Ma che è trojan?

[Schik]

Innanzi tutto un gran saluto a tutti i frequentatori di questa magnifica comunità, visto che è il primo messaggio che scrivo.

Un pò mi dispiace esordire con una richiesta di aiuto invece che con una soluzione, ma spero comunque di essere utile.

Dunque veniano al problema:
è da una settimana che dopo circa dopo 10 o 20 o 30 minuti che sono connesso (alice adsl 640) senza alcun comando diretto inizia un download di dati e contemporaneamente un upload degli stessi, come se qualcuno stesse scaricando dati usando la mia connessione. (come da immagine allegata).

Inoltre quando mi disconnetto dopo un pò per magia mi si riconnette in automatico (non su numero dialer ma su adsl).

Ho pertanto provato a scansionare il sistema con antivirus (NOD32), antispyware (ad-aware e spybot), antitrojan (a2 e trojan remover) e diversi tool antiworm ... ma niente tutto pulito.

Come firewall ho sempre avuto in uso sygate.

A questo punto mi rivolgo alla vostra onniscenza.

Grazie in anticipo.

p.s.: il formattone lo vorrei usare come ultima possibilità.

[Schik]

scusate ma non riesco a fare un'immagine compressa sotto i 25k

[wgator]

Ciao, ben arrivato!

bè... l'immagine se la vuoi inserire ti conviene upparla su aliceweb e postare il link...

Visto che hai provato con quasi tutto il possibile, posso solo consigliarti di fare uno scan on line con questo: http://www.earthlink.net/spyaudit/

Eventualmente scarica la versione free di spy sweeper

Se non riesci a risolvere scarica hijackthis e posta il log, ci guardiamo insieme

[Schik]

Molte grazie per i consigli che ho seguito alla lettera.

Dopo l'uso dei vari antispyware ho provato a fare un controllo con HijackThis, ed è emerso "child.dll".
Facendo alcune ricerche su newsgroup ho trovato la soluzione

Rimosso e risolto.



Alcune soluzioni:

http://groups.google.it/groups?hl=it...g_it%26hl%3Dit

> Salve
> ho un problema che sta diventando esasperante e spero che qualcuno sappia
> come risolvere
Risolto
Dopo aver provato inutilmente anche con Nod32 Fprot e mezza dozzina di
anti-trojan
ho cercato tra i fiele .dll che utilizzavano explorer.exe e ho cancellato
quello che mi "puzzava" di + (child.dll) dato che non risultava essere un
file di windows o di un programma conosciuto
Da quel momento non c'è stata + nessuna richiesta di connessione a nessun
sito e a me tanto basta
Se qualcuno mi sa dire che cos'è bene se no fa lo stesso
Mi sono tolto una seccatura davvero esasperante




http://groups.google.it/groups?hl=it...g_it%26hl%3Dit


On Sat, 10 Jan 2004 13:26:44 +0100, [email protected] (carmine)
wrote:

>> Cavolo, scorrendo indietro nel Ng ho trovato un post: Variante Trojan
>> via Kazaa, in cui viene descritta una "sitomatologia" simile al mio
>> caso. Ho fatto un po' di ricerca nel Pc e ho trovato 2 file
>> incriminati:
>> map.txt e child.dll invece non ho trovato msdos.exe
>> Che devo fare? Li elimino?
>
>
>> Leftorium, Il blog Riformista
>> http://clik.to/leftorium
>
>ho lo stesso problema.
>
>Lo hari risolto ? In che modo ?

Se trovi i due precedenti file (map.txt e child.dll), segnati le
directory, vai in Dos ed eliminale. E' un trojan che si becca con
programmi di p 2 p.

Ciao.




Nell'occasione pubblico il log di HijackThis a computer "infetato" per eventuali altri controlli:

Logfile of HijackThis v1.98.1
Scan saved at 8.57.28, on 03/08/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\SYGATE\SPF\SMC.EXE
C:\PROGRAMMI\ESET\NOD32KRN.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\PROGRAMMI\ESET\NOD32KUI.EXE
C:\WINDOWS\ptsnoop.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAMMI\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
D:\DOWNLOADS\GESTIONE COMPUTER\EMAIL POP3\HTML2POP3122WIN32\HTML2POP3.EXE
D:\DOWNLOADS\GESTIONE COMPUTER\PROGRAMMI IN ESECUZIONE\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pcw.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMMI\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\PROGRAMMI\TECHSMITH\SNAGIT 7\SNAGITIEADDIN.DLL
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMMI\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Programmi\Eset\nod32krn.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRAMMI\FLASHGET\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRAMMI\FLASHGET\jc_all.htm
O8 - Extra context menu item: Apri PDF in Word - res://C:\Programmi\ScanSoft\PDF Converter\IEShellExt.dll /400
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMMI\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMMI\FLASHGET\FLASHGET.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.pcw.it
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {8A455DE7-BC13-11D5-BB09-444553540000} (NetsystemDialerAcx Control) - http://www.netsystem.com/acx/NSDialerAcx.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - http://www.parallelgraphics.com/bin/cortvrml10.cab
O18 - Protocol: msell - {E90F00EC-3694-11D2-99FE-00104B2D62CC} - (no file)
O21 - SSODL: OLEAutomationModule - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\child.dll

Probabilmente c'è qualche altro problema ... è 3 anni che non formatto


Grazie di nuovo.

[wgator]

Ciao,

bè... in effetti non conosco "child.dll" tuttavia ti riporto quanto scritto dal nostro netquik nella sua guida all'interpretazione di Hijackthis: http://www.tweakness.net/index.php?link=articoli/a7.php

------------------------------------
O21 - ShellServiceObjectDelayLoad

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

Le voci del registro HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad, un metodo di autorun non documentato. Pochissimi componenti di sistema di windows lo utilizzano, HijackThis incorpora un whitelist di componenti, quindi se qualcosa compare nel log è probabile che sia nociva.

Per quanto mi riguarda, non sembra ci siano altri problemi nel log, l'unica cosa consigliabile potrebbe essere un "windows update" visto che hai dei componenti di explorer non aggiornati.


Edit: @ netquik. Ciao, ci ho pensato dopo, spero non ti dispiaccia se riporto brani tratti dal tuo sito, nel caso avvertimi che non lo faccio più