www.MegaLab.it

[garlam]

Effettuando una scansione del sistema con Norton Antivirus mi è
stato segnalato un Trojan di tipo Trojan.ByteVerify.

Ho cancellato i file (due per la precisione : VerifierBug.class e VerifierBug[1].class) e ho
creduto che tutto fosse finito.

Ho notato però che la connessione ad internet viene spesso interrotta ed oggi,
cercando di collegarmi al sito http://mrpostman.sourceforge.net ho subito
un redirect ad un sito pornografico.

Può darsi che il virus abbia modificato l'indirizzo del DNS ???? Nelle impostazioni
della connessione è selezionata la casella : "ottieni indirizzo DNS atomaticamente".

Cosa posso fare ?????
Come ha fatto ad infettarsi il computer se ho continuamente attivi antivirus (Norton) e
firewall (ZoneAlarm) ???

Ho fatto un' ulteriore scansione con l'antivirus proprio oggi ma non ne sono stati rilevati.

P.S

Il S.O è Windows XP Home SP1

[Slyman]

Hai provato una scansione con <b>Ad-Aware</b>?
E controlla i processi nel task manager

[EntropheaR]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da garlam</i>
<br />
Può darsi che il virus abbia modificato l'indirizzo del DNS ???? Nelle impostazioni
della connessione è selezionata la casella : "ottieni indirizzo DNS atomaticamente".
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Svuota il file hosts ...
Lo so che dopo averlo ripetuto almeno il altri 3 3d sembra oramai una barzelletta ma la causa potrebbe essere una modifica all'hosts, cosa che sembrerebbe andare parecchio di moda.

[garlam]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da EntropheaR</i>
<br /><blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da garlam</i>
<br />
Può darsi che il virus abbia modificato l'indirizzo del DNS ???? Nelle impostazioni
della connessione è selezionata la casella : "ottieni indirizzo DNS atomaticamente".
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Svuota il file hosts ...
Lo so che dopo averlo ripetuto almeno il altri 3 3d sembra oramai una barzelletta ma la causa potrebbe essere una modifica all'hosts, cosa che sembrerebbe andare parecchio di moda.
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

se ti riferisci al file c:windowssystem32drivershosts ho solo queste due righe (oltre a dei commenti #):

127.0.0.1 localhost
127.0.0.1 CookieCop

[garlam]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da Slyman</i>
<br />Hai provato una scansione con <b>Ad-Aware</b>?
E controlla i processi nel task manager
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Ho fatto la scansione. Questo è il risultato:

Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Windows Object recognized!
Type : RegData
Data :
Rootkey : HKEY_CURRENT_USER
Object : SoftwareMicrosoftMediaPlayerPlayerSettings
Value : Client ID
Data :


Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1


Other Object recognized!
Type : File
Data : selecta@cgi-bin[2].txt
Object : C:Documents and SettingsSelectACookies

Created on : 11/01/2004 1.07.58
Last accessed : 17/01/2004 1.22.18
Last modified : 11/01/2004 1.07.58

Ho eliminato gli oggetti ma continuo ad essere rediretto sullo stesso sito pornografico. :-(

Ci sono due processi che mi insospettiscono:

#:12 [plserv.exe]
FilePath : C:WINDOWSSystem32
ThreadCreationTime : 17-01-2004 0.51.08
BasePriority : Normal
FileSize : 1164 KB
FileVersion : 2.01
ProductVersion : 2.0
Copyright : Copyright :Aladdin Knowledge Systems Ltd. 2001
CompanyName : Aladdin Knowledge Systems
FileDescription : Privilege Server
InternalName : PLServ
OriginalFilename : PLServ.exe
ProductName : Privilege Licenser
Created on : 14/10/2003 16.19.46
Last accessed : 17/01/2004 0.51.09
Last modified : 21/11/2001 18.18.10

#:17 [rmctrl.exe]
FilePath : C:WINDOWSSystem32
ThreadCreationTime : 17-01-2004 0.51.28
BasePriority : Normal
FileSize : 32 KB
Created on : 22/12/2001 18.49.23
Last accessed : 17/01/2004 0.50.59
Last modified : 09/11/2001 20.17.26

Avete qualche informazione a riguardo ?????

Cosa posso fare ????

[Terno]

<i>rmctrl.exe</i> è un processo di PowerDVD (l'hai installato)

<i>plserv.exe</i> non so che sia.

Riesci a dirci l'elenco delle applicazioni (non servizi) che partono all'avvio del sistema?

[garlam]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da Terno</i>
<br /><i>rmctrl.exe</i> è un processo di PowerDVD (l'hai installato)

<i>plserv.exe</i> non so che sia.

Riesci a dirci l'elenco delle applicazioni (non servizi) che partono all'avvio del sistema?
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Si, ho installato PowerDVD.

Le applicazioni che partono sono:

Zone Alarm
Msn Messenger
Antivir Guard
Post-it Notes
Sound Effect Manager

[garlam]

Problema risolto.

Ho cancellato la cronologia ed i file temporanei di internet, ho riprovato il link "maledetto" e tutto funziona.

Grazie mille per l'aiuto.