Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

ciao a tutti sono stato infetta da: Trojan.Clicker

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

ciao a tutti sono stato infetta da: Trojan.Clicker

Messaggioda cicciostefy » lun lug 02, 2007 8:00 am

ciao, sono stato infettato da Trojan.Click. leggengo nei vari forum sono arrivato alla conclusione che non è assolutamente facile rimuoverlo.
Ecco il log fatto con gmer:
SSDT a347bus.sys ZwClose
SSDT a347bus.sys ZwCreateKey
SSDT a347bus.sys ZwCreatePagingFile
SSDT a347bus.sys ZwEnumerateKey
SSDT a347bus.sys ZwEnumerateValueKey
SSDT a347bus.sys ZwOpenFile
SSDT a347bus.sys ZwOpenKey
SSDT a347bus.sys ZwQueryKey
SSDT a347bus.sys ZwQueryValueKey
SSDT a347bus.sys ZwSetSystemPowerState

---- User code sections - GMER 1.0.13 ----

.text C:\windows\Explorer.EXE[1008] ntdll.dll!NtEnumerateKey 7C91D94C 6 Bytes PUSH 022B20A7; RET
.text C:\windows\Explorer.EXE[1008] ntdll.dll!NtEnumerateValueKey 7C91D976 6 Bytes PUSH 022B2498; RET
.text C:\windows\Explorer.EXE[1008] ntdll.dll!NtQuerySystemInformation 7C91E1AA 6 Bytes PUSH 022B279E; RET
.text C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe[1284] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, 9E ]
.text C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe[1284] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe[1284] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, 98, 24, 9E ]
.text C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe[1284] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe[1284] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 9E, 27, 9E ]
.text C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe[1284] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\windows\SOUNDMAN.EXE[1324] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, BE ]
.text C:\windows\SOUNDMAN.EXE[1324] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\windows\SOUNDMAN.EXE[1324] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, 98, 24, BE ]
.text C:\windows\SOUNDMAN.EXE[1324] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\windows\SOUNDMAN.EXE[1324] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 9E, 27, BE ]
.text C:\windows\SOUNDMAN.EXE[1324] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE[1360] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, DF ]
.text C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE[1360] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE[1360] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, 98, 24, DF ]
.text C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE[1360] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE[1360] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 9E, 27, DF ]
.text C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE[1360] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\Programmi\Logitech\iTouch\iTouch.exe[1372] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, F2 ]
.text C:\Programmi\Logitech\iTouch\iTouch.exe[1372] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\Programmi\Logitech\iTouch\iTouch.exe[1372] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, 98, 24, F2 ]
.text C:\Programmi\Logitech\iTouch\iTouch.exe[1372] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\Programmi\Logitech\iTouch\iTouch.exe[1372] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 9E, 27, F2 ]
.text C:\Programmi\Logitech\iTouch\iTouch.exe[1372] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe[1380] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, 9C ]
.text C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe[1380] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe[1380] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, 98, 24, 9C ]
.text C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe[1380] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe[1380] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 9E, 27, 9C ]
.text C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe[1380] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\windows\system32\ctfmon.exe[1504] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, 9D ]
.text C:\windows\system32\ctfmon.exe[1504] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\windows\system32\ctfmon.exe[1504] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, 98, 24, 9D ]
.text C:\windows\system32\ctfmon.exe[1504] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\windows\system32\ctfmon.exe[1504] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 9E, 27, 9D ]
.text C:\windows\system32\ctfmon.exe[1504] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1512] ntdll.dll!NtEnumerateKey 7C91D94C 6 Bytes PUSH 010520A7; RET
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1512] ntdll.dll!NtEnumerateValueKey 7C91D976 6 Bytes PUSH 01052498; RET
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1512] ntdll.dll!NtQuerySystemInformation 7C91E1AA 6 Bytes PUSH 0105279E; RET
.text C:\Programmi\Messenger\msmsgs.exe[1516] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, D2 ]
.text C:\Programmi\Messenger\msmsgs.exe[1516] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\Programmi\Messenger\msmsgs.exe[1516] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, 98, 24, D2 ]
.text C:\Programmi\Messenger\msmsgs.exe[1516] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\Programmi\Messenger\msmsgs.exe[1516] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 9E, 27, D2 ]
.text C:\Programmi\Messenger\msmsgs.exe[1516] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe[2064] ntdll.dll!NtEnumerateKey 7C91D94C 6 Bytes PUSH 01DF20A7; RET
.text C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe[2064] ntdll.dll!NtEnumerateValueKey 7C91D976 6 Bytes PUSH 01DF2498; RET
.text C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe[2064] ntdll.dll!NtQuerySystemInformation 7C91E1AA 6 Bytes PUSH 01DF279E; RET
.text C:\Programmi\Alice ti aiuta\bin\mpbtn.exe[2096] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, 9B ]
.text C:\Programmi\Alice ti aiuta\bin\mpbtn.exe[2096] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\Programmi\Alice ti aiuta\bin\mpbtn.exe[2096] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, 98, 24, 9B ]
.text C:\Programmi\Alice ti aiuta\bin\mpbtn.exe[2096] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\Programmi\Alice ti aiuta\bin\mpbtn.exe[2096] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 9E, 27, 9B ]
.text C:\Programmi\Alice ti aiuta\bin\mpbtn.exe[2096] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\Documents and Settings\Administrator\Desktop\gmer.exe[2760] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes [ 68, A7, 20, D5 ]
.text C:\Documents and Settings\Administrator\Desktop\gmer.exe[2760] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]

---- Modules - GMER 1.0.13 ----

Module _________ F8450000-F8468000 (98304 bytes)

---- Processes - GMER 1.0.13 ----

Process C:\windows\svchost.exe (*** hidden *** ) 1272

---- Registry - GMER 1.0.13 ----

Reg \Registry\MACHINE\SOFTWARE\5T19I3B27A
Reg \Registry\MACHINE\SOFTWARE\5T19I3B27A@5T19I3B27A 0x41 0xE8 0x7B 0xAF ...
Reg \Registry\MACHINE\SOFTWARE\5T19I3B27A@5T19I3B27A 0x41 0xE8 0x7B 0xAF ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run@5T19I3B27A C:\windows\svchost.exe
Reg \Registry\USER\S-1-5-21-854245398-2000478354-839522115-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{13F87D87-73A0-207F-839D-5869BA8CB961}@jacnafjichepphgoidgp 0x6B 0x61 0x6A 0x69 ...
Reg \Registry\USER\S-1-5-21-854245398-2000478354-839522115-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{13F87D87-73A0-207F-839D-5869BA8CB961}@iamokclkmhkjejajde 0x6B 0x61 0x6A 0x69 ...

---- EOF - GMER 1.0.13 ----
Avatar utente
cicciostefy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun lug 02, 2007 12:02 am

Messaggioda crazy.cat » lun lug 02, 2007 9:18 am

Ho accorciato e ripulito il tuo log che era troppo lungo.
La parte importante è questa
Process C:\windows\svchost.exe (*** hidden *** ) 1272
Nella stessa cartella ci dovrebbe essere anche una dll con un nome simile a quello dell'exe e con data recente.

Prova a far girare uno di questi programmi, panda o quello della mcafee e dovrebbero loro trovare ed eliminare i file infetti.
http://www.MegaLab.it/2714/2
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda cicciostefy » lun lug 02, 2007 9:41 am

grazie, per la verità ho gia provato con altri antivirus avg e anche con:
AVGPfix, CCleaner, fixlinkopt, Gromozon Rootkit Removal Tool, ma ancora niente.
Avatar utente
cicciostefy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun lug 02, 2007 12:02 am


Messaggioda cicciostefy » lun lug 02, 2007 9:42 am

comunque ci provo, grazie
Avatar utente
cicciostefy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun lug 02, 2007 12:02 am

Messaggioda cicciostefy » lun lug 02, 2007 2:57 pm

si come dice tu AntiRootkit é riuscito al eliminarlo (svchost.exe ) ed anche riavviando il pc non si ripresenta + neanche l'antivirus, al riavvio del pc, mi segnala la presenza di una minaccia. Ma non riesco ancora a cambiare l'immagine di sfondo del dektop è bolaccata.
come mai?

grazie
Avatar utente
cicciostefy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun lug 02, 2007 12:02 am

Messaggioda cicciostefy » lun lug 02, 2007 4:58 pm

Qualcuno che possa aiutarmi!!!!!!!!

GRAZIE [boh]
Avatar utente
cicciostefy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun lug 02, 2007 12:02 am

Messaggioda crazy.cat » lun lug 02, 2007 6:12 pm

cicciostefy ha scritto:il pc non si ripresenta + neanche l'antivirus, al riavvio del pc, mi segnala la presenza di una minaccia

non è molto chiaro il passaggio, è tutto a posto?

Questo è per il desktop bloccato
http://www.MegaLab.it/2511
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda cicciostefy » lun lug 02, 2007 7:32 pm

Come da te consigliato ho utilizzato AntiRootkit, è stato in grado di eliminare svchost.exe. File che il mio antivirus avg mi segnalava ad ogni riavvio come minaccia ma che non riusciva ad eliminare.

Questo virus mi bloccava, e continua a farlo, il desktop impedendomi di cambiare l'immagine di sfondo.
Anche adesso che sono riuscito ad eliminarlo ho questo problema.

Cos'altro posso fare per sbloccare il desktop?
Spero di essere stato + chiaro

Ti ringrazio per la pazienza

ciao[/i]
Avatar utente
cicciostefy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun lug 02, 2007 12:02 am

Messaggioda crazy.cat » lun lug 02, 2007 7:46 pm

Mi cito....
crazy.cat ha scritto:Questo è per il desktop bloccato
http://www.MegaLab.it/2511


Applica le modifiche al registro che sono scritte nell'articolo
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda cicciostefy » lun lug 02, 2007 10:43 pm

Ma queste modifiche servono per BLOCCARE a me serve SBLOCCARE il dersktop
Avatar utente
cicciostefy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun lug 02, 2007 12:02 am

Messaggioda crazy.cat » mar lug 03, 2007 8:39 am

In fondo all'articolo c'è scritto
Codice: Seleziona tutto
mentre per riabilitarli si dovrà cliccare sui file con suffisso UnLock.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda cicciostefy » mar lug 03, 2007 9:26 am

Ti ringrazio ho risolto sei stato Gen.issimo

alla prossima Ciao
Avatar utente
cicciostefy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun lug 02, 2007 12:02 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising