Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

[VIRUS]File "Look how wasted Paris Hilton is, after she

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

[VIRUS]File "Look how wasted Paris Hilton is, after she

Messaggioda Anathema » mar lug 24, 2007 8:07 pm

Salve!

Oggi per la prima volta ho notato nell cartella di Windows un file, di cui non riesco a visualizzare l'estensione neanche modificando le proprietà della cartella, il cui nome è Look how wasted Paris Hilton is, after she got jailed.

Ecco il log fatto con HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.06.13, on 24/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Firewall\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Firewall\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://thedarkheavenstarmind.spaces.liv ... nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4230212625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0414326937
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF41485-F190-440E-B60B-5A4C11F186B1}: NameServer = 85.37.17.6 85.38.28.89
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF41485-F190-440E-B60B-5A4C11F186B1}: NameServer = 85.37.17.6 85.38.28.89
O21 - SSODL: antivirus - {9B4AF8E4-1CE4-4007-86E9-BA01860FB375} - firewallav.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6364 bytes


Inoltre tra ieri e oggi ho riscontrato dei problemi usando il programma di chat Messenger: cercando di inviare messaggi a una persona, mi diceva che era impossibile; ad un certo punto si è messo ad aprire e chiudere velocemente finestre di discussione di chiunque ho tra i contatti; mio fratello invece, era riuscito ad iniziare una conversazione, ma spariva la finestra di dialogo pur rimanendo attiva secondo Messenger.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mar lug 24, 2007 8:23 pm

Inoltre sono apparsi sempre nella cartella di Windows 2 file .zip di nome picture89 e photo24.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mar lug 24, 2007 8:37 pm

Ora Avast! mi ha trovato il seguente trojan Win32:Adloader-JX nel percorso C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\449HGSKW\loadadv642[1].exe\[UPX]
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am


Messaggioda Anathema » mar lug 24, 2007 9:12 pm

Anathema ha scritto:Ora Avast! mi ha trovato il seguente trojan Win32:Adloader-JX nel percorso C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\449HGSKW\loadadv642[1].exe\[UPX]
E non riesce a spostarlo nel cestino, dicendo appunto che è utilizzato da quel percorso.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Amantide » mar lug 24, 2007 10:19 pm

Hai provato a fare la scansione con antivirus dalla modalità provvisoria?

Scarica ed avvia Systemscan, spunta tutte le voci e clicca su Scan Now. A scansione terminata trova in C:\suspectfile il file report, quello zippato, ed allegalo qui.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Anathema » mar lug 24, 2007 10:29 pm

Ok.

Intanto Spybot ha trovato ed è riuscito a correggere Win32.Agent.bid dal percorso Risorse del Computer\HKEY_USERS\S-1-5-21-484763869-1957994488-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\Firewall auto setup descritto come TIPO: REG_SZ e DATI: C:\DOCUME"s orizzontale"1\Utente\IMPOST"s orizzontale"1\Temp\winlogon.exe

Non ho fatto alcuna scansione in modalità provvisoria: mi consigli di usare Avast o fare con Virit?

Grazie sai Amantide per i continui sbattimenti [:)]
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Amantide » mar lug 24, 2007 10:35 pm

Anathema ha scritto:Non ho fatto alcuna scansione in modalità provvisoria: mi consigli di usare Avast o fare con Virit?

Meglio con Virit, e già che ci sei anche con Superantispyware, importante è che lo fai dalla modalità provvisoria.
Alla fine fammi vedere lo stesso il log di Systemscan, ok?
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Anathema » mar lug 24, 2007 10:47 pm

Ok. Ecco il log.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mer lug 25, 2007 1:52 am

Ecco il log di Virit:
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
24/07/2007 - 22:04:45

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\firewallav.dll Infetto da I-WORM.Agent.D
C:\WINDOWS\system32\printers.exe Infetto da Backdoor.RBot.XY

[D:]


Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 114996.
Files Totali: 114996.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
25/07/2007 - 00:46:31

Ora mi continua a trovare quei 2 file infetti, ma non ho trovato in modalità provvisoria l'opzione per farglieli elimnare. Glieli faccio eliminare in modalità normale?

Superantispyware invece mi ha trovato ed eliminato, oltre vabbè a 9 cookie, 3 trojan:

Trojan.Downloader-Winlogon/FAS nello stesso identico percorso del file che aveva detto di aver aggiustato Spybot;

Trojan.Hoster in C:\WINDOWS\SYSTEM\BPENHAN.DLL

Trojan.LoadAdv-Gen nello stesso percorso del trojan che mi dava Avast; nonostante io l'abbia eliminato con Superantispyware, Avast me lo continua a trovare.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mer lug 25, 2007 11:03 am

Intanto mi si sono triplicati i file zip con vari nomi nella cartella WINDOWS.

Ora provo in modalità provvisoria a eliminare quel virus che mi continua a trovare Virit.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mer lug 25, 2007 1:12 pm

Allora, in modalità provvisoria Virit trova ("per fortuna") sempre i soliti 2 file infetti da virus, ma non li rimuove. Quindi quando riavvio me li risegnala.

Inoltre sempre in modalità normale, dopo poco che è acceso il pc, appare una finestra che dice che è stato chiuso Esplora risorse per facilitare la protezione del computer. Quindi mi appare un'altra finestra che mi dà un'errore di explorer.exe, con i seguenti dettagli:

EventType: BEX P1: explorer.exe P2: 6.0.2900.2180 P3: 41107ece P4: unknown P5: 0.0.0.0 P6: 00000000 P7: 01721150 P8: c0000005 P9: 00000008

inoltre dice verranno inclusi i seguenti file nella segnalazione errori:

explorer.exe.mdmp
appcompat.txt



Avast per ora non mi segnala più la presenza del trojan.



Il file che ha a che fare con Paris Hilton sembra aggiornarsi ogni volta che si accede in modalità normale.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mer lug 25, 2007 3:28 pm

Non so se sia utile, ma ecco un nuovo log di HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.28.30, on 25/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Firewall\ZoneAlarm\zlclient.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Superantispyware\SUPERAntiSpyware.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Firewall\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Superantispyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Utente\IMPOST~1\Temp\winlogon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://thedarkheavenstarmind.spaces.liv ... nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4230212625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0414326937
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF41485-F190-440E-B60B-5A4C11F186B1}: NameServer = 85.37.17.6 85.38.28.89
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF41485-F190-440E-B60B-5A4C11F186B1}: NameServer = 85.37.17.6 85.38.28.89
O20 - Winlogon Notify: !SASWinLogon - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Superantispyware\SASWINLO.dll
O21 - SSODL: antivirus - {9B4AF8E4-1CE4-4007-86E9-BA01860FB375} - firewallav.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6935 bytes


Intanto Avast mi ha rilevato un sacco di volte un altro trojan, riuscendo a spostarlo nel cestino a quanto pare, ma sempre si ripresenta: Win32:Small-GWM.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mer lug 25, 2007 4:38 pm

Virit mi ha segnalato ora come file sospetto msn.dll

Quindi Avast ha ricominciato a risegnalare il trojan di ieri, senza riuscire come ieri a spostarlo nel cestino.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mer lug 25, 2007 10:35 pm

Le sto provando tutte, ma oltretutto non si trova nulla in giro per la rete [V] una cosa molto simile succede anche a un tipo di un sito straniero, ma anche non gli hanno dato risposta....spero qualcuno trovi presto una soluzione perché sta diventando insostenibile [cry+]
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mer lug 25, 2007 11:22 pm

"Finalmente" anche qualcunaltro si sta infettando.

Ora provo a seguire le istruzioni da questo link http://icrontic.com/forum/showthread.php?t=64219 se possono essere utili a qualcuno.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda antonio » gio lug 26, 2007 10:46 am

O21 - SSODL: antivirus - {9B4AF8E4-1CE4-4007-86E9-BA01860FB375} - firewallav.dll (file missing)

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Utente\IMPOST~1\Temp\winlogon.exe

forse queste due righe sono sospette,ma aspetta altri interventi.Visto che alcune porcherie le hai segnalate in file temporanei fai una pulizia con ccleaner,poi secondo me sostituisci avast con antivir e fai una bella scansione dalla mod provvisoria
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda Anathema » gio lug 26, 2007 12:07 pm

antonio ha scritto:O21 - SSODL: antivirus - {9B4AF8E4-1CE4-4007-86E9-BA01860FB375} - firewallav.dll (file missing)

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Utente\IMPOST~1\Temp\winlogon.exe

forse queste due righe sono sospette,ma aspetta altri interventi.Visto che alcune porcherie le hai segnalate in file temporanei fai una pulizia con ccleaner,poi secondo me sostituisci avast con antivir e fai una bella scansione dalla mod provvisoria
Grazie!

Comunque la prima riga l'ho fixata con HiJackThis insieme a un'altra che si era ricreata subito dopo questa, ma che non c'è nel log che ho postato qui.

Ho già fatto più di qualche pulizia con CCleaner dopo aver postato quel log, quindi direi che è ora che ne posti un altro [;)]

La seconda riga non l'ho toccata anche se pure a me puzza.

La prima l'avevo eliminata seguendo le istruzioni nel link che ho postato: le porcherie nel pc rimangono, ma per ora nessun antivirus (Virit o Avast) ha segnalato nulla, al contrario di quello che stava succedendo gli scorsi giorni.

Ecco un nuovo log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.05.21, on 26/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Firewall\ZoneAlarm\zlclient.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\AVG\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Firewall\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://thedarkheavenstarmind.spaces.liv ... nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4230212625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0414326937
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF41485-F190-440E-B60B-5A4C11F186B1}: NameServer = 85.37.17.6 85.38.28.89
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF41485-F190-440E-B60B-5A4C11F186B1}: NameServer = 85.37.17.6 85.38.28.89
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\AVG\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5941 bytes


Non c'è più neanche la seconda riga che mettevi.


Ora posso provare a eliminare quel maledetto file di Paris Hilton e tutte le cartelle zip che si sono create in WINDOWS o è meglio che aspetti? [8)]

Comunque provo anche con Antivir, una pulizia in più non fa mai male!

Chissà si stia sul serio risolvendo qualcosa.
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda antonio » gio lug 26, 2007 12:25 pm

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll (file missing)

forse anche questa...comunque mi raccomando aspetta l'intervento di crazy,amantide,billokenoby prima di fixarle
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda Amantide » gio lug 26, 2007 2:49 pm

Ricordatevi che non abbandono mai i miei "casi" [;)] , ero semplicemente al mare (ogni tanto ci vuole, eh [bleh] )

Ora controllo bene i log e ti faccio sapere.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Amantide » gio lug 26, 2007 3:22 pm

Scarica The Avenger, estrai archivio in una cartella ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno del form copia ed incolla questo script:

Files to delete:
C:\WINDOWS\photo24.zip
C:\WINDOWS\picture89.zip
C:\WINDOWS\images035.zip
C:\WINDOWS\photo43.zip
C:\WINDOWS\picture54.zip
C:\WINDOWS\photo31.zip
C:\WINDOWS\picture92.zip
C:\WINDOWS\system32\printers.exe
C:\WINDOWS\system32\firewallav.dll
C:\DOCUME~1\Utente\IMPOST~1\Temp\winlogon.exe
C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed
%USERPROFILE%\new.txt

registry keys to delete:
HKCR\CLSID\{9B4AF8E4-1CE4-4007-86E9-BA01860FB375}
HKEY_CURRENT_USER\Software\Microsoft\vrHMPAfT

registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Firewall auto setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | antivirus


Dopodichè clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi alle successive domande Si .
Il pc dovrebbe riavviarsi da solo,se cosi non fosse riavvialo manualmente.
Alla fine allegami il log di Avenger che si trova in C:/avenger.txt ed anche un nuovo log di Systemscan.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising