|
|||||||
|
|
|
 |
|
|
Strumenti |
02-09-2004, 17:52
|
#1 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
Win32:Trojan-gen - HELP
Ragazzi non so come ma mi sono beccato sto troian di merda!! Mi ha fottuto il norton...o meglio..il norton non l'ha visto.
Ho installato Avast e me l'ha beccato subito...solo che mi ha infettato una dll Ole32ws.dll...speriamo non succedano casini 
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
02-09-2004, 18:10
|
#2 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
ragazzi mi ha trovato anche questo Win32
 ialer-K !! e non riesce a riparare i files In giro non trovo niente...non ne parla nessuno di sti 2 virus!! Ancora non ho riavviato..voglio vedere cosa succede!
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
02-09-2004, 18:50
|
#3 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
Allora...sembra essere tutto risolto.
Avast ha fatto il suo dovere (anche se non ha riparato quei files, ma probabilmente era solo cacca). Mi sento di avvertirvi che sono due virus stronzi...il norton non li vede e anzi mi sa che si era infettato! In giro del primo se ne comincia a parlare..dil secondo (W32 ialer.k) non ho trovato quasi niente.Come accorgersi: bè nel mio caso tramite il firewall ho scoperto una regolare uscita di posta, per la precisioni ogni 31 minuti partivano mail...usava il rever smpt.hotpop.com. Ragazzi..state in campana. Non ho capito assolutamente come ho fatto a prenderli dietro un firewall hardware del router, uno sw e un antivirus!! L'unica cosa che fi pensare è che ho ricevuto 2 attacchi sulla porta TCP che uso per mandare e-mule..non vorrei che il p2p sia la causa Fatemi sapere cosa ne pensate. Ciauz
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
02-09-2004, 19:20
|
#4 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
grazie per le segnalazioni, comunque per sicurezza ti conviene analizzare il tuo sistema con hijackthis, magari aiutandoti con questo: http://hijackthis.de/index.php?langselect=english
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
02-09-2004, 19:50
|
#5 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
Ecco il log:
Logfile of HijackThis v1.98.2 Scan saved at 19.48.02, on 02/09/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Apache Group\Apache2\bin\Apache.exe C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Apache Group\Apache2\bin\Apache.exe C:\WINDOWS\System32\CTHELPER.EXE C:\PROGRA~1\INCRED~1\bin\IncMail.exe C:\Programmi\Motherboard Monitor 5\MBM5.EXE C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe C:\WINDOWS\System32\bpk.exe C:\Programmi\Babylon\Babylon.exe C:\Programmi\Unforgiven Organizer\UnOrg.exe C:\Programmi\MSN Messenger\MsnMsgr.Exe C:\Programmi\Executive Software\Diskeeper\DkService.exe E:\Seti\SetiDriver\Driver.exe C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE E:\Seti\SetiDriver\SetiSpy.exe E:\Seti\SetiDriver\SETI.exe C:\Programmi\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe C:\Programmi\eMule.de\emule.exe C:\Programmi\Internet Explorer\iexplore.exe C:\PROGRA~1\DAP\DAP.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\Mercurio\Impostazioni locali\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\bpkwb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKLM\..\Run: [MBM 5] "C:\Programmi\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [Remote_Agent] C:\Programmi\CyberLink\PowerVCRII\RemoteAgent.exe O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [Agent] C:\Programmi\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKCU\..\Run: [Babylon Translator] C:\Programmi\Babylon\Babylon.exe O4 - HKCU\..\Run: [Unforgiven Organizer#Autostart] "C:\Programmi\Unforgiven Organizer\UnOrg.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Collegamento a Driver.lnk = E:\Seti\SetiDriver\Driver.exe O4 - Startup: Collegamento a SetiSpy.lnk = E:\Seti\SetiDriver\SetiSpy.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: APC UPS Status.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU) O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://netphone.tiscali.it/netphone/ocx/mosquito.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCX...lientNoMFC.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab c'è quel bpk.exe che non so cos'è...per il resto mi sembra ok..cosa dici?
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
02-09-2004, 20:10
|
#6 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
si, in effetti controlla bene bpk.exe e bpkwb.dll sembrano essere un keylogger  C:\WINDOWS\System32\bpk.exe O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\bpkwb.dll Io le ucciderei senza esitazioni 
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
02-09-2004, 20:16
|
#7 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
ma allora perchè Avast non lo becca?
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
02-09-2004, 20:18
|
#8 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
hai ragione...è un keylogger!!
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
03-09-2004, 10:08
|
#9 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
ok..adesso ho ripulito tutto..speriamo bene.
Ciauz 
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
03-09-2004, 13:44
|
#10 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
Ragazzi..ce l'ho ancora.
Avast mi ha ritrovato Win32:Trojan-gen però questa volta in: C:\System Volume Information\_restore{57D69370-659B-45B6-A9E3-1246D23E4AC5}\RP167\A0048540.dll Come mi devo muovere? Lo posso schiantare o corro il rischio di fare danni?? AIUTOOO!!! 
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
03-09-2004, 15:20
|
#11 | |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Quote:
 la prima regola quando si becca un virus è quella di disattivare il ripristino di configurazione del sistema (da pannello di controllo)Infatti è li dentro Se lo disattivi vedrai che sparisce del tutto. Per sicurezza cancella anche tutti i file temporanei e svuota la cartella della cache di internet (i temporanei di internet)
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
|
03-09-2004, 15:30
|
#12 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
infatti è la prima cosa che ho fatto...speriamo bene.
Adesso cancello anche i file temporanei di explorer.. grazie..speriamo che sia tutto ok...ma voi sto virus l'avete mai incontrato? Ciauz
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
03-09-2004, 16:54
|
#13 |
|
Senior Member
Iscritto dal: Oct 2003
Città: Rimini
Messaggi: 519
|
...però adesso come faccio e vedere se il virus c'è ancora? Se scansiono la cartella incriminata (C:\System Volume Information\) Avast mi dice che non ha i diriiti di accesso! E allora come ha fatto la prima volta a beccare il virus??!
Ho provato anche in modalità provvisoria ma niente da fare. Adesso ho riattivato il ripristino ma come sono sicuro che non ci sia + niente? Ciauz
__________________
I bikers di Rimini, sito ufficiale: http://www.MotoRn.it PC: AMD Athlon Xp 1600+ | 512MB DDR | MB DFI AD70-SC | Ati Radeon 9800 Pro| Scheda Tv: Empire All In One Video - VGear | SBLive! 1024 | Creative Cambridge SoundWorks 5.1 | HDD IDE: MAxtor 40GB e 120GB | DVD-ROM Hitachi GD7000 | Master. DVD LG4040B FW A302 | Monitor Sony 19'' Trinitron E400 | APC Back-UPS CS 500 | |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:44.
