Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Possibile Trojan - spam web

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Possibile Trojan - spam web

Messaggioda maux » mer ott 05, 2011 3:38 pm

Ciao a tutti,
riscontro da qualche settimana il seguente problema:
in modo randomico, con mozilla firefox, quando apro alcuni link (anche ad esempio http://www.google.it) mi si aprono altre pagine web relative a giochi online con un messaggio che mi comunica di premere ok per restare nella pagina o annulla.
Potete verificare gentilmente se è presente qualche trojan/malware nel mio pc ?
Grazie

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.16.25, on 05/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17099)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Oracle\bin\omtsreco.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HTC\Internet Pass-Through\PassThruSvr.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Programmi\Messenger Plus!\PlusService.exe
C:\Programmi\HTC\HTC Sync 3.0\htcUPCTLoader.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\DOCUME~1\mauro\IMPOST~1\Temp\RtkBtMnt.exe
C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programmi\Cisco Systems\VPN Client\vpngui.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
D:\Sun\xVM VirtualBox\VirtualBox.exe
D:\Sun\XVMVIR~1\VBoxSVC.exe
D:\Sun\XVMVIR~1\VirtualBox.exe
C:\Programmi\DivX\DivX Update\DivXUpdate.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\mauro\Desktop\SoftonicDownloader_per_hijackthis.exe
C:\Programmi\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://it.intl.acer.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PlusService] C:\Programmi\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [HTC Sync Loader] "C:\Programmi\HTC\HTC Sync 3.0\htcUPCTLoader.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe -update activex
O4 - HKUS\S-1-5-21-3491273418-977637529-554660954-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-3491273418-977637529-554660954-1005\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler (User '?')
O4 - HKUS\S-1-5-21-3491273418-977637529-554660954-1005\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe -update activex (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmi\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C80A9871-5972-4D58-8314-CF42556B93AD}: Domain = etnoteam.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{C80A9871-5972-4D58-8314-CF42556B93AD}: NameServer = 10.44.19.90,10.44.19.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8179509-5C35-4205-9573-45C72C1B21F4}: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = etnoteam.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Oracle\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Oracle\BIN\ONRSD.EXE
O23 - Service: Internet Pass-Through Service (PassThru Service) - Unknown owner - C:\Programmi\HTC\Internet Pass-Through\PassThruSvr.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 8801 bytes
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda Berga95 » mer ott 05, 2011 6:02 pm

Vedo che hai Avira installato nel tuo sistema, hai provato a fare una scansione completa? [^]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Possibile Trojan - spam web

Messaggioda crazy.cat » mer ott 05, 2011 6:44 pm

Hai qualcosa a che fare con gli indirizzi che vedi qui sotto?
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8179509-5C35-4205-9573-45C72C1B21F4}: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = etnoteam.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169

etnoteam.com è un sito cinese o giapponese.

Una passata con malwarebytes aggiornato è consigliato, oltre alla rimozione delle righe indicate più sopra se non le riconosci.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Re: Possibile Trojan - spam web

Messaggioda Berga95 » mer ott 05, 2011 6:49 pm

crazy.cat ha scritto:etnoteam.com è un sito cinese o giapponese.

Giapponese per la precisione, si distinguono vari hiragana e katakana [std]
crazy.cat ha scritto:la rimozione delle righe indicate più sopra se non le riconosci.

[^]
Allega i log facendo copia-incolla e racchiudendoli dal tag MEMO, in questo modo:
Codice: Seleziona tutto
[MEMO]Qui ci va il log[/MEMO]

Effetto:

Avira blablablabla


EDIT: Caricheresti C:\DOCUME~1\mauro\IMPOST~1\Temp\RtkBtMnt.exe su Virustotal? Non capisco perché giri in Temp... [uhm]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Possibile Trojan - spam web

Messaggioda maux » gio ott 06, 2011 10:19 am

Berga95 ha scritto:Vedo che hai Avira installato nel tuo sistema, hai provato a fare una scansione completa? [^]


Ho eseguito una scansione completa ma non ha rilevato nessuna minaccia
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda maux » gio ott 06, 2011 10:21 am

crazy.cat ha scritto:Hai qualcosa a che fare con gli indirizzi che vedi qui sotto?
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8179509-5C35-4205-9573-45C72C1B21F4}: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = etnoteam.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = etnoteam.com,etnoteam.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.198,93.188.160.169

etnoteam.com è un sito cinese o giapponese.

Una passata con malwarebytes aggiornato è consigliato, oltre alla rimozione delle righe indicate più sopra se non le riconosci.


etnoteam.com è l'azienda presso la quale lavoro, perciò non rimuovo le righe sopraindicate.
Ho fatto una scansione completa con malwarebytes ma anche li non rilevo anomalie
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda maux » gio ott 06, 2011 10:23 am

Berga95 ha scritto:EDIT: Caricheresti C:\DOCUME~1\mauro\IMPOST~1\Temp\RtkBtMnt.exe su Virustotal? Non capisco perché giri in Temp...


Fatto, ma non sono state segnalate minacce
Altre idee?
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda crazy.cat » gio ott 06, 2011 10:43 am

Passiamo a combofix allora, scansione e posta il log che esce.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile Trojan - spam web

Messaggioda maux » gio ott 06, 2011 10:56 am

crazy.cat ha scritto:Passiamo a combofix allora, scansione e posta il log che esce.


Errata corrige.
Avevo scritto che la scansione malware bytes non aveva segnalato anomalie...in realtà era al 98% della scansione.
Adesso che ha terminato la scansione ho ottenuto i seguenti risultati:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.198,93.188.160.169) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D8179509-5C35-4205-9573-45C72C1B21F4}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.198,93.188.160.169) Good: () -> No action taken.


Queste due voci di registro sono le stesse riportate anche nel log di Hijackthis.
Visto anche il nome della minaccia (Trojan.DNSChanger) credo proprio sia l'origine del mio problema.

Grazie per l'aiuto!!
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda maux » gio ott 06, 2011 11:11 am

Mi resta il seguente dubbio:
ho provato ad eliminare il file RtkBtMnt.exe dal seguente path C:\DOCUME~1\mauro\IMPOST~1\Temp

Ad oggi riavvio, quel file riappare.
E' corretto che si verifichi ciò?
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda Berga95 » gio ott 06, 2011 2:14 pm

Il file dovrebbe essere della Realtek, quindi non ci sono problemi [^] Nel report di VT ci dovrebbe essere qualche informazione su questo [^]
Mi sembrava solo strano il fatto che girasse in quella cartella [std]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Possibile Trojan - spam web

Messaggioda crazy.cat » gio ott 06, 2011 5:32 pm

maux ha scritto:Visto anche il nome della minaccia (Trojan.DNSChanger) credo proprio sia l'origine del mio problema.
Grazie per l'aiuto!!

Diciamo che sono uno degli effetti possibili, l'origine (malware) la dobbiamo ancora trovare.
Prova anche hitman pro oltre a combofix.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile Trojan - spam web

Messaggioda maux » mar ott 11, 2011 7:21 pm

Hitman pro non mi rileva problema.
Ha rilevato solamente 12 tracking cookies che ho eliminato.
Combofix invece non riesco ad eseguirlo: facendo doppio click sull'eseguibile non succede nulla e non va in esecuzione (ho disattivato antivirus e firewall e il file di installazione l'ho scaricato da MegaLab....)

Potrei avere qualche malware che impedisce l'esecuzione di combofix ?
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda crazy.cat » mer ott 12, 2011 4:21 pm

maux ha scritto:Potrei avere qualche malware che impedisce l'esecuzione di combofix ?

Si, può essere.
Prova a scaricare avira rescue cd e fai la scansione da cd di boot.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile Trojan - spam web

Messaggioda maux » mer ott 12, 2011 7:39 pm

Ho scaricato avira rescue cd e fatto la scansione completa...ci ha messo due ore e 30minuti circa ma non ha rilevato nessuna infezione :-(
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda maux » ven ott 14, 2011 6:00 pm

Estendo il problema sulla redirect dei siti randomica con i seguenti problemi che credo siano determinati dallo stesso malware/trojan:
da un paio di settimane scorse ho i seguenti problemi all'avvio di windows:
-Compare il Messaggio di errore "Generic Host Process for Win32 Services"
-L'audio non funziona e non risulta nessuna periferica audio collegata (ma non è vero)
-Dopo qualche minuto la barra degli strumenti diventa bianca
-Il firewall risulta disattivato e se cerco di attivarlo mi compare il mess "impossibile attivare il servizio Windows firewall"

Al momento ho effettuato:
- una scansione con Avira ma non mi ha rilevato virus.
- una scansione con hitman pro ma non mi ha rilevato nessuna infezione.
- una scansione con malwarebytes e mi ha rilevato il trojan dns.charger che ho rimosso
- combofix non riesco ad eseguirlo (forse perché bloccato dal trojan)

Cos'altro posso fare?
Grazie
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Re: Possibile Trojan - spam web

Messaggioda hashcat » ven ott 14, 2011 6:07 pm

Prova a fare una scansione completa con Emsisoft Anti-Malware 6.0 (dopo averlo aggiornato)
Ed una ulteriore con Dr.WEB CureIt!

[^]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Possibile Trojan - spam web

Messaggioda Uomo_Senza_Sonno » ven ott 14, 2011 6:08 pm

Da quello che segnali ti invito a leggere quest'articolo ed a provare il tool per la rimozione, ma prima effettua un controllo con questo rescue disk
(in aggiunta a quanto già consigliato [;)] )
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Possibile Trojan - spam web

Messaggioda AsRock » ven ott 14, 2011 9:40 pm

Io ti consiglio di rinominare combofix con un nome di fantasia [^]
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: Possibile Trojan - spam web

Messaggioda maux » sab ott 15, 2011 10:59 am

hashcat ha scritto:Prova a fare una scansione completa con Emsisoft Anti-Malware 6.0 (dopo averlo aggiornato)
Ed una ulteriore con Dr.WEB CureIt!

[^]


La scansione con EmsisoftAntiMalwareSetup.exe (aggiornato) mi ha rilevato due malware:
- un rootkit Win32
- un trojan Win32
che ho rimosso

La scansione con Dr.WEB CureIt! mi ha rilevato un backdoor che ho rimosso tramite riavvio pc.

Tutti i problemi che avevo sono rientrati!
Grazie mille!
Avatar utente
maux
Senior Member
Senior Member
 
Messaggi: 389
Iscritto il: gio feb 16, 2006 2:25 pm
Località: Bergamo

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising