MegaLab.it


http://www.megalab.it/forum/

Possibile Trojan - spam web

./viewtopic.php?f=33&t=73880&start=0

Pagina 1 di 2

Possibile Trojan - spam web

MessaggioInviato: mer ott 05, 2011 3:38 pm
da maux
Ciao a tutti,
riscontro da qualche settimana il seguente problema:
in modo randomico, con mozilla firefox, quando apro alcuni link (anche ad esempio http://www.google.it) mi si aprono altre pagine web relative a giochi online con un messaggio che mi comunica di premere ok per restare nella pagina o annulla.
Potete verificare gentilmente se è presente qualche trojan/malware nel mio pc ?
Grazie

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.16.25, on 05/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17099)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Oracle\bin\omtsreco.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HTC\Internet Pass-Through\PassThruSvr.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Programmi\Messenger Plus!\PlusService.exe
C:\Programmi\HTC\HTC Sync 3.0\htcUPCTLoader.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\DOCUME~1\mauro\IMPOST~1\Temp\RtkBtMnt.exe
C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programmi\Cisco Systems\VPN Client\vpngui.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
D:\Sun\xVM VirtualBox\VirtualBox.exe
D:\Sun\XVMVIR~1\VBoxSVC.exe
D:\Sun\XVMVIR~1\VirtualBox.exe
C:\Programmi\DivX\DivX Update\DivXUpdate.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\mauro\Desktop\SoftonicDownloader_per_hijackthis.exe
C:\Programmi\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://it.intl.acer.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PlusService] C:\Programmi\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [HTC Sync Loader] "C:\Programmi\HTC\HTC Sync 3.0\htcUPCTLoader.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe -update activex
O4 - HKUS\S-1-5-21-3491273418-977637529-554660954-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-3491273418-977637529-554660954-1005\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler (User '?')
O4 - HKUS\S-1-5-21-3491273418-977637529-554660954-1005\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe -update activex (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmi\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C80A9871-5972-4D58-8314-CF42556B93AD}: Domain = etnoteam.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{C80A9871-5972-4D58-8314-CF42556B93AD}: NameServer = 10.44.19.90,10.44.19.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8179509-5C35-4205-9573-45C72C1B21F4}: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = etnoteam.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Oracle\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Oracle\BIN\ONRSD.EXE
O23 - Service: Internet Pass-Through Service (PassThru Service) - Unknown owner - C:\Programmi\HTC\Internet Pass-Through\PassThruSvr.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 8801 bytes

Re: Possibile Trojan - spam web

MessaggioInviato: mer ott 05, 2011 6:02 pm
da Berga95
Vedo che hai Avira installato nel tuo sistema, hai provato a fare una scansione completa? [^]

Re: Possibile Trojan - spam web

MessaggioInviato: mer ott 05, 2011 6:44 pm
da crazy.cat
Hai qualcosa a che fare con gli indirizzi che vedi qui sotto?
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8179509-5C35-4205-9573-45C72C1B21F4}: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = etnoteam.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169

etnoteam.com è un sito cinese o giapponese.

Una passata con malwarebytes aggiornato è consigliato, oltre alla rimozione delle righe indicate più sopra se non le riconosci.

Re: Possibile Trojan - spam web

MessaggioInviato: mer ott 05, 2011 6:49 pm
da Berga95
crazy.cat ha scritto:etnoteam.com è un sito cinese o giapponese.

Giapponese per la precisione, si distinguono vari hiragana e katakana [std]
crazy.cat ha scritto:la rimozione delle righe indicate più sopra se non le riconosci.

[^]
Allega i log facendo copia-incolla e racchiudendoli dal tag MEMO, in questo modo:
Codice: Seleziona tutto
[MEMO]Qui ci va il log[/MEMO]

Effetto:

Avira blablablabla


EDIT: Caricheresti C:\DOCUME~1\mauro\IMPOST~1\Temp\RtkBtMnt.exe su Virustotal? Non capisco perché giri in Temp... [uhm]

Re: Possibile Trojan - spam web

MessaggioInviato: gio ott 06, 2011 10:19 am
da maux
Berga95 ha scritto:Vedo che hai Avira installato nel tuo sistema, hai provato a fare una scansione completa? [^]


Ho eseguito una scansione completa ma non ha rilevato nessuna minaccia

Re: Possibile Trojan - spam web

MessaggioInviato: gio ott 06, 2011 10:21 am
da maux
crazy.cat ha scritto:Hai qualcosa a che fare con gli indirizzi che vedi qui sotto?
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8179509-5C35-4205-9573-45C72C1B21F4}: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = etnoteam.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169

etnoteam.com è un sito cinese o giapponese.

Una passata con malwarebytes aggiornato è consigliato, oltre alla rimozione delle righe indicate più sopra se non le riconosci.


etnoteam.com è l'azienda presso la quale lavoro, perciò non rimuovo le righe sopraindicate.
Ho fatto una scansione completa con malwarebytes ma anche li non rilevo anomalie

Re: Possibile Trojan - spam web

MessaggioInviato: gio ott 06, 2011 10:23 am
da maux
Berga95 ha scritto:EDIT: Caricheresti C:\DOCUME~1\mauro\IMPOST~1\Temp\RtkBtMnt.exe su Virustotal? Non capisco perché giri in Temp...


Fatto, ma non sono state segnalate minacce
Altre idee?

Re: Possibile Trojan - spam web

MessaggioInviato: gio ott 06, 2011 10:43 am
da crazy.cat
Passiamo a combofix allora, scansione e posta il log che esce.

Re: Possibile Trojan - spam web

MessaggioInviato: gio ott 06, 2011 10:56 am
da maux
crazy.cat ha scritto:Passiamo a combofix allora, scansione e posta il log che esce.


Errata corrige.
Avevo scritto che la scansione malware bytes non aveva segnalato anomalie...in realtà era al 98% della scansione.
Adesso che ha terminato la scansione ho ottenuto i seguenti risultati:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.198,93.188.160.169) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D8179509-5C35-4205-9573-45C72C1B21F4}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.198,93.188.160.169) Good: () -> No action taken.


Queste due voci di registro sono le stesse riportate anche nel log di Hijackthis.
Visto anche il nome della minaccia (Trojan.DNSChanger) credo proprio sia l'origine del mio problema.

Grazie per l'aiuto!!

Re: Possibile Trojan - spam web

MessaggioInviato: gio ott 06, 2011 11:11 am
da maux
Mi resta il seguente dubbio:
ho provato ad eliminare il file RtkBtMnt.exe dal seguente path C:\DOCUME~1\mauro\IMPOST~1\Temp

Ad oggi riavvio, quel file riappare.
E' corretto che si verifichi ciò?

Re: Possibile Trojan - spam web

MessaggioInviato: gio ott 06, 2011 2:14 pm
da Berga95
Il file dovrebbe essere della Realtek, quindi non ci sono problemi [^] Nel report di VT ci dovrebbe essere qualche informazione su questo [^]
Mi sembrava solo strano il fatto che girasse in quella cartella [std]

Re: Possibile Trojan - spam web

MessaggioInviato: gio ott 06, 2011 5:32 pm
da crazy.cat
maux ha scritto:Visto anche il nome della minaccia (Trojan.DNSChanger) credo proprio sia l'origine del mio problema.
Grazie per l'aiuto!!

Diciamo che sono uno degli effetti possibili, l'origine (malware) la dobbiamo ancora trovare.
Prova anche hitman pro oltre a combofix.

Re: Possibile Trojan - spam web

MessaggioInviato: mar ott 11, 2011 7:21 pm
da maux
Hitman pro non mi rileva problema.
Ha rilevato solamente 12 tracking cookies che ho eliminato.
Combofix invece non riesco ad eseguirlo: facendo doppio click sull'eseguibile non succede nulla e non va in esecuzione (ho disattivato antivirus e firewall e il file di installazione l'ho scaricato da MegaLab....)

Potrei avere qualche malware che impedisce l'esecuzione di combofix ?

Re: Possibile Trojan - spam web

MessaggioInviato: mer ott 12, 2011 4:21 pm
da crazy.cat
maux ha scritto:Potrei avere qualche malware che impedisce l'esecuzione di combofix ?

Si, può essere.
Prova a scaricare avira rescue cd e fai la scansione da cd di boot.

Re: Possibile Trojan - spam web

MessaggioInviato: mer ott 12, 2011 7:39 pm
da maux
Ho scaricato avira rescue cd e fatto la scansione completa...ci ha messo due ore e 30minuti circa ma non ha rilevato nessuna infezione :-(

Re: Possibile Trojan - spam web

MessaggioInviato: ven ott 14, 2011 6:00 pm
da maux
Estendo il problema sulla redirect dei siti randomica con i seguenti problemi che credo siano determinati dallo stesso malware/trojan:
da un paio di settimane scorse ho i seguenti problemi all'avvio di windows:
-Compare il Messaggio di errore "Generic Host Process for Win32 Services"
-L'audio non funziona e non risulta nessuna periferica audio collegata (ma non è vero)
-Dopo qualche minuto la barra degli strumenti diventa bianca
-Il firewall risulta disattivato e se cerco di attivarlo mi compare il mess "impossibile attivare il servizio Windows firewall"

Al momento ho effettuato:
- una scansione con Avira ma non mi ha rilevato virus.
- una scansione con hitman pro ma non mi ha rilevato nessuna infezione.
- una scansione con malwarebytes e mi ha rilevato il trojan dns.charger che ho rimosso
- combofix non riesco ad eseguirlo (forse perché bloccato dal trojan)

Cos'altro posso fare?
Grazie

Re: Possibile Trojan - spam web

MessaggioInviato: ven ott 14, 2011 6:07 pm
da hashcat
Prova a fare una scansione completa con Emsisoft Anti-Malware 6.0 (dopo averlo aggiornato)
Ed una ulteriore con Dr.WEB CureIt!

[^]

Re: Possibile Trojan - spam web

MessaggioInviato: ven ott 14, 2011 6:08 pm
da Uomo_Senza_Sonno
Da quello che segnali ti invito a leggere quest'articolo ed a provare il tool per la rimozione, ma prima effettua un controllo con questo rescue disk
(in aggiunta a quanto già consigliato [;)] )

Re: Possibile Trojan - spam web

MessaggioInviato: ven ott 14, 2011 9:40 pm
da AsRock
Io ti consiglio di rinominare combofix con un nome di fantasia [^]

Re: Possibile Trojan - spam web

MessaggioInviato: sab ott 15, 2011 10:59 am
da maux
hashcat ha scritto:Prova a fare una scansione completa con Emsisoft Anti-Malware 6.0 (dopo averlo aggiornato)
Ed una ulteriore con Dr.WEB CureIt!

[^]


La scansione con EmsisoftAntiMalwareSetup.exe (aggiornato) mi ha rilevato due malware:
- un rootkit Win32
- un trojan Win32
che ho rimosso

La scansione con Dr.WEB CureIt! mi ha rilevato un backdoor che ho rimosso tramite riavvio pc.

Tutti i problemi che avevo sono rientrati!
Grazie mille!
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 2
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/