Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

trojan NTRootKit-H Opzioni
virmax
Inviato: Tuesday, November 30, 2004 9:26:47 AM
Rank: Member

Iscritto dal : 7/24/2003
Posts: 0
mcafee 7.xxx ha rilevato il seguente trojan "NTRootKit-H" ma ogni volta che mi collego ad internet, mi si reistalla, ho sentito che ci sono delle dll da cancellare e delle porte che rimangono aperte... ho utilizzato vari tools senza esito positivo. il mio s.o. e' win xp sp1 e la cpu e' amd athlon 1800+. potete aiutarmi a rimuovere il trojan, vi ringrazio dell'aiuto.
Sponsor
Inviato: Tuesday, November 30, 2004 9:26:47 AM

 
alfonso
Inviato: Tuesday, November 30, 2004 10:27:18 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Scarica questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1175
e leggi la descrizione.

Collaboratore Aiutamici
virmax
Inviato: Tuesday, November 30, 2004 10:49:38 AM
Rank: Member

Iscritto dal : 7/24/2003
Posts: 0
grazie molte, ho gia scaricato il prg e nel pomeriggio ti inviero' il Hijack This.log
del mio pc
virmax
Inviato: Tuesday, November 30, 2004 5:43:46 PM
Rank: Member

Iscritto dal : 7/24/2003
Posts: 0
ti invio il file che mi hai richiesto prima di entrare in internet e avendo passato mcafee ieri inoltre ti invio lo stesso file dopo essere entrato in internet per inviarti il tutto. ti ringrazio
Logfile of HijackThis v1.98.2
Scan saved at 17.39.33, on 30/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CpuIdle\cpuidle.exe
C:\PROGRA~1\REGIST~1\rbcs.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programmi\McAfee\McAfee VirusScan\VsStat.exe
C:\Programmi\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
C:\Programmi\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\sfcver.exe
C:\Programmi\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programmi\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CpuIdle] C:\Programmi\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [CheckRegDefragService] "C:\PROGRA~1\REGIST~1\rbcs.exe" -autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar2.dll/cmcache.html
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11111111-1111-1111-1111-111111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113458} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099050696682
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DD970A8-2599-4CBD-A5EB-A55F93BADB96}: NameServer = 81.74.229.227 151.99.125.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

dopo essere entrato in internet:

Logfile of HijackThis v1.98.2
Scan saved at 17.44.01, on 30/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CpuIdle\cpuidle.exe
C:\PROGRA~1\REGIST~1\rbcs.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programmi\McAfee\McAfee VirusScan\VsStat.exe
C:\Programmi\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
C:\Programmi\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\sfcver.exe
C:\Programmi\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programmi\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CpuIdle] C:\Programmi\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [CheckRegDefragService] "C:\PROGRA~1\REGIST~1\rbcs.exe" -autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar2.dll/cmcache.html
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11111111-1111-1111-1111-111111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113458} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099050696682
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DD970A8-2599-4CBD-A5EB-A55F93BADB96}: NameServer = 81.74.229.227 151.99.125.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)



alfonso
Inviato: Tuesday, November 30, 2004 6:31:00 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao virmax,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono

==================================
C:\WINDOWS\System32\sfcver.exe
-
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
-
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11111111-1111-1111-1111-111111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113458} -
-
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
==================================

con la funzione TROVA di windows cerca ed elimina i seguenti file

==================================
sfcver.exe
msacmx.dll
==================================

al termine utilizza i programma AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

fai una scansione antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

Collaboratore Aiutamici
virmax
Inviato: Wednesday, December 01, 2004 8:10:02 AM
Rank: Member

Iscritto dal : 7/24/2003
Posts: 0
scusami alfonso le righe che devo elimimare sono le seguenti?:

C:\WINDOWS\System32\sfcver.exe
O2 - BHO: (no name) - {A5366673-E8CA-11D3-D9-0090271D075B}
C:\WINDOWS\System32\msacmx.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11111111-1111-1111-1111-111111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113458} -
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

ieri ho cercato di passare mcafee in modalita' provvisoria ma mon mi funzionava perche non riusciva a caricare il file run32dll, comunque quando avro' la risposta con sicurezza delle righe che devo togliere ti faro' sapere. grazie
alfonso
Inviato: Wednesday, December 01, 2004 11:27:28 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Si sono quelle che devi eliminare.

Collaboratore Aiutamici
virmax
Inviato: Tuesday, December 07, 2004 6:15:45 PM
Rank: Member

Iscritto dal : 7/24/2003
Posts: 0
PER ALFONSO.
SCUSA SE NON HAI AVUTO MIE NOTIZIE IN MERITO. HO FATTO TUTTO QUELLO CHE MI HAI RICHIESTO E SEMBRA CHE TUTTO FUNZIONI, ALMENO PER ORE, COMUNQUE NON RIESCO AD ELIMINARE QUESTA STRINGA DEL FILE HIJACK THIS:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
UNA VOLTA CHE LA CANCELLO, DOPO CHE HO NAVIGATO IN INTERNET MI RITORNA. HO ISTALLATO TUTTI I PRG DI SICUREZZA CHE SONO SU QUESTO SITO MA OGNI VOLTA MI RITORNA LA STRINGA IN OGGETTO. COMUNQUE TI RINGRAZIO DELL'AIUTO CHE MI HAI DATO. GRAZIE.
alfonso
Inviato: Tuesday, December 07, 2004 10:46:17 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao Virmax,
non ti preoccupare per la segnalazione, rispondo a tante richieste che non posso accorgermi di chi non risponde, l'importante e che il problema viene risolto.

Quella riga non e pericolosa, puoi stare tranquillo, comunque se non lo hai installato, ti consiglio SPYWAREBLASTER
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1041
leggi la descrizione come al solito.

Collaboratore Aiutamici
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.