| Precedente :: Successivo |
| Autore |
Messaggio |
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
 Inviato: 20 Ott 2006 22:15 Oggetto: trojan horse clicker CVF [risolto] |
 |
|
Ciao a tutti, ho urgente bisogno di voi. Sono impestato da questo virus e mi viene rilevato nel file iexplore32.dll
Qu4esta è la mia scansione con Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 22.13.30, on 20/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\service32.exe
E:\WINDOWS\RTHDCPL.EXE
E:\WINDOWS\ALCMTR.EXE
E:\WINDOWS\system32\RunDLL32.exe
E:\Programmi\Trust\Ami Mouse 300 Optical Dual Scroll\Amoumain.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
E:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Messenger\msmsgs.exe
E:\Programmi\Internet Explorer\iexplore.exe
E:\DOCUME~1\Internet\IMPOST~1\Temp\Directory temporanea 3 per hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TrustInstaller] F:\Setup.exe
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CnxDslTaskBar] "E:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = E:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADE5EAA0-A4AC-42CE-B705-8F80F0330099}: NameServer = 195.110.128.1 212.48.4.11
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
Qualcuno sa darmi una mano? Cosa devo fare?
Sicuro di un vostro aiuto vi ringrazio anticipatamente |
|
| Top |
|
 |
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 20 Ott 2006 23:05 Oggetto: |
|
|
Ciao e benvenuto 
Avvia HijackThis, premi Do a system scan only, poi spunta questa voce e premi Fix Checked:
O4 - HKLM\..\Run: [TrustInstaller] F:\Setup.exe
Vai su questo sito http://www.virustotal.com e carica questo file F:\Setup.exe (in alto c'è Scegli, da lì selezioni il file e poi clicchi Send, verrai messo in coda e poi il tuo file verrà controllato da molti antivirus, quando ha finito postami il risultato).
Riavvia il pc in Modalità Provvisoria (F8 al boot)
| Citazione: | Apri una cartella qualunque, vai su
Strumenti->Opzioni Cartella->scheda Visualizzazione,
spunta la voce "Visualizza cartelle e file nascosti", togli la spunta a
"Nascondi file protetti di sistema" (digli di sì). |
Usa la ricerca di Windows e trova questi file, se li trovi cancellali(ricordati di attivare la ricerca nelle cartelle e nei file nascosti andando in "Altre opzioni avanzate" e spuntando la voce "Cerca nei file e nelle cartelle nascosti"):
| Citazione: | syst32.dll
iexplorer32.dll
cc1.txt
Sys.htm
tuk.php |
Cancella anche questo file E:\WINDOWS\service32.exe
Riavvia in Modalità Normale e fatti una scansione online con Panda.
Postami perfavore un nuovo log di HijackThis, il risultato di VirusTotal, il log di Panda. |
|
| Top |
|
|
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
| Inviato: 21 Ott 2006 17:12 Oggetto: |
|
|
| Ciao, prima di tutto grazie x la risposta...ma come faccio a selezionare F:/Setup.exe: F è il cd rom |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 21 Ott 2006 20:21 Oggetto: |
|
|
Che strano! non ha senso  beh tu fixa la voce e continua con il resto. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 21 Ott 2006 21:55 Oggetto: |
|
|
| trifoglio ha scritto: | | Ciao, prima di tutto grazie x la risposta...ma come faccio a selezionare F:/Setup.exe: F è il cd rom |
| Smjert ha scritto: | | Che strano! non ha senso beh tu fixa la voce e continua con il resto. |
Si vede che il malaware che ha messo quell'esecuzione automatica, non sapeva che quello fosse il cd-rom  |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 21 Ott 2006 22:13 Oggetto: |
|
|
| A parte il fatto che è strano che punti il cd-rom ma cercando in giro su internet alcuni utenti ce l'avevano in E:\ in D:\ quindi sembrava che tale malware sapesse cosa faceva. |
|
| Top |
|
|
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
| Inviato: 21 Ott 2006 22:42 Oggetto: |
|
|
Ecco il risultato di virustotal...ho inserito il cd rom della trust...ora continuo con il resto
STATUS: FINISHEDComplete scanning result of "Setup.exe", received in VirusTotal at 10.21.2006, 22:39:47 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.32 10.21.2006 no virus found
Authentium 4.93.8 10.21.2006 no virus found
Avast 4.7.892.0 10.20.2006 no virus found
AVG 386 10.20.2006 no virus found
BitDefender 7.2 10.21.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 no virus found
ClamAV devel-20060426 10.21.2006 no virus found
eTrust-InoculateIT 23.73.32 10.21.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
DrWeb 4.33 10.21.2006 no virus found
Ewido 4.0 10.21.2006 no virus found
Fortinet 2.82.0.0 10.21.2006 no virus found
F-Prot 3.16f 10.21.2006 no virus found
F-Prot4 4.2.1.29 10.21.2006 no virus found
Ikarus 0.2.65.0 10.21.2006 no virus found
Kaspersky 4.0.2.24 10.21.2006 no virus found
McAfee 4878 10.20.2006 no virus found
Microsoft 1.1603 10.21.2006 no virus found
NOD32v2 1.1822 10.21.2006 no virus found
Norman 5.80.02 10.20.2006 no virus found
Panda 9.0.0.4 10.21.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.102 10.20.2006 no virus found
UNA 1.83 10.21.2006 no virus found
VBA32 3.11.1 10.20.2006 no virus found
VirusBuster 4.3.7:9 10.21.2006 no virus found
Aditional Information
File size: 1444864 bytes
MD5: 79d931f15c3ba750e9968b3520959203
SHA1: 33338f1dfc2cb522e1cae229d78af6c778d02b43 |
|
| Top |
|
|
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
| Inviato: 21 Ott 2006 23:24 Oggetto: |
|
|
Ecco la scansione con panda:
Incident Status Location
Dialer:dialer.min Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB893839-10F0-4AF9-92FA-B23528F530AF}
Spyware:Cookie/cs.sexcounter Not disinfected E:\Documents and Settings\Internet\Cookies\internet@cs.sexcounter[2].txt
Spyware:Cookie/Doubleclick Not disinfected E:\Documents and Settings\Internet\Cookies\internet@doubleclick[1].txt
Spyware:Cookie/Tradedoubler Not disinfected E:\Documents and Settings\Internet\Cookies\internet@tradedoubler[1].txt
Spyware:Cookie/XXXCounter Not disinfected E:\Documents and Settings\Internet\Cookies\internet@xxxcounter[1].txt
Adware:Adware/GoodSearchNow Not disinfected E:\RECYCLER\S-1-5-21-823518204-606747145-839522115-1003\De1.exe
Adware:Adware/GoodSearchNow Not disinfected E:\WINDOWS\103251116180.exe |
|
| Top |
|
|
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
| Inviato: 21 Ott 2006 23:26 Oggetto: |
|
|
Ecco il log di hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 23.25.15, on 21/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\RTHDCPL.EXE
E:\WINDOWS\ALCMTR.EXE
E:\WINDOWS\system32\RunDLL32.exe
E:\Programmi\Trust\Ami Mouse 300 Optical Dual Scroll\Amoumain.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
E:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Messenger\msmsgs.exe
E:\Programmi\Internet Explorer\iexplore.exe
E:\DOCUME~1\Internet\IMPOST~1\Temp\Directory temporanea 6 per hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CnxDslTaskBar] "E:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = E:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADE5EAA0-A4AC-42CE-B705-8F80F0330099}: NameServer = 195.110.128.1 212.48.4.11
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 22 Ott 2006 13:16 Oggetto: |
|
|
Hai trovato quei file che ti ho chiesto di cercare?
Ricordati di svuotare il cestino! hai un AdWare li dentro (se invece vedi il cestino vuoto, vai in E:\RECYCLER\S-1-5-21-823518204-606747145-839522115-1003 e cancella tutti i file che trovi)
Scarica Avenger e decomprimi il file.zip sul desktop
Adesso avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte qui sotto:
| Citazione: | files to delete:
E:\WINDOWS\103251116180.exe
Registry Keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{14D1A72C-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{14D1A720-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects
\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext
\Stats\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Ext\Stats\{14D1A72D-8705-11D8-B120-0040F46CB696}\iexplore
HKEY_USERS\Software\fid |
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Postami il log di avenger (E:\avenger.txt) |
|
| Top |
|
|
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
| Inviato: 24 Ott 2006 08:28 Oggetto: |
|
|
Ciao, posso leggere la tua risposta solo ora perchè ho un altro problema: con il mio pc non riesco più ad aprire questo sito...mi esce la classica pagina "impossibile visualizzare la pagina"...come mai? E' dovuto al virus?
Adesso la sto leggendo dal lavoro
Stasera quando vado a casa faccio quello che mi hai detto |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 24 Ott 2006 12:46 Oggetto: |
|
|
Sì, è dovuto al trojan che oltre a bloccare i vari tool a disposizione (ti funziona ancora HijacThis?) blocca anche i siti dedicati alla sicurezza.
Non solo li blocca, ma li legge anche
Per prima cosa fai girare questi tool. Sono contro un altro trojan che però si accompagna spesso al clicker. http://forum.zeusnews.com/viewtopic.php?t=18285
Se dopo non riesci a risolvere, non riesci a cancellare i files che ti ha detto Smiert e i siti ti si bloccano ancora (ad esempio è tipico che si chiuda la pagina web se trova la scritta Hijackthis) allora mandami la tua email con messaggio privato che ti indico una procedura manuale per la rimozione.
Purtroppo non posso scriverla qui sul forum
Ciao |
|
| Top |
|
|
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
| Inviato: 24 Ott 2006 13:32 Oggetto: |
|
|
| Procedo prima con quello che ha scritto Smjert o prima faccio girare i tool come mi indichi tu |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 24 Ott 2006 14:03 Oggetto: |
|
|
| holifay ha scritto: |
Se dopo non riesci a risolvere, non riesci a cancellare i files che ti ha detto Smiert e i siti ti si bloccano ancora (ad esempio è tipico che si chiuda la pagina web se trova la scritta Hijackthis) allora mandami la tua email con messaggio privato che ti indico una procedura manuale per la rimozione.
Purtroppo non posso scriverla qui sul forum
Ciao |
Scusa l'intrusione ma lo faccio per curiosità... perchè non puoi scriverla qua?
é perchè come hai detto prima il trojan legge le pagine? |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 24 Ott 2006 14:52 Oggetto: |
|
|
| Citazione: | Scusa l\'intrusione ma lo faccio per curiosità... perchè non puoi scriverla qua?
é perchè come hai detto prima il trojan legge le pagine? |
Sì, i creatori del trojan leggono i forum, anche italiani, scaricano i tool che consigliamo e li disattivano. Sono trojan che si aggiornano automaticamente da Internet: dopo qualche giorno i tool smettono di funzionare con tutti gli utenti. |
|
| Top |
|
|
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
| Inviato: 24 Ott 2006 15:22 Oggetto: |
|
|
| Nessuna intrusione...anzi, mi state dando un grandissimo aiuto: a proposito: il mio disco fisso ha 3 partizioni ma solo una la uso per internet: c'è la possibilità che anche le altre due siano infettate? |
|
| Top |
|
|
t0r3
Eroe
Registrato: 04/05/05 09:42
Messaggi: 50
|
| Inviato: 24 Ott 2006 15:54 Oggetto: trojan |
|
|
ragazzi anch'io sono in crisi, ho aperto un topic senza cercare bene mi dispiace avrei potuto postere qui il mio problema  |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 24 Ott 2006 16:03 Oggetto: |
|
|
| holifay ha scritto: | Sì, è dovuto al trojan che oltre a bloccare i vari tool a disposizione (ti funziona ancora HijacThis?) blocca anche i siti dedicati alla sicurezza.
Non solo li blocca, ma li legge anche |
Cioè?
identifica se un sito sia dedicato alla sicurezza (e quindi da bloccare) in base all'occorrenza di parole chiave (virus, antivirus, ecc.) e magari di link ai download dei programmi antimalaware (i link ahnno il vantaggio di essere spesso uguali a prescindere dalla lingua)? |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 24 Ott 2006 16:10 Oggetto: |
|
|
Oltre a bloccare i siti che nel testo contengono certe stringhe, bloccano l\'accesso anche ad alcuni siti di sicurezza.
Inoltre il loro trojan riconosce anche HijackThis, GMER, Darkspy, Icesword, Avenger... e un sacco di altri tool che prima funzionavano. I creatori cambiano la dll, il trojan si aggiorna via internet e gli utenti non possono più usarli.
Nuove versioni dei tool, appena pubblicate sui forum, sono bloccate nel giro di una settimana
Non gli piaciono ad esempio queste stringhe:
* avzantivirus
* svv
* avz
* antihook
* blacklight
* gromozon
* gmer
* prevx
* rootkit
* sophosant-rootkit
* rootkitrevealer
* icesword
* avganti-rootkit
* rootkituncover
* sophosanti-rootkit
* clrav
* avzanti-virus
Bloccano le connessioni a:
* wilderssecurity.
* castlecops.
* suspectfile.
* antispywareremoval.
* pctools.
* paretologic.
* scan-it-clean-it.
* trojaner-board.
* prevx.
* pcalsicuro.
* 2-spyware.
* protecus.
* hwupgrade. |
|
| Top |
|
|
trifoglio
Eroe
Registrato: 20/10/06 22:07
Messaggi: 43
|
| Inviato: 24 Ott 2006 22:41 Oggetto: |
 |
|
Ho fatto la scansione con Fix2 di Prevx e il fatto positivo è che riesco a collegarmi al sito..ecco il log:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Poi ho fatto la procedura che mi ha indicato Smjert ed ecco il log:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: \{14D1A72D-8705-11D8-B120-0040F46CB696}
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: \{14D1A72C-8705-11D8-B120-0040F46CB696}
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: \{14D1A720-8705-11D8-B120-0040F46CB696}
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: \Explorer\Browser Helper Objects
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: \{14D1A72D-8705-11D8-B120-0040F46CB696}
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: \Stats\{14D1A72D-8705-11D8-B120-0040F46CB696}
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: \Ext\Stats\{14D1A72D-8705-11D8-B120-0040F46CB696}\iexplore
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\okyvamft
*******************
Script file located at: \??\E:\Documents and Settings\nabviabm.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at E:\Avenger
*******************
Beginning to process script file:
File E:\WINDOWS\103251116180.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html failed!
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html.1 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html.1 failed!
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion deleted successfully.
Registry key HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext not found!
Deletion of registry key HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext failed!
Status: 0xc0000034
Registry key HKEY_USERS\Software\Microsoft\Windows\CurrentVersion not found!
Deletion of registry key HKEY_USERS\Software\Microsoft\Windows\CurrentVersion failed!
Status: 0xc0000034
Registry key HKEY_USERS\Software\fid not found!
Deletion of registry key HKEY_USERS\Software\fid failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\okyvamft
*******************
Script file located at: \??\E:\Documents and Settings\nabviabm.txt
Script file not found! Error
Could not open script file! Status: 0xc0000034 Abort!
Che mi dite? |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
