2005
Messaggi: 39
|
ho provato per curiosità ad effettuare un ping sull'host di libero...
ovviamente ho come risposta : impossibile connetersi host non trovato stessa cosa per un test telnet... a questo punto è chiaro che la mia porta 80 è bloccata. il pc da cui navigo adesso usa la stessa adsl naviga normalmente e il ping ha un esito positivo. non avendo firewalll come diavolo fa la porta 80 a chiudersi ? |
|
|
|
|
04-12-2006, 13:27
|
#12 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
ti è andato in protezione?
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
04-12-2006, 13:29
|
#13 |
|
Member
Iscritto dal: Jun 2005
Messaggi: 39
|
che intendi per protezione ?
che si è spento dA SOLO ? SI , mi si è spento da solo più d una volta. Ho controllato le porte utili ad internet sono tutte aperte, ma continua a non navigare. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:59.
