| Precedente :: Successivo |
| Autore |
Messaggio |
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
 Inviato: 26 Set 2007 00:04 Oggetto: * Whataboutadog/rabbit + something else |
 |
|
Rieccomi tra voi!
Come al solito il problema risiede nel pc al lavoro, perciò i tempi di dialogo potrebbero essere dilatati!
Intanto loggo HJT (in rosso le cose sospette o certamente malevole)
| Citazione: | Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.07.00, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\UltraVNC\winvnc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\USBPlug.exe
C:\DOCUME~1\MARGHE~1.PC_\IMPOST~1\Temp\1188372826.dat.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programmi\SonicWALL\SonicWALL Global VPN Client\RampartSvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\marghera2.PC_MARGHERA3\Documenti\My Received Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [dscService] C:\WINDOWS\system32\USBPlug.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [crtfmon] C:\DOCUME~1\MARGHE~1.PC_\IMPOST~1\Temp\1188372826.dat.exe
O4 - HKLM\..\RunServices: [Windows Secure Update] winupser.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.com
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1A50DAE-2633-4C14-A9D2-0C9BB51367D8}: NameServer = 212.216.112.222,212.216.172.162
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAD805F1-4CF8-43A1-964E-36444EE89DD9}: NameServer = 212.48.4.15 62.211.69.150
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINDOWS\system\dllhost.exe (file missing)
O23 - Service: SonicWall VPN Client Service (RampartSvc) - SonicWALL, Inc. - C:\Programmi\SonicWALL\SonicWALL Global VPN Client\RampartSvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programmi\UltraVNC\winvnc.exe |
Come si può notare, l'unica protezione è Norton, aggiornata solo dall'amministratore utilizzando il vivinc, con una frequenza di una volta ogni volta che prendiamo un virus.
Non potrei installare nulla senza il suo permesso (ma se poi rimuovo non ci sono problemi), non posso fare aggiornamenti e non posso e basta.
Posso però tentare di sistemare il pc.
Il collegamento è una ISDN a 64K perciò soggetta a dialer, e infatti il file .dat.exe è stato segnalato come dialer global e messo in quarantena da Norton in precedenza, ma il problema non è stato risolto visto che è tornato e risiede tra i programmi in startup.
Inoltre sono presenti i due whatabout (non ho capito se sono collegati al dialer) e b.whatabuotadog risulta come sito nella cronologia odierna di IE.
Altro fatto degno di nota, da qualche giorno il pc manda un avvertimento del tipo "è stata memorizzata la cronologia dei siti per adulti [...] questo può comportare problemi bla bla bla [...] vuoi scaricare il programma di rimozione?" (il testo non è fedele all'originale).
Finora si è annullata la richiesta, che chiaramente apre le porte a non si sa chi.
Domanda numero 1: è possibile rimuove tutto ciò con solo Norton e qualche removal tool?
Domanda numero 2: come si fa a rimuovere l'ammnistratore dal sistema?
Grazie
EDIT: dimenticavo... il processo Function.exe tra le applicazioni del taskmanager è normale? Non l'avevo mai visto prima. |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 26 Set 2007 02:36 Oggetto: |
|
|
Ciao Benny 
Avvia il PC in Modalità provvisoria
Avvia HJT e metti la spunta a queste righe:
| Citazione: | O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [crtfmon] C:\DOCUME~1\MARGHE~1.PC_\IMPOST~1\Temp\1188372826.dat.exe
O4 - HKLM\..\RunServices: [Windows Secure Update] winupser.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINDOWS\system\dllhost.exe (file missing) |
Clicca fix Checked e risponsi si
Riavvia il PC alla modalità normale.
Scarica VirIt da qui
Aggiornalo e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato.
Fai anche le scansioni con FindAWF
e GMER
Posta pure un log aggiornato di HJT
Grazie. |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 26 Set 2007 10:00 Oggetto: |
|
|
Ciao Sante!
Grazie per l'interessamento!
Ecco il primo log di VirIT:
| Citazione: | VirIT eXplorer Lite Log
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
26/09/2007 - 09:08:32
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\Documents and Settings\marghera2.PC_MARGHERA3\Impostazioni locali\Temp\1188372826.dat.exe Infetto da Trojan.Win32.Small.QK
C:\Programmi\File comuni\Symantec Shared\ccApp.exe Infetto da Trojan.Win32.Agent.ART
C:\Programmi\Symantec AntiVirus\VPTray.exe Infetto da Trojan.Win32.Agent.ART
C:\WINDOWS\system32\USBPlug.exe Infetto da Trojan.Win32.Agent.ART
Chiavi Registro infette: 0.
Files Infetti: 4.
Files Sospetti: 0.
Files Analizzati: 55890.
Files Totali: 55890.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0. |
Interessante che due file infetti siano file di symantec...
Ora procedo con GMER e FindAWF, poi riferisco! |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 26 Set 2007 10:15 Oggetto: |
|
|
| Ecco FindAWF. |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 26 Set 2007 10:25 Oggetto: |
|
|
Questo é GMER.
E questo HJT: mi pare che la situazione sia variata leggermente, ma i whatabout rimangono... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 26 Set 2007 11:42 Oggetto: |
|
|
Allora, si tratta di istant access o qualcosa del genere e ti ha intaccato anche l'antivirus. Per questo i wathabout non si tolgono.
Il log rootkit di GMER non presenta cose strane. Manca però quello di autostart.
Adesso scarica Avenger e mettilo in una sua cartella in C:\
http://swandog46.geekstogo.com/avenger.zip
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | files to delete:
C:\Programmi\Symantec AntiVirus\VPTray.exe
C:\Programmi\UltraVNC\winvnc.exe
C:\WINDOWS\system32\USBPlug.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
files to move:
C:\Programmi\Symantec AntiVirus\bak\VPTray.exe | C:\Programmi\Symantec AntiVirus\VPTray.exe
C:\Programmi\UltraVNC\bak\winvnc.exe | C:\Programmi\UltraVNC\winvnc.exe
C:\WINDOWS\system32\bak\USBPlug.exe | C:\WINDOWS\system32\USBPlug.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe
folders to delete:
C:\Programmi\Symantec AntiVirus\bak
C:\Programmi\UltraVNC\bak
C:\WINDOWS\system32\bak
C:\Programmi\File comuni\Symantec Shared\bak |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di avenger con un log aggiornato di hijackthis. Prova eventualmente a eliminare le righe dei wathabout adesso. |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 26 Set 2007 13:10 Oggetto: |
|
|
Avenger
HJT
Le cose sembrano essere andate a posto, anche se questa voce
| Citazione: | | O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINDOWS\system\dllhost.exe (file missing) |
Proprio non vuole saperne di rimuoversi...
Non mi pare ci siano altri problemi.
Intanto grazie, se il sintomo persiste consulterò nuovamente il medico!  |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 26 Set 2007 13:19 Oggetto: |
|
|
elimina il file con Avenger:
| Citazione: | Files to delete:
C:\WINDOWS\system\dllhost.exe |
poi: Start>esegui digita
sc stop DLLHOST32
sc delete DLLHOST32
e dovresti aver risolto |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 26 Set 2007 15:35 Oggetto: |
|
|
Perfetto!
Grazie Orange!
Ovviamente Avenger mi diceva che il file ddlhost.exe era impossibile da trovare (in effetti risulta file missing), ma grazie alle istruzioni che mi hai dato, ora non compare più nel log di HJT.
Ora il pc dovrebbe essere a posto.
Grazie e alla prossima!
@Orange: a proposito, che istruzioni sono "sc stop" e "sc delete"? |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 26 Set 2007 21:27 Oggetto: |
 |
|
| Benny ha scritto: | | @Orange: a proposito, che istruzioni sono "sc stop" e "sc delete"? |
cito spudoratamente da Microsoft 
| Citazione: | sc stop
Invia una richiesta di controllo STOP a un servizio.
sc delete
Elimina una sottochiave di un servizio dal Registro di sistema. |
|
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
