Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
probabile trojan!
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 07 Set 2007 14:38    Oggetto: probabile trojan! Rispondi citando
Ciao a tutti. Ho notato un notevole rallentamento nelle operazioni in rete, inoltre mi è stato messo KO l'antivirus Avast. Sono nei guai!
Il seguente è il log ottenuto da HijackThis ma in modalità normale in quanto, dopo questo inconveniente, non è possibile avviare il PC in quella provvisoria. Qualcuno può aiutarmi? Grazie di cuore, Enferal.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.24.10, on 07/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 3622 bytes
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Set 2007 16:50    Oggetto: Rispondi citando
Ciao enferal, Ciao

Il log non segnala presenze oscure...
ma il fatto di non poter andare in provvisoria e il tuo antivirus ko è dovuto proprio a qualche malvagio ospite.

Forse il bagle? Think
Prova a scaricare il programma EliBagle da http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Lo trovi in fondo alla pagina, clicca sulla voce Descarga ElibaglA
Avvia il programma, dovrebbe crearti un log. Al termine posta qui un log aggiornato di hijackthis.

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 09 Set 2007 10:28    Oggetto: Rispondi citando
Grazie Bdoriano.
Ho scaricato e applicato il programma Elibargla, durante la scansione mi ha dato 2 messaggi: accesso negato ad un file nella cartella Windows e altro nella cartella ....menu avvio\programmi. Non riesco a cancellarli, eppure non è marcata la casella "sola lettura". Il risultato dell'analisi è zero files infetti.
Ti posto comunque il log ottenuto da Hijackthis dopo la scansione di Elibargla.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.09.30, on 09/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [ReEXEc] C:\App\EliBaglA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 3548 bytes

[b]Grazie ancora!!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 09 Set 2007 13:25    Oggetto: Rispondi citando
Fai questi passaggi:
Scansione con FindAWF
Scansioni con GMER e posta i logs su http://www.freefilehosting.net come indicato qui.
Top
Profilo Invia messaggio privato
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 09 Set 2007 22:29    Oggetto: Rispondi citando
Spero di aver fatto tutto correttamente. Ho seguito le tue istruzioni e ho postato i logs Findawf e Gmer.

awf log.txt

gmer log1.log

Grazie, EnFerAl
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 10 Set 2007 12:02    Oggetto: Rispondi citando
Ciao.
manca il log "autostart" di Gmer.

gli altri due sono puliti.
Top
Profilo Invia messaggio privato
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 10 Set 2007 14:19    Oggetto: Rispondi citando
Scusami devo aver sbagliato la procedura d'inserimento. Eccolo di nuovo.
gmer log2.log

Ciao, grazie.
Top
Profilo Invia messaggio privato
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 10 Set 2007 14:26    Oggetto: Rispondi citando
...accidenti non funziona!! Lo posto qua così è sicuro.


edit by bdoriano: log eliminato perché duplicato
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 10 Set 2007 15:49    Oggetto: Rispondi citando
hai postato lo stesso log Rootkit che avevamo già Laughing
Citazione:
Avviamo Gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su http://www.freefilehosting.net
Postiamo qui il link che ci viene assegnato.

Wink
Top
Profilo Invia messaggio privato
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 10 Set 2007 17:08    Oggetto: Rispondi citando
Ok Orange. Ecco il log:

Gmerlog.txt

...spero di aver azzeccato!
Grazie!
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 10 Set 2007 22:27    Oggetto: Rispondi citando
enferal ha scritto:
...spero di aver azzeccato!
Grazie!

Ahrahr
nemmeno questo giro!

hai spuntato l'opzione Show All ?
Top
Profilo Invia messaggio privato
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 11 Set 2007 09:17    Oggetto: Rispondi citando
...sono convinto di averlo spuntato, però...



Gmer 11 sett.txt

Che imbranato! Scusami, ciao.
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 11 Set 2007 12:09    Oggetto: Rispondi citando
ce l'abbiamo fatta finalmente! Mr. Green

scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:
Citazione:
Files to delete:
C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

Clicca Done
poi sul icona del semaforo
rispondi Yes (a questo punto il PC dovrebbe riavviarsi. se così non fosse, riavvialo manualmente)

al riavvio si aprirà il blocco note con il log-- mettilo qui.
Top
Profilo Invia messaggio privato
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 11 Set 2007 12:36    Oggetto: Rispondi citando
Il log di Avenger
avenger2.txt

......spero che non siano tutti come me!
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 11 Set 2007 12:47    Oggetto: Rispondi citando
ok, l'operazione è andata a buon fine.
riscontri ancora i problemi di prima?
Top
Profilo Invia messaggio privato
enferal
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/08/07 16:07
Messaggi: 130
MessaggioInviato: 11 Set 2007 13:30    Oggetto: Rispondi
No, ora sembra che vada bene. La velocità dei dati è la solita e riesco anche ad avviare in modalità provvisoria. Non ho capito in quale fase è stato tolto l'inconveniente.
Complimenti a voi per l'ottima collaborazione e per la pazienza!
Grazie, EnFerAl.


Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi