| Precedente :: Successivo |
| Autore |
Messaggio |
Loo
Mortale pio
Registrato: 20/03/07 20:07
Messaggi: 23
|
 Inviato: 30 Apr 2007 13:00 Oggetto: |
 |
|
ok dunque dunque  anzitutto un bel brindisi al trojan stecchito 
poi, sto cercando di fare lo scan con sys di quei due punti ma ancora non riesce a caricarlo,se riesco a farlo te lo linko come prima ^^
sono andato su operazioni pianificate dopo aver messo mostra file nascosti...però non me li ha trovati tutti quelli che tu mi hai scritto..solo una ventina! ...ma...per curiosita...che cavolo erano???? 
Ultima cosa, come faccio a vedere se ci sono ancora residui di quel cattivone di trojan ???  lo voglio fare cornuto e mazziato  eheh |
|
| Top |
|
 |
Loo
Mortale pio
Registrato: 20/03/07 20:07
Messaggi: 23
|
| Inviato: 30 Apr 2007 13:07 Oggetto: |
|
|
link
eccolo qui
Intanto ho ripulito di nuovo tutto usando: ccleaner, spybot e regcleaner... spero che possa bastare perchè mi ha avuto sto trojan! ma..riusciamo a sapere qual era il nome del *bastardinside* ?
Io vi ringrazio ancora tantissimo ^^ che voi sappiate...possono andare d'accordo insieme avg con spyware doctor? ho paura che forse insieme vadano in conflitto.. 
EDIT: ho un dubbio...ma si riesce a vedere se da qualche parte ho un firewall attivato??? perche nell autolog di hijack mi dice che non ce l'ho..in effetti da quando ho disinstallato mcafee mi sa che ne sono sprovvisto...
buon pranzo ^^ |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 30 Apr 2007 14:27 Oggetto: |
|
|
Bene, anche la parte residua del log era pulita
Per quanto riguarda le voci in TASKS li puoi vedere anche tu, se ancora presenti, facendo un log della sola opzione "Registry Run Keys", andando a guardare in fondo.
Il driver del firewall in effetti non è attivo. Abilita il firewall di XP, in attesa di sceglierne ed installarne uno che ti piaccia |
|
| Top |
|
|
Loo
Mortale pio
Registrato: 20/03/07 20:07
Messaggi: 23
|
| Inviato: 02 Mag 2007 21:25 Oggetto: |
|
|
...ciao  sono ancora qui
da quando è successo questo patatrac , mi sono accorto ora che NON mi fa piu rinominare nessun tipo di file che mi si blocca il pc e mi dice il solito : inviare l errore ecc ecc...e devo chiudere tutte le applicazioni in corso facendo ctrl alt canc per poter ricominciare a usare il pc...!
Me ne sono accorto perche dovevo masterizzare un cd e anche l'uso di nero burning mi è impedito
è qualcosa di legato a questo di sicuro perche quando voglio rinominare i file mi dice che l errore è di explorer.it...
holifay e orange chiedo di nuovo il vostro aiuto se non vi scoccia   |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 03 Mag 2007 10:39 Oggetto: |
|
|
potrebbe essere il sintomo di una nuova infezione....
(per caso avevi preso Instant Access?)
posta un nuovo log di HJT |
|
| Top |
|
|
Loo
Mortale pio
Registrato: 20/03/07 20:07
Messaggi: 23
|
| Inviato: 04 Mag 2007 14:38 Oggetto: |
|
|
Ciao orange, scusa il ritardo, non ero in casa!
Dunque, no, nessun instant access
ti metto qui il report di suspectfile..: link
qui invece ti posto il log ti hijack:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.36.32, on 04/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TOSHIBA\Power Management\CePMTray.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\media\Desktop\Programmi per la Sicurezza\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programmi\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/it/filesharingctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://chezzoccolo.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programmi\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FILECO~1\SONYSH~1\AVLib\Sptisrv.exe
O24 - Desktop Component 0: (no name) - http://www.virgilio.it/
--
End of file - 6524 bytes |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 05 Mag 2007 14:50 Oggetto: |
|
|
ciao!
il log di HJT è pulito... 
da quel poco che capisco di systemscan, pare che non è un problema di Instant Access....
scarica e installa GMER. Dopo averlo scompattato, lo avvii, selezioni "Rootkit"
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il blocco notes di windows, clicca su "modifica" e seleziona "incolla", salvi il file.
Poi fai una scansione con Gmer dalla posizione Autostart, con le stesse procedure del precedente, solo che spunti la casella "show all".
metti i due logs su easy share e metti qui i link dove scaricarli. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Mag 2007 19:40 Oggetto: |
|
|
Da systemscan risultano alcuni files da cancellare.
da c:\Windows\Tasks:
flmfcjk.job
vsxbbijp.job
ivti.job
jnk.job
fzs.job
wkuqzq.job
zzzrgne.job
rvzkxeyb.job
ddusd.job
zaypznyt.job
rul.job
khu.job
wnsha.job
mfp.job
twpvl.job
tih.job
ycyh.job
tgv.job
euglmtyq.job
rrdra.job
ukhx.job
tydska.job
rawiw.job
nurth.job
Per il resto, non mi sembra ci siano strani oggetti. |
|
| Top |
|
|
favanto
Mortale pio
Registrato: 06/05/07 13:01
Messaggi: 18
|
| Inviato: 07 Mag 2007 20:50 Oggetto: PROBLEMA SIMILE |
|
|
| Anch'io ho piu o meno lo stesso problema,qualche giorno fa,nel provare ad entrare nella pagina web di cleaner,mi faceva saltere la connessione ad internet,stessa cosa oggi nel cliccare su hijackthis,per favore aiuto. |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 08 Mag 2007 08:29 Oggetto: Re: PROBLEMA SIMILE |
 |
|
| favanto ha scritto: | | Anch'io ho piu o meno lo stesso problema,qualche giorno fa,nel provare ad entrare nella pagina web di cleaner,mi faceva saltere la connessione ad internet,stessa cosa oggi nel cliccare su hijackthis,per favore aiuto. |
ciao, benvenuto! 
hai gia letto questa discussione?
P.S. ragazzi, cercate nel forum prima di scrivere, questo problema in particolare è già stato trattato più volte... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
