Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

infezioni da debellare

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

infezioni da debellare

Messaggioda houser89 » mar lug 01, 2008 7:22 pm

salve...ho un problema ho fatto la scansione con sdfix la quale mi ha eliminato alcuni trojan...il problema xro è che nei processi autorizzati ce ne sono un paio che non autorizzato ed ho il sospetto che siano pericolosi come "herjek.exe" il quale se non sbaglio è un hacktool o una backdoor se non mi sbaglio e poi "sessmgr.exe"...invece ci sono processi attivi sono elephant bit torrent, dna torrent l'incrementatore di download ed emule...gli avevo precedentemente disinstallati...dato che adesso uso adunanza...magari posso rimuoverli con il tanto acclamato tool avenger peccato che non sapendo cosa devo eliminare non posso creare lo script..ah e non so neanche crearlo..richiedo il vostro aiuto...applico il report di sdfix così potete aiutarmi meglio ...grazie aspetto una risposta al piu presto....


SDFix: Version 1.198
Run by Nicola on 01/07/2008 at 07.40

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 07:44:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programmi\\eMule\\emule.exe"="C:\\Programmi\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programmi\\VirtualDJ\\virtualdj.exe"="C:\\Programmi\\VirtualDJ\\virtualdj.exe:*:Disabled:VirtualDJ"
"C:\\DOCUME~1\\Nicola\\IMPOST~1\\Temp\\bhbhpg.exe"="C:\\DOCUME~1\\Nicola\\IMPOST~1\\Temp\\bhbhpg.exe:*:Enabled:Enabled"
"C:\\DOCUME~1\\Nicola\\IMPOST~1\\Temp\\36.tmp.exe"="C:\\DOCUME~1\\Nicola\\IMPOST~1\\Temp\\36.tmp.exe:*:Enabled:msdefender.exe"
"%windir%\\explorer.exe"="%windir%\\explorer.exe:*:Enabled:Explorer"
"C:\\WINDOWS\\system32\\msdefender.exe"="C:\\WINDOWS\\system32\\msdefender.exe:*:Enabled:msdefender.exe"
"C:\\WINDOWS\\system32\\lExplore.exe"="C:\\WINDOWS\\system32\\lExplore.exe:*:Disabled:lExplore"
"C:\\Programmi\\AVG\\AVG8\\avgupd.exe"="C:\\Programmi\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\WINDOWS\\herjek.exe"="C:\\WINDOWS\\herjek.exe:*:Enabled:enable"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmi\\Lphant\\eLePhantClient.exe"="C:\\Programmi\\Lphant\\eLePhantClient.exe:*:Enabled:Lphant"
"C:\\Programmi\\iTunes\\iTunes.exe"="C:\\Programmi\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programmi\\BitTorrent\\bittorrent.exe"="C:\\Programmi\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programmi\\DNA\\btdna.exe"="C:\\Programmi\\DNA\\btdna.exe:*:Enabled:DNA"
"C:\\Programmi\\AdunanzA\\eMule_AdnzA.exe"="C:\\Programmi\\AdunanzA\\eMule_AdnzA.exe:*:Enabled:eMule"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Messenger (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe"
Sun 15 Jun 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 3 Jun 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 23 Oct 2007 3,350,528 A..H. --- "C:\Documents and Settings\Administrator\Dati applicazioni\U3\temp\Launchpad Removal.exe"
Tue 23 Oct 2007 3,350,528 A..H. --- "C:\Documents and Settings\Nicola\Dati applicazioni\U3\temp\Launchpad Removal.exe"

Finished!
Avatar utente
houser89
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: lun giu 30, 2008 9:30 pm

Re: infezioni da debellare

Messaggioda TheHacker66 » mar lug 01, 2008 9:27 pm

houser89 ha scritto:..."herjek.exe" il quale se non sbaglio è un hacktool o una backdoor se non mi sbaglio e poi "sessmgr.exe"...


Ciao, il primo è un bel Trojan, strano non sia stato rimosso da sdfix...
sessmgr.exe invece è un file rigurdante Gestione sessione di assistenza mediante desktop remoto (Remote Desktop Help Session), gestisce e controlla la funzione Assistenza remota, quindi lascialo pure stare.
Inoltre c'è anche "msdefender.exe", un'altro bel trojan.

Innanzitutto scaricati HijackThis da Da Qui, avvialo e clicca su "scan & save a log file", salva il log e postalo qui secondo QUESTE regole.

Poi scaricati Spybot Search & Destroy Da Qui, aggiornalo e avvia una scansione. Quando ha finito vai anche in Immunizza ed eseguila.

Infine scaricati CCleaner Da Qui, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore.
In Pulizia clicca su analizza e quando ha finito clicca su Avvia Pulizia, poi ripeti il processo, poi vai in Registro, Trova Problemi e quando ha finito su Ripara selezionati. Ripeti ancora una volta il processo, poi riposta il log di HijackThis.
RICORDATE: GOOGLARE NON E' UN REATO! E NON LO E' NEANCHE CERCARE SUL FORUM PRIMA DI POSTARE!
Avatar utente
TheHacker66
Bronze Member
Bronze Member
 
Messaggi: 806
Iscritto il: dom nov 19, 2006 8:22 pm
Località: Milano

Messaggioda houser89 » mer lug 02, 2008 2:48 pm

ciao hacker....io ho già hijacthis spyboot search & destroy...ho anche avira, sdfix dr web cureit e per la sacnsione dettagliata sys61063....comunque dicevamo herjeck this è un trojan ed anche msdefender....ma msdefender so che è anche un processo eseguibile però a volte è un malaware giusto??
comunque ti allego il report di di sys61063...che è molto piu dettagliato nel quale nell'ultima parte del report...c'è anche il log di hijack...ma non posso caricarlo perché è molto corposo ti do il link di wikifortio è un sito di hosting nell quale ho caricato il report ......ok?? attendo la tua risposta..aiutami....grazie mille...

link wikifortio:

http://www.wikifortio.com/418391/02_07_ ... report.zip
Avatar utente
houser89
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: lun giu 30, 2008 9:30 pm


Messaggioda TheHacker66 » mer lug 02, 2008 3:17 pm

Ehm.. dal log di Hijackthis risulta che "sys61063.exe" è un virus, non un programma legittimo. Inoltre non si trova niente su Google riguardante questo file.
Eliminalo, è meglio.
C'è anche questo che non mi convince:

C:\DOCUME~1\Nicola\IMPOST~1\Temp\nsp5.tmp\runme.exe

Elimina pure questo. Hai fatto una scansione con tutto quello che hai? Vedi di andare in modalità provvisoria, così sei più sicuro.

P.S. Inoltre guarda QUI, ci sono tutte le chiavi di registro, i file e le dll da eliminare riguardanti il trojan "herjek.exe".
RICORDATE: GOOGLARE NON E' UN REATO! E NON LO E' NEANCHE CERCARE SUL FORUM PRIMA DI POSTARE!
Avatar utente
TheHacker66
Bronze Member
Bronze Member
 
Messaggi: 806
Iscritto il: dom nov 19, 2006 8:22 pm
Località: Milano

Messaggioda crazy.cat » mer lug 02, 2008 6:08 pm

TheHacker66 ha scritto:Ehm.. dal log di Hijackthis risulta che "sys61063.exe" è un virus,.

Ad occhio e croce direi che si tratta di systemscan, e lo dico senza scaricare il log visto che non parte il download.
houser89 ha scritto:sacnsione dettagliata sys61063..
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda TheHacker66 » mer lug 02, 2008 6:13 pm

Occacchio... Non lo conoscevo... strano che HijackThis lo riconosca come "sospetto" invece di "sconosciuto"... Mi ero basato su questo, evidentemente ho cannato.
RICORDATE: GOOGLARE NON E' UN REATO! E NON LO E' NEANCHE CERCARE SUL FORUM PRIMA DI POSTARE!
Avatar utente
TheHacker66
Bronze Member
Bronze Member
 
Messaggi: 806
Iscritto il: dom nov 19, 2006 8:22 pm
Località: Milano

Messaggioda ste_95 » mer lug 02, 2008 6:54 pm

TheHacker66 ha scritto:Occacchio... Non lo conoscevo... strano che HijackThis lo riconosca come "sospetto" invece di "sconosciuto"... Mi ero basato su questo, evidentemente ho cannato.

Che hijackthis.de sbagli qualcosa è risaputo, infatti sarebbe meglio non basarsi su quello per giudicare i log.

Entrambi i file appartengono, come diceva crazy.cat, a SystemScan.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising