Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

whatabourabit.com ??

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

whatabourabit.com ??

Messaggioda bibo00 » mar giu 05, 2007 11:41 pm

Si tratta sicuramente di un virus o simile ma non riesco a toglierlo.
Quando faccio lo scan con hijack this lo elimino e lui puntuale ritorna.
Avete un consiglio?

Mi scuso per le molte domande di oggi, ma avendo un po' di tempo libero, ne approfitto per risolvere problemi e/o dubbi che mi sto trascinando da tempo.

Grazie a tutti.
O porti una soluzione o fai parte del problema anche tu.
Avatar utente
bibo00
Senior Member
Senior Member
 
Messaggi: 240
Iscritto il: ven mar 11, 2005 8:44 am
Località: forli

Messaggioda crazy.cat » mer giu 06, 2007 9:11 am

C'è un dialer dietro, posta il log di hijackthis e vediamo se si riesce ad individuare.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda bibo00 » mer giu 06, 2007 4:56 pm

Ecco il log : ca**o sono diventati due stavolta.

Ti ricordo che ho provato a toglierlo in modalità provvisoria,senza successo.

Ho fatto lo scan con Panda online, con Avast e stinger ma non lo rilevano.


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Java\jre1.6.0_01\bin\bak\jusched.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Fulvio\Desktop\SICUREZZA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgcom.mediaset.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\Programmi\Babylon\Babylon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/vi ... ebscan.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promot ... 371420.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7A70620-F83A-4E88-82C8-860895A0B4DE}: NameServer = 85.255.115.38 85.255.112.152
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O porti una soluzione o fai parte del problema anche tu.
Avatar utente
bibo00
Senior Member
Senior Member
 
Messaggi: 240
Iscritto il: ven mar 11, 2005 8:44 am
Località: forli


Messaggioda crazy.cat » mer giu 06, 2007 7:46 pm

Prova ad installare questo e fare una scansione completa del disco fisso.
http://download5.emsisoft.com/a2FreeSetup.exe
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda bibo00 » mer giu 06, 2007 11:57 pm

installato a-squared e fatto la scansione.
Non mi ha rilevato niente.
O porti una soluzione o fai parte del problema anche tu.
Avatar utente
bibo00
Senior Member
Senior Member
 
Messaggi: 240
Iscritto il: ven mar 11, 2005 8:44 am
Località: forli

Messaggioda Jim.x » gio giu 07, 2007 12:01 am

bibo00 ha scritto:installato a-squared e fatto la scansione.
Non mi ha rilevato niente.


Oltre a quelli che hai citato e che purtroppo si ripresentano, elimina anche i seguenti:

Codice: Seleziona tutto
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7A70620-F83A-4E88-82C8-860895A0B4DE}: NameServer = 85.255.115.38 85.255.112.152
Attento... se tua moglie si è fatta degli amici, presto si farà anche degli estranei!
Avatar utente
Jim.x
Bronze Member
Bronze Member
 
Messaggi: 604
Iscritto il: sab ott 01, 2005 12:49 pm

Messaggioda crazy.cat » gio giu 07, 2007 12:39 pm

bibo00 ha scritto:installato a-squared e fatto la scansione.
Non mi ha rilevato niente.


Guarda nella cartella windows\Downloaded Program Files se ci sono degli exe strani e fai una pulizia con ccleaner dei temp e temporanei di internet.
E un dialer abbastanza nuovo e non è chiaro dove si nasconda.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda albrau » gio giu 14, 2007 2:18 pm

Ciao a tutti...

www.whataboutarabit.com e www.whataboutadog.com

ho gli stessi problemi e la soluzione sembra difficile poichè ancora nessun antivirus è stato aggiornato.

I problemi che crea sembra siano oltre alll'istallazione di connessioni, la modifica delle preferenze di explorer inserendo i suddetti siti nella categoria siti attendibili,
inoltre modifica alcuni file specialmente degli antivirus spostando gli originali nella cartelle bak, ma anche ripristinandoli tutti ricompare puntualmente...
Iinsendo i siti nei "siti con restrizione" vengono successivamente tolti e reinseriti nei siti attendibili...

le scansioni online fatte con diversi antivirus sono inefficaci...

anche esaminando i log HijackThis ed eliminando tutto il sospetto... ricompare puntualmente...

Ho anche il sospetto che modifichi iexplore.exe

Se qualcuno ha notizie in merito... ringrazio

Albrau
Avatar utente
albrau
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: gio giu 14, 2007 1:50 pm
Località: Milano

Messaggioda crazy.cat » gio giu 14, 2007 2:28 pm

albrau ha scritto:Se qualcuno ha notizie in merito... ringrazio

Proviamo a vedere intanto un log di questo programma
http://noahdfear.geekstogo.com/FindAWF.exe

Poi segui i consigli finali di billokenobi per vedere l'altro log di sistemscan
http://www.MegaLab.it/forum/viewtopic.p ... 310#259310

il virus/dialer è nuovo e vediamo di capirci qualcosa anche noi.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda albrau » gio giu 14, 2007 5:38 pm

Proviamo a vedere intanto un log di questo programma
http://noahdfear.geekstogo.com/FindAWF.exe


Avevo già provato, il programma parte ma si blocca subito sulla ricerca:


Searching for bak folders
Please wait


Adesso vado avanti con le prove..... speriamo bene....
Avatar utente
albrau
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: gio giu 14, 2007 1:50 pm
Località: Milano

Messaggioda albrau » gio giu 14, 2007 6:26 pm

Proviamo a vedere intanto un log di questo programma
http://noahdfear.geekstogo.com/FindAWF.exe


Chiedo umilmente scusa... non avevo visto i file creati..
ecco il log:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: EC09-F20A

Directory di C:\WINDOWS\SYSTEM32\BAK

10/09/2002 14.00 13.312 ctfmon.exe
1 File 13.312 byte
2 Directory 15.965.274.112 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: EC09-F20A

Directory di C:\PROGRA~1\CREATIVE\SHARED~1\BAK

27/10/2005 20.00 299.008 CamTray.exe
1 File 299.008 byte
2 Directory 15.965.274.112 byte disponibili
Il volume nell'unit… D Š ARCHIVIO
Numero di serie del volume: 44BF-9831

Directory di D:\WINDOWS\SYSTEM32\BAK

10/09/2002 12.00 13.312 ctfmon.exe
1 File 13.312 byte
2 Directory 58.918.436.864 byte disponibili
Il volume nell'unit… D Š ARCHIVIO
Numero di serie del volume: 44BF-9831

Directory di D:\PROGRA~1\GRISOFT\AVG7\BAK

08/06/2007 17.49 416.256 avgcc.exe
1 File 416.256 byte
2 Directory 58.918.436.864 byte disponibili
Il volume nell'unit… D Š ARCHIVIO
Numero di serie del volume: 44BF-9831

Directory di D:\PROGRA~1\GRISOFT\AVGANT~1.5\BAK

07/10/2006 14.20 6.266.880 avgas.exe
12/06/2007 22.55 972 error.txt
2 File 6.267.852 byte
3 Directory 58.918.436.864 byte disponibili
Il volume nell'unit… F Š RECOVERY
Numero di serie del volume: 6446-9A99

Directory di F:\WINDOWS\SYSTEM32\BAK

10/09/2002 12.00 13.312 ctfmon.exe
1 File 13.312 byte
2 Directory 1.024.180.224 byte disponibili
Il volume nell'unit… F Š RECOVERY
Numero di serie del volume: 6446-9A99

Directory di F:\PROGRA~1\MESSEN~1\BAK

20/08/2002 15.08 1.511.453 msmsgs.exe
1 File 1.511.453 byte
2 Directory 1.024.180.224 byte disponibili
Il volume nell'unit… F Š RECOVERY
Numero di serie del volume: 6446-9A99

Directory di F:\PROGRA~1\MSNMES~1\BAK

16/06/2006 14.39 5.324.584 msnmsgr.exe
1 File 5.324.584 byte
2 Directory 1.024.180.224 byte disponibili
Il volume nell'unit… F Š RECOVERY
Numero di serie del volume: 6446-9A99

Directory di F:\PROGRA~1\GRISOFT\AVGANT~1.5\BAK

07/10/2006 14.20 6.266.880 avgas.exe
06/06/2007 21.20 120 logfile.txt
2 File 6.267.000 byte
2 Directory 1.024.180.224 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



Comunque tutti questi file li avevo trovati sotto Windows e li avevo ripristinati tutti...

Saluti

Albrau
Avatar utente
albrau
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: gio giu 14, 2007 1:50 pm
Località: Milano


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 13 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising