Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Malware non trovati!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Malware non trovati!

Messaggioda ChupaTheSnake » lun mag 28, 2007 7:03 pm

Ciao a Tutti!
Io sono un novizio di questo forum e cercando una risoluzione al mio problema vi ci sono incappato quasi per caso!
Sono giorni che qualcosa di non identificato tormenta il mio computer(e non solo).
Tutto è cominciato qualche giorno fa quando, mentre stavo su internet, ho beccato un malware (probabilmente mi da problemi a tutti i file con estensione .exe o perlomeno così mi è sembrato di capire).
Comunque ho fatto una scansione con avg e mi ha trovato un paio di Trojan che sono riuscito a rimuovere dalla modalità provvisoria perché non me li faceva cancellare!I nomi dei processi che attivavano erano:iesmin.exe & iaesmin.exe.
Da questo punto in poi la storia si complica...di tanto in tanto mi viene segnalato un errore ad explorer.exe e l'operazione viene terminata....ma explorer non si rigenera e sono dunque costretto a riavviare il pc dalla task manager altrimenti non posso fare niente.
Anche windows media player mi da il problema dell'invio segnalazione errori.
Il guaio si è esteso al mio pen-drive che abitualmente connetto al pc;
ho dovuto formattarlo perché mi segnalava un trojan VB(script) in E:\Recycled\ctfmon.exe. Ma nonostante la formattazione il Trojan (anzi il figlio di Tr....) sembra ricomparire di tanto in tanto.
Ho provato quasi di tutto:
1- Analisi del log con Hjth (mi ha trovato solo i 2 trojan cancellati in precedenza e li ho opportunamente fixati)
2- Scansione con altri antivirus (bitdefender online, ho provato anche a scaricare il trial di sophos ma non l'ho istallato perché c'erano problemi con la "condivisione semplice" che sinceramente non ho capito)
Ogni tanto mi compare anche tra i processi attivi un file di testo "ogvguwke.txt" che si trova in Windows\system32 ma non me lo fa cancellare(mi dice file protetto accesso negato)!

Non so davvero + cosa fare e per questo mi rimetto alla vostra bravura e clemenza per cercare di risolvere questo/i problema/i!

Grazie anticipate!!!!!!!!!!!!!!!!

P.s.:vi allego il file di log casomai a voi potrebbe essere d'aiuto:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.03.30, on 28/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Documents and Settings\kris\Desktop\gmer.exe
C:\Documents and Settings\kris\Desktop\HiJackThis_v2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 4330 bytes
[/list]
Life Is Now!
Avatar utente
ChupaTheSnake
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun mag 28, 2007 6:33 pm

Messaggioda crazy.cat » lun mag 28, 2007 8:42 pm

Il log è anche pulito da quello che si vede.
E' quello che non si vede che è più preoccupante, manca il sp2 e manca un vero antivirus, avg antispyware non basta.
Installa active virus shield e fai una bella scansione del pc e vedi cosa trova.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ChupaTheSnake » lun mag 28, 2007 9:23 pm

Grazie Crazy,
ora ci provo ma purtroppo il pc non è mio, è di un mio compagno di casa, e non è un grandissimo computer quindi Lui ha deciso di non mettere il service pack 2 perché ha detto che gli si rallenta troppo!
Life Is Now!
Avatar utente
ChupaTheSnake
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun mag 28, 2007 6:33 pm


X crazy.cat

Messaggioda ChupaTheSnake » mar mag 29, 2007 9:28 pm

Ciao Crazy,
ho fatto come mi hai detto:ho scaricato avs e ho fatto fare una scansione completa di C:, D: e anche del mio pen-drive e mi ha trovato un po' di trojan in una dll di Windows ed un .exe che non sono riuscito ad individuare ma che suppongo abbia cancellato come la dll finta.
Ho provato ad allegarti un'immagine...non sò se sei riuscito a vederla dato che sono un po' impedito e non sono sicurissimo di averla caricata correttamente. Se sai qualcosa in più ti prego di farmelo sapere e ti ringrazio nuovamente!
Life Is Now!
Avatar utente
ChupaTheSnake
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun mag 28, 2007 6:33 pm

Messaggioda crazy.cat » mer mag 30, 2007 9:15 am

Si sono risolti i problemi?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ChupaTheSnake » mer mag 30, 2007 6:16 pm

Non ne sono totalmente sicuro ma per ora non mi sta dando particolari problemi, se ce ne dovessero essere, ti faccio sapere.
Volevo chiederti solo una cosa: avs quando mi ha rilevato i files infettati dai trojan ha provato a disinfettarli ma non ci è riuscito.Quindi mi ha chiesto se volevo eliminarli ed io l'ho fatto! Mi sapresti spiegare che differenza c'è?
Potrebbe anche accadere che una dll infetta sia disinfettata senza essere cancellata?
Grazie della disponibilità e perdona la mia Ignoranza!
Life Is Now!
Avatar utente
ChupaTheSnake
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun mag 28, 2007 6:33 pm

Messaggioda crazy.cat » mer mag 30, 2007 8:24 pm

Rasapi32.dll è una dll di sistema per quello ti ha detto che voleva ripulirla.
Occupandosi dell'accesso remoto questa dll, se riesci a collegarti lo stesso, evidentemente non serviva a molto.
Se una dll è di un virus non credo proprio che provi a salvarla pulendola, la cancella e basta.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ChupaTheSnake » sab giu 02, 2007 2:21 pm

ciao Crazy,
scusa se ti disturbo ancora. I problemi del pc sembrano essersi risolti ma ne è rimasto uno. Il pen drive, nonostante avs mi abbia eliminato il file, quando lo collego ad altri computer(soprattutto a quelli del laboratorio di informatica all'università), mi da accesso negato perché trova il solito trojan in E:\Reclyded\ctfmon.exe e non me lo fa eliminare nè disinfettare nè niente di niente. Premetto che ho già provato a formattarlo 4 o 5 volte ma niente di fatto. Sapresti dirmi qualche cosa in merito? Non so, magari se fosse possibile leggere i files di log di periferiche per l'archiviazione usb. Grazie!
Life Is Now!
Avatar utente
ChupaTheSnake
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun mag 28, 2007 6:33 pm

Messaggioda crazy.cat » sab giu 02, 2007 2:41 pm

ChupaTheSnake ha scritto:Sapresti dirmi qualche cosa in merito?

Se lo colleghi al tuo pc non ti da nessun avviso?
La formattazione riesce?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ChupaTheSnake » dom giu 03, 2007 9:09 pm

Al mio pc non dà nessun avviso ma agli altri pc a volte esce! La formattazione riesce, ed è quella completa non quella veloce.
Poi ci sono dei files e processi sospetti, ad esempio:

1- CDAC11BA.EXE (un processo di sistema.A dir la verità non mi è tanto sospetto, sò che è dipendente da un'installazione di autocad ma non riesco a capire perché è sempre attivo e a cosa serva!)

2- Due .dll in C:\windows\system32 : clauth1 e clauth2 (sono di autore sconosciuto ed hanno una data di creazione abbastanza recente)

3- Un file .txt sempre in C:\windows\system32 : ogvguwke.txt al quale non mi fa accedere in lettura (mi dice accesso negato), e di conseguenza non mi fa neanche cancellare. Di tanto in tanto mi compare anche tra i processi attivi nella task manager.

Mi daresti ancora una volta una mano?
Mi sto davvero disperando!
Life Is Now!
Avatar utente
ChupaTheSnake
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: lun mag 28, 2007 6:33 pm

Messaggioda crazy.cat » lun giu 04, 2007 9:22 am

1) E' pulito
cdac11ba.exe is a process belonging to MacroVision safeCast copy protection software. This piece of software allows manufacturers to protect their products from illegal duplication. Disabling, or deleting this process may corrupt the product it was supplied with.

2) quei nomi di dll, sono presenti in svariate cose, da programmi linux a borland, a un virus.
Carica i file sul sito www.virustotal.com e falli analizzare a loro.

3) Riesci a copiarti il file da un altra parte e tentare di aprirlo per vedere cosa ci scrive dentro.
Hai provato magari con unlocker ad eliminarlo?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising