www.MegaLab.it

da **Amantide** » ven lug 27, 2007 5:42 pm

pollom ha scritto:RAGAZZI NEL TASK MANAGER c'è questa voce IEXPLORE.EXE...
l'ho controllata nel ProcessLibrary, mi ha dato il verde, però sulla destra c'erano anche delle voci in rosso e che poteva essere un trojan...
e il processo è sempre attivo....

cosa devo fare?

Se usi Internet Explorer per navigare in internet, è normale che ci sia.

Prova ad allegarmi qui gli screenshot sia del task manager che di quella parte del registro, usa questa guida come il riferimento.

da **pollom** » ven lug 27, 2007 5:50 pm

ma più giu c'è la voce explorer, ma la prima è iexplore...è diversa, è normale quindi?
e per quanto riguarda le voci del registro di sitema? c'è qualcosa di anomalo?

da **Andy94** » ven lug 27, 2007 5:52 pm

Scusami Amantide se spiego io:

EXPLORER.EXE e' il processo della shell: se lo interrompi scompare icone, barra di start ecc.

IEXPLORE.EXE riguarda internet.

Sono due cose buone ma diverse.

da **pollom** » ven lug 27, 2007 5:54 pm

ok...ora provo a fare lo screenshot che mi hai detto Amantide...

da **Amantide** » ven lug 27, 2007 5:56 pm

pollom ha scritto:ok...ora provo a fare lo screenshot che mi hai detto Amantide...

Aspetta un po', prima prova a terminare dal task manager il processo carelsensor.exe e poi vedi se ti si avvia Hijackthis.

da **pollom** » ven lug 27, 2007 5:59 pm

queste sono le immagini del task manager:

da **pollom** » ven lug 27, 2007 6:00 pm

l'altro pezzo:

da **Amantide** » ven lug 27, 2007 6:02 pm

pollom ha scritto:queste sono le immagini del task manager:

Scusa, nel momento che ti avevo richiesto lo screenshot non avevi ancora postato l'elenco completo dei processi. Fai come ti ho detto poco fa.

da **pollom** » ven lug 27, 2007 6:04 pm

Ho fatto come mi hai chiesto e sono riuscita a fare la scansione, ecco il risultato...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.05.19, on 27/07/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\DLink\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Real\RealOne Player\RealPlay.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\DLink\Software Bluetooth\BTTray.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.MegaLab.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\corelsensor.exe",
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: Class - {E6211CF6-5D15-80EE-46DB-E85874FEA248} - C:\WINDOWS\ievke1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O4 - HKLM\..\Run: [zzz3102v] c:\windows\scaricamp3[1].exe r
O4 - HKLM\..\Run: [!04991] c:\wimcom\beauty-planet[1].exe r
O4 - HKLM\..\Run: [IncredimailDownloader] C:\Programmi\IncrediMail\bin\IncMail.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealOne Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [_SystemBoot] C:\WINDOWS\Help\Help\services.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [jeieo] "C:\DOCUME~1\daniel\IMPOST~1\Temp\4766854.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk.disabled
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk.disabled
O4 - Global Startup: Gestore Chiave.lnk = C:\ITALWIN\KeyServer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Update.hta
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\DLink\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\DLink\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\DLink\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Accesso al servizio - {FF4D2994-6575-4F03-A5C6-6559C8793A06} - c:\tatuaggi[1].exe (file missing)
O9 - Extra 'Tools' menuitem: Accesso al servizio - {FF4D2994-6575-4F03-A5C6-6559C8793A06} - c:\tatuaggi[1].exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {D8E33DC2-3D9A-4894-88EA-6D283A9F6A52} (IP_Web.IPWeb) - http://66.240.178.36/mp3xte/IpWeb/IPWeb.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\DLink\Software Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6570 bytes

da **pollom** » ven lug 27, 2007 6:30 pm

ora cosa faccio? [boh]

da **pollom** » ven lug 27, 2007 6:45 pm

c'è questa voce:
O2 - BHO: Class - {E6211CF6-5D15-80EE-46DB-E85874FEA248} - C:\WINDOWS\ievke1.dll (file missing)

che riporta il nome del virus trojan che mi rileva no32...dovrei eliminarlo? non so proprio cosa fare adesso...help...

da **Amantide** » ven lug 27, 2007 6:54 pm

Ora, sempre con il processo corelsensor.exe terminato, scarica The Avenger, estrai archivio in una cartella ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno del form copia ed incolla questo script:

Files to delete:
c:\windows\system32\corelsensor.exe
C:\WINDOWS\ievke1.dll
c:\windows\scaricamp3[1].exe
c:\wimcom\beauty-planet[1].exe
C:\WINDOWS\Help\Help\services.exe
C:\DOCUME~1\daniel\IMPOST~1\Temp\4766854.exe
c:\tatuaggi[1].exe

Dopodichè clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi alle successive domande Si .
Il pc dovrebbe riavviarsi da solo,se cosi non fosse riavvialo manualmente.
Allegami il log di Avenger che si trova in C:/avenger.txt

Poi rifai la scansione con Hijackthis e fixa le seguenti voci:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\corelsensor.exe",
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: Class - {E6211CF6-5D15-80EE-46DB-E85874FEA248} - C:\WINDOWS\ievke1.dll (file missing)
O4 - HKLM\..\Run: [zzz3102v] c:\windows\scaricamp3[1].exe r
O4 - HKLM\..\Run: [!04991] c:\wimcom\beauty-planet[1].exe r
O4 - HKCU\..\Run: [_SystemBoot] C:\WINDOWS\Help\Help\services.exe
O4 - HKCU\..\Run: [jeieo] "C:\DOCUME~1\daniel\IMPOST~1\Temp\4766854.exe"
O9 - Extra button: Accesso al servizio - {FF4D2994-6575-4F03-A5C6-6559C8793A06} - c:\tatuaggi[1].exe (file missing)
O9 - Extra 'Tools' menuitem: Accesso al servizio - {FF4D2994-6575-4F03-A5C6-6559C8793A06} - c:\tatuaggi[1].exe (file missing)

Dopo scarica Virit, aggiornalo, riavvia il pc in modalità provvisoria e fai la scansione completa del sistema.

Per finire (e si, non è finita qui... [sh]

) scarica ed avvia Systemscan, spunta tutte le voci e clicca su Scan Now. A scansione terminata trova in C:\suspectfile il file report.txt, comprimilo in un archivio rar o zip ed allegalo qui.

da **pollom** » ven lug 27, 2007 7:02 pm

ok, ho fatto tutto, ora si sta riavviando...

da **pollom** » ven lug 27, 2007 7:07 pm

Mi hai chiesto di allegarti questo?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sttccavo

*******************

Script file located at: \??\C:\WINDOWS\System32\ntnxilwu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\system32\corelsensor.exe deleted successfully.

File C:\WINDOWS\ievke1.dll not found!
Deletion of file C:\WINDOWS\ievke1.dll failed!

Could not process line:
C:\WINDOWS\ievke1.dll
Status: 0xc0000034

File c:\windows\scaricamp3[1].exe not found!
Deletion of file c:\windows\scaricamp3[1].exe failed!

Could not process line:
c:\windows\scaricamp3[1].exe
Status: 0xc0000034

Could not open file c:\wimcom\beauty-planet[1].exe for deletion
Deletion of file c:\wimcom\beauty-planet[1].exe failed!

Could not process line:
c:\wimcom\beauty-planet[1].exe
Status: 0xc000003a

File C:\WINDOWS\Help\Help\services.exe not found!
Deletion of file C:\WINDOWS\Help\Help\services.exe failed!

Could not process line:
C:\WINDOWS\Help\Help\services.exe
Status: 0xc0000034

File C:\DOCUME~1\daniel\IMPOST~1\Temp\4766854.exe not found!
Deletion of file C:\DOCUME~1\daniel\IMPOST~1\Temp\4766854.exe failed!

Could not process line:
C:\DOCUME~1\daniel\IMPOST~1\Temp\4766854.exe
Status: 0xc0000034

File c:\tatuaggi[1].exe not found!
Deletion of file c:\tatuaggi[1].exe failed!

Could not process line:
c:\tatuaggi[1].exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

da **Amantide** » ven lug 27, 2007 7:13 pm

Si, era questo.
Adesso fai la scansione con Virit e dopo allegami sia il suo log che quello fatto con Systemscan.

da **pollom** » ven lug 27, 2007 7:14 pm

Bene, ho fatto la scansione con Hijackthis e ho fixato le voci che mi hai detto, ora chiudo Hijackthis e scarico Virit?

da **pollom** » ven lug 27, 2007 7:16 pm

aspe...scarico virit e lo aggiorno e poi riavvio in modalità provvisoria e poi faccio la scansione di virit...
ho capito bene?

da **BilloKenobi** » ven lug 27, 2007 7:26 pm

sì, hai capito bene. poi, posti il uso log (mi pare il file Viritexp.log) e infine usi systemscan, come ti ha detto amantide

da **pollom** » ven lug 27, 2007 7:32 pm

sempre in modalità provvisoria anche il systemscan?

da **pollom** » ven lug 27, 2007 7:39 pm

bene sto facendo la scansione...

www.MegaLab.it

Ancora Linkoptimizer

Chi c’è in linea