Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » probabile effetto di trojan

probabile effetto di trojan Opzioni
Topic Precedente · Topic Sucessivo
dadomicoud
Inviato: Wednesday, August 23, 2006 2:07:58 PM
Rank: Member

Iscritto dal : 8/17/2006
Posts: 6
ciao ragazzi vi avevo già scritto per 2 trojan che avevo nella cartella win32, uno sul file syshost.dll e l'altro su msmnu.vdll.
Li ho messi in quarantena, altro non posso fare. Potrei cancellarli?
Inoltre ho un effetto che temo sia collegato al virus: mi si crea dal nulla una connessione che cerca di connettersi di continuo. Tramite hijack sono giunto a conclusione che sia per effetto di un file, idqr.exe nella cartella Temp che cancello con tutti i miei programmi,(hijack, ewido, nod,ad aware) ma che puntualmente ricompare. Cosa posso fare?
Inoltre, altro effetto che vedo da quando ho i trojan, le icone dei programmi "automatici" in basso a destra nella barra applicazioni che vengono caricate all'avvio di windows, tra cui il resident antivirus di Nod32, ci mettono più tempo a caricare all'avvio. 3 programmi vengono caricati subito, gli altri solo dopo qualche minuto e in questo intervallo di tempo tutto è più lento. Prima li caricava tutti insieme all'avvio.
Vi invio il log completo, spero di essere stato sufficientemente esaustivo..
grazie 1000, davide

Logfile of HijackThis v1.99.1
Scan saved at 13.58.21, on 23/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.arianna.it/perie/hometestie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.iol.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [idqr1.exe] C:\WINDOWS\Temp\idqr1.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.iol.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9C94468-512E-4C39-8BC4-0D870D941ED0}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
Torna in alto
 
Sponsor
Inviato: Wednesday, August 23, 2006 2:07:58 PM

 
Torna in alto
 
steven75
Inviato: Wednesday, August 23, 2006 3:45:18 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao
purtroppo anche tu ti sei beccato una variante di Linkoptimizer.....
ti rimando alla guida per liberartene.....
http://steven.altervista.org/files/rootkit.html

Comunque volendo puoi cominciare cosi :
Prova subito con un ripristino configurazione di sistema ad una data antecedente al sorgere dei problemi...

- Scarica Virit , aggiornalo se c'è ne bisogno , e fai uno scan del tuo sistema....

Poi recati nel pannello di controllo e vedi se presente una voce con il nome LinkOptimizer, se si non toccarla , scarica e decomprimi MyUninstaller,(se lo vuoi tradurre in italiano,scarica questo file.zip
decomprimilo ,prendi il file e copialo nella cartella dove c'è Myuninstaller) .
Adesso avvia l'applicazione,attendi che siano visibili tutti i programmi installati, seleziona la voce in oggetto con il tasto destro e eliminala

Poi vai su Start->esegui->digita control userpasswords2 e dai l'ok....
Nella finestra che si aprira controlla di non avere un utenza sospetta oltre alle solite , se c'è cliccaci sopra con il tasto destro ed eliminala .....
{se hai XP PRO,semore nella finestra degli account,clicca su avanzate,poi ancora su avanzate, e controlla sia in user , che in groups di non avere alcuna utenza strana

Con hijackthis metti la spunta alle voci che andro ad elencarti e premi su fix checked:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [idqr1.exe] C:\WINDOWS\Temp\idqr1.exe

Se i problemi persistono scarica GMER (nella mia guida)e fai le scansioni come spiegto... alla fine posta i log e dicci i riscontri delle procedure....

<b>PS__prima di fare tutto cio , installa un firewall , altrimenti non servirà a niente fare queste procedure</b>
Torna in alto
 
dadomicoud
Inviato: Friday, August 25, 2006 11:26:58 AM
Rank: Member

Iscritto dal : 8/17/2006
Posts: 6
ciao ho scaricato virit e mi dava voce di registro infetta da win32.trojanresurrector.a
ed all'avvio una voce di windows che inizia per ?.windows.com.bak

Avevo la cartella link optimizer ma l'avevo cancellata con regseeker.
Come procedo?
Ho provato con la procedura su virit, ma non ho la stringa appini_dlls nel registro sebbene virit me la trovi!
ho usato viri in modalità provvisoria e pare che la chiave di registro sia pulita, resta il file bak!
Che faccio?
Che sudata! grazie
Torna in alto
 
steven75
Inviato: Friday, August 25, 2006 11:56:16 AM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao dado ,
come ti avevo accennato linkoptimizer è un "duro" quindi se non si effettuano le procedure che ti ho detto e che sono scritte nelle mia guida , puoi scordartelo che riesci a eliminarlo..( regseeker non è per niente adatto , nemmeno per fargli il solletico.....)
e poi la chiave del registro la vedi vuota ,ma non lo è....

Se vuoi farti aiutare, devi postarmi , i log che ti ho chiesto , altrimenti sarà difficile
Torna in alto
 
dadomicoud
Inviato: Friday, August 25, 2006 4:27:32 PM
Rank: Member

Iscritto dal : 8/17/2006
Posts: 6
volevi il log di gmer? scusa non avevo capito...
Resta solo il problema del trojan resurrector che si avvia sempre all'avvio di windows...
ti posto il log di gmer. grazie 1000

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-25 16:21:29
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WINDOWS\SYSTEM32\Userinit.exe,
Windows@AppInit_DLLs = Prova.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
LexBceS /*LexBce Server*/@ = C:\WINDOWS\system32\LEXBCES.EXE
NOD32krn /*NOD32 Kernel Service*/@ = C:\Programmi\Eset\nod32krn.exe
OutpostFirewall /*Outpost Firewall Service*/@ = C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /service
Pctspk /*PCTEL Speaker Phone*/@ = %SystemRoot%\system32\pctspk.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CmaudioRunDll32 cmicnfg.cpl,CMICtrlWnd = RunDll32 cmicnfg.cpl,CMICtrlWnd
@nod32kui"C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE = "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
@LXSUPMONC:\WINDOWS\system32\LXSUPMON.EXE RUN = C:\WINDOWS\system32\LXSUPMON.EXE RUN
@AdslTaskBarrundll32.exe stmctrl.dll,TaskBar = rundll32.exe stmctrl.dll,TaskBar
@SlipStream"C:\Programmi\Web Accelerator\slipcore.exe" = "C:\Programmi\Web Accelerator\slipcore.exe"
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE
@Outpost FirewallC:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice = C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
@OutpostFeedBackC:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup = C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{B089FE88-FB52-11d3-BDF1-0050DA34150D} /*NOD32 Context Menu Shell Extension*/C:\Programmi\Eset\nodshex.dll = C:\Programmi\Eset\nodshex.dll
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/C:\Programmi\Real\RealPlayer\rpshell.dll = C:\Programmi\Real\RealPlayer\rpshell.dll
@{52B87208-9CCF-42C9-B88E-069281105805} /*Trojan Remover Shell Extension*/(null) =

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
ASW@{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A} = C:\PROGRA~1\Agnitum\OUTPOS~1.0\op_shell.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
NOD32 Context Menu Shell Extension@{B089FE88-FB52-11d3-BDF1-0050DA34150D} = C:\Programmi\Eset\nodshex.dll
Resurrector@{3B177BCE-B599-4ABD-BECE-B57EE18187FA} =
Trojan Remover@{52B87208-9CCF-42C9-B88E-069281105805} =
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ASW@{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A} = C:\PROGRA~1\Agnitum\OUTPOS~1.0\op_shell.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
ASW@{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A} = C:\PROGRA~1\Agnitum\OUTPOS~1.0\op_shell.dll
NOD32 Context Menu Shell Extension@{B089FE88-FB52-11d3-BDF1-0050DA34150D} = C:\Programmi\Eset\nodshex.dll
Trojan Remover@{52B87208-9CCF-42C9-B88E-069281105805} =
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.iol.it = http://www.iol.it
@Start Pagewww.libero.it = www.libero.it

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.libero.it/

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = imon.dll
000000000002@PackedCatalogItem = imon.dll
000000000003@PackedCatalogItem = imon.dll
000000000004@PackedCatalogItem = imon.dll
000000000005@PackedCatalogItem = imon.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011@PackedCatalogItem = imon.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
SlipStream Web Accelerator.lnk = SlipStream Web Accelerator.lnk
Torna in alto
 
steven75
Inviato: Friday, August 25, 2006 8:51:49 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao , fai cosi:
prima di andare avanti con la procedura tradizionale , fammi uno scan con questo tools-> http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP -> quando te lo chiede, seleziona il percorso del files infetto e controlla il responso


Edited by - steven75 on 08/25/2006 21:56:02

Edited by - steven75 on 08/25/2006 22:14:02
Torna in alto
 
dadomicoud
Inviato: Saturday, August 26, 2006 1:43:07 PM
Rank: Member

Iscritto dal : 8/17/2006
Posts: 6
ciao steven, ho scaricato la tool di nod 32 ma mi chiede il percorso del registro da cancellare. Ma io semplicemente non lo so. Come procedo?
Attraverso virit, nella sezione esecuzione automatica, non c'è più il link optimizer, ma mi dsa 4 errori in avvio che forse sono quelli del trojan resurrector.
I file che ho messo in quarantena con nod, syshos.dll e msmnu.vdll li lascio lì? grazie
Torna in alto
 
steven75
Inviato: Tuesday, August 29, 2006 4:20:15 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao ,
scusami sono stato assente , se ancora non hai risolto ,fammi sapere e continueremo le procedure
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » probabile effetto di trojan


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.