Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Allarme trojan!!!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Allarme trojan!!!

Messaggioda MirrorHole » lun mag 08, 2006 12:16 am

Ciao a tutti!
AVG mi avverte della presenza di un trojan di cui non so il nome!
Dopo l'avviso di AVG è successa un'altra cosa: mi si apre in continuazione Lime Wire!
Vi posto il mio log file:


Logfile of HijackThis v1.99.1
Scan saved at 0.55.25, on 08/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Microsoft Hardware\Keyboard\type32.exe
C:\Programmi\File comuni\Logitech\QCDriver3\LVCOMS.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\MsMovies\MsMovies.exe
C:\Programmi\LimeWire\LimeWire.exe
C:\Documents and Settings\Angelo\Documenti\Danilo\UtilitaSistema\LogFile\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programmi\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MsMovies] C:\Programmi\MsMovies\MsMovies.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 -reboot 1
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C1D7FDB-E012-4AEC-8CB6-C4FE8D43C060}: NameServer = 85.37.17.17 85.38.28.72
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Motorola Inc. - (no file)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - (no file)

Grazie e ciao!
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am

Messaggioda crazy.cat » lun mag 08, 2006 7:16 am

Dal log nno si vede niente.
Prova a fare una scansione dalla modalità provvisoria con questo
http://www.MegaLab.it/2248
oppure www.kaspersky.com e t fai uno scan online, non ti toglie i problemi ma almeno ti dice dove sono.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MirrorHole » mar mag 09, 2006 8:55 am

Scusami Crazy [sbigot] ...mi sa che il primo link che mi hai mandato è quello riguardante l'articolo sul compressore Izarc!
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am


Messaggioda crazy.cat » mar mag 09, 2006 9:17 am

Copia e incolla un po di fretta.
Questo è giusto
http://www.MegaLab.it/2333
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MirrorHole » mar mag 09, 2006 10:38 am

Allora Crazy ieri ho fatto la scansione online con KasperSky: oltre a qualche trojan e ad un'infinità di file infetti, mi ha rilevato quattro virus che identifica come W32.parite.b!!!

I trojan e i file infetti dovrei averli eliminati con Ewido, ora dovrei fare la scansione con Scangui!

Non esiste un modo manuale per eliminare W32.parite.b...sul web ne ho trovata qualcuna, ma sono tutte in comodissimo spagnolo!!!

Grazie e ciao!!!
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am

Messaggioda crazy.cat » mar mag 09, 2006 10:47 am

C'è anche l'inglese
http://www.pandasoftware.com/virus_info ... irus=18181

Se sai quali sono i file infetti, usa Delete doctor per cancellarli al riavvio del pc.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MirrorHole » ven mag 12, 2006 11:24 am

Ciao Crazy!

Allora...ho fatto anche la scansione con Trend Micro SysClean in modalità provvisoria ma non mi ha rilevato nulla! Poi ho eseguito in modalità provvisoria anche Scangui (come mi avevi consigliato) e mi ha eliminato un trojan, purtroppo la scansione si è bloccata verso la fine!
Ho riprovato a fare una scansione on-line con KasperSky e mi rileva ancora un virus, questo è il log:


Scan Statistics
Total number of scanned objects 34225
Number of viruses found 1
Number of infected objects 0
Number of suspicious objects 2
Duration of the scan process 00:46:38

Infected Object Name Virus Name Last Action
C:\Recycled\Dc151.zip/RestartApp.exe Suspicious: Password-protected-EXE skipped
C:\Recycled\Dc151.zip ZIP: suspicious - 1 skipped


Se provo a cancellare manualmente i file posso fare qualche danno?
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am

Messaggioda Mr.TFM » ven mag 12, 2006 11:57 am

C:\Recycled non è la cartella del cestino?
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda crazy.cat » ven mag 12, 2006 6:19 pm

Mr.TFM ha scritto:C:\Recycled non è la cartella del cestino?

Si.
Svuota il cestino senza problemi.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MirrorHole » ven mag 12, 2006 6:28 pm

[:I] [sedia]!!!

Però mi si verifica un altro problema: quando faccio Start->Esegui->Regedit mi appare questo messaggio:

c:\windows\system32\regedit.com
c:\progra~1|symantec\s32evnt1.dll
Un driver di periferica virtuale non è riuscito a inizializzare la Dll Scegliere chiudi per terminare l'applicazione.
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am

Messaggioda crazy.cat » ven mag 12, 2006 6:43 pm

Questo è un virus
c:\windows\system32\regedit.com
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MirrorHole » ven mag 12, 2006 6:58 pm

Come lo elimino?
Provo a cancellarlo manualmente?
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am

Messaggioda crazy.cat » ven mag 12, 2006 7:01 pm

Si, e forse è meglio se pensi ad un altro antivirus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MirrorHole » ven mag 12, 2006 7:07 pm

Ok ora ci provo?

Fino a ieri avevo AVG!
Oggi l' ho sostituito con avast!, che ho settato come nell'articolo tuo e di Ema!
Eppure AVG doveva funzionare bene!!! Boh...vediamo avast! come si comporta!

Qualche consiglio?
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am

Messaggioda MirrorHole » ven mag 12, 2006 7:19 pm

Ok ho dato il percorso a Delete Doctor e l'ho cancellato al riavvio del sistema...e ora regedit fonziona!

Ho provato a fare Start->Esegui->cmd e mi appare un messaggio simile a quello che mi compariva per regedit:
c:\windows\system32\cmd.com

è un virus anche questo?
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am

Messaggioda crazy.cat » sab mag 13, 2006 7:12 am

Si visto che esiste il file cmd.exe
Prova a fare una ricerca di tutti i file *.com che hai nel pc, mi sembra che tu sia stato infettato alla grande.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MirrorHole » sab mag 13, 2006 10:53 am

Ok eliminato anche cmd.com!
Ora funziona anche il comando cmd!

Ho fatto anche la ricerca *.com, sono tutti file che si trovano in:
c:\documants and settings\angelo\dati e applicazioni\macromedia\flash player\

ed un file chiamato ntdetct.com situato in c:\windows\servicepackfiles\i386

Che faccio quelli nella cartella flash player posso cancellarli?
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am

Messaggioda crazy.cat » sab mag 13, 2006 11:33 am

No, lasciali stare tutti quanti.
Se non vedi altri problemi, direi che hai risolto tutto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MirrorHole » sab mag 13, 2006 11:51 am

Ok crazy,
ho rifatto una scansione on-line con KasperSky: risulta tutto pulito!

Speriamo bene!
Ora come ti ho detto ho instasllato avast!, se anche con questo prendo delle schifezze penso di ripassare a NAV 2004...lo so è un elefante, ma con quello non ricordo di aver mai beccato nulla!

Grazie mille crazy, sei un grande!
Ciao
Avatar utente
MirrorHole
Senior Member
Senior Member
 
Messaggi: 159
Iscritto il: gio nov 24, 2005 11:27 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 25 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising