Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » worm!

worm! Opzioni
Topic Precedente · Topic Sucessivo
Eklin
Inviato: Friday, June 17, 2005 9:09:37 PM
Rank: Member

Iscritto dal : 5/9/2002
Posts: 0
Ieri notavo che non riuscivo tramite outlook express a ricevere e inviare messaggi, poi ho fatto una scansione con Avast antivirus che mi ha trovato il worm Win32 Netsky P, in 2 files dentro la cartella Application Data di Windows alla voce Identities. Purtroppo però non è riuscito a cancellarlo. Premetto che uso windows 98 e questo è il log di Hijack:

Logfile of HijackThis v1.98.0
Scan saved at 19.27.01, on 17/06/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\TABLET.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\SPYBOT - SEARCH and DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\CALCHECK.EXE
C:\PROGRAMMI\RVS\WCOM\SYSTEM\CCUI.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\RVS\WCOM\SYSTEM\CCSRV.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.it"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\yzwtcvn3.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C:3A:5CPROGRAMMI:5Csearchplugins:5CSBWeb_01.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\yzwtcvn3.slt\prefs.js)
O3 - Toolbar: andRadio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [Tablet] C:\WINDOWS\SYSTEM\Tablet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search and Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programmi\RVS\WCOM\SYSTEM\ccui.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Program Files\CalCheck.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Apri immagine in andMicrosoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\OFFICE\1040\PHDINTL.DLL/phdContext.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.memolink.com/CFIDE/classes/CFJava.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab

Grazie
Torna in alto
 
Sponsor
Inviato: Friday, June 17, 2005 9:09:37 PM

 
Torna in alto
 
alfonso
Inviato: Saturday, June 18, 2005 11:29:51 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Il log e pulito da spyware

fai una scansione antivirus in modalità provvisoria, leggi le indicazioni riportate in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=381&SH=N
Collaboratore Aiutamici
Torna in alto
 
Eklin
Inviato: Saturday, June 18, 2005 2:59:50 PM
Rank: Member

Iscritto dal : 5/9/2002
Posts: 0
Purtroppo in modalità provvisoria non riesco a selezionare l'area da controllare con Avast, perchè il mouse non è operativo e solo con la tastiera arrivo a far aprire la finestra di Avast poi anche provando con le frecce o con tab, non riesce a farmi aprire il menu per scegliere l'area da scansionare.
Sono però riuscita a fare una scansione in modalità provvisoria con Hijack, questo è il log:

Logfile of HijackThis v1.98.0
Scan saved at 14.09.15, on 18/06/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.it"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\yzwtcvn3.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C:3A:5CPROGRAMMI:5Csearchplugins%5CSBWeb_01.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\yzwtcvn3.slt\prefs.js)
O3 - Toolbar: andRadio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [Tablet] C:\WINDOWS\SYSTEM\Tablet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search and Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programmi\RVS\WCOM\SYSTEM\ccui.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Program Files\CalCheck.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Apri immagine in andMicrosoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\OFFICE\1040\PHDINTL.DLL/phdContext.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.memolink.com/CFIDE/classes/CFJava.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab

Aggiungo inoltre che ho fatto prima un'altra scansione con Avast (in modalità normale per forza) e da 4 file infetti di ieri, oggi ne segnala 2 che risultano non cancellabili
nella cartella di Windows in Application Data - Identities e poi parla di postaeliminata.dbx e segnala sempre il solito worm win32-NetSky-P maledetto! Che devo fa'?
Torna in alto
 
alfonso
Inviato: Saturday, June 18, 2005 4:29:58 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Se i virus vengono rilevati anche in modalità provvisoria e l'antivirus non riesce a rimuoverli, non ti resta che formattare il disco fisso e reinstallare tutto, in quanto il virus ha inettato i file di sistema.
Collaboratore Aiutamici
Torna in alto
 
Eklin
Inviato: Sunday, June 19, 2005 3:07:29 PM
Rank: Member

Iscritto dal : 5/9/2002
Posts: 0
No non ho detto che in modalità provvisoria non mi cancella il virus, anche perchè ho scritto che in mod provvisoria non riesco proprio a far partire Avast perchè il mouse non è operativo e con la tastiera non si riesce a selezionare l'area da scansionare.
comunque in modalità normale i 2 files infetti sono qui:
c:\windows\application data\...\message.scr#744319258
credo sia posta eliminata, forse per quello che non riesce a cancellarli, non penso proprio che sia stato infettato tutto il sistema, me li segnala infatti solo lì.
Possibile che non c'è un altro modo per cancellarli anzichè formattare tutto?
Torna in alto
 
monsee
Inviato: Sunday, June 19, 2005 11:19:12 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Per "cancellarli", un modo (forse) c'è. Non serve nemmeno che tu vada in Modalità Provvisoria. Ma devi conoscere quali sono esattamente i files che intendi cancellare e dove si trovano precisamente. Se le cose stanno così, scaricati (da Internet: si trova facilmente, se cerchi su google) e installa un programmino che si chiama CopyLock (in realtà, non serve "installarlo", perché è minuscolo: basta posizionarlo n una cartellina tutta sua, dove sarai sempre in grado di ritrovarlo). Avviando il programma, puoi scegliere se fargli "copiare" il file (e non direi che ti convenga, nel caso di un worm!) o se farglielo "distruggere" (delete). Dopo di che, gli indichi con precisione quel'è il file da distruggere e gli dai il via. Probabilmente ti dirà che il file non può essere cancellato se non riavviando il Sistema e ti domanderà il permesso di farlo: dagli l'OK e al resto penserà lui. Spegnerà il computer, lo riavvierà e farà polpette del file incriminato. Con questo sistema, però, puoi eliminare solo un file alla volta (quindi, se vuoi farne fuori 2, devi ripetere la procedura per due volte). Attenzione a due particolari: 1) se non disattivi -prima di cancellare- il Ripristino di Configurazione di Sistema, finirai probabilmente per ritrovarti di nuovo davanti ai files maligni "redivivi" e tornerai "punto e a capo"; 2) CopyLock non agisce affatto sul Registro di Sistema, per cui, se il dannato worm è organizzato -all'interno dellle voci di Registro- per "risorgere" in tutti i casi ad ogni nuovo riavvio, cancellare i dannati files ti servirà a ben poco...

Edited by - monsee on 06/19/2005 23:21:13
Torna in alto
 
a.roselli
Inviato: Monday, June 20, 2005 11:50:40 AM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,056
Scusami Eklin, avevi detto che non riuscivi ad eseguire l'antivirus in modalità provvisoria, mi é sfuggito.

Se il mouse non funziona in modalità provvisoria puoi comunque utilizzare i programmi, basta agire da tastiera dopo aver lanciato i programmi dal menu programmi, premi i tasti TAB per passare da un'opzione all'altra, i tasti win per aprire i menu, il tasto spazio per cambiare le impostazioni, e cosi via.

Prova a fare un controllo antivirus on line da questo indirizzo
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym
alfonso_aiutamici@hotmail.it
Torna in alto
 
Eklin
Inviato: Monday, June 20, 2005 11:59:16 PM
Rank: Member

Iscritto dal : 5/9/2002
Posts: 0
Allora ho fatto una scansione online che mi segnala questi problemi da queste posizioni:
c:\Office52\user\store\file.scs è infettato con Trojan.Poldo
c:\WINDOWS\JAVA\mysysinf.exe è infettato con Dialer.Generic

Purtroppo ho provato ad utilizzare l'antivirus Avast in mod provvisoria con la tastiera, ma pur scancherando tra tab, barra spaziatrice e freccette, non si muove nulla.

Comunque tornando alla scansione online con Symantec non mi segnala il win32 Netsky P, ma solo quei 2 troyan. In effetti ho provato a controllare in Regedit se c'erano anomalie ma sembra tutto ok...Però Avast non mi localizza i 2 troyan trovati da Symantec e quindi non so come cancellarli..voi che ne dite?
Torna in alto
 
monsee
Inviato: Tuesday, June 21, 2005 1:08:56 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Lo so che ti piacerà poco, ma forse è la miglior cosa da fare (se vuoi evitare di formattare tutto): CAMBIA ANTIVIRUS...
Capperi!... certo che ritrovarsi in casa un trojan horse che si chiama Poldo... (ti chiedo scusa, ma mi fa venire in mente l'amico di Braccio di Ferro ghiottissimo di panini...).
Va beh! smettiam di sollazzarci coi fumetti e vediamo un po' come "rapare a zero" Poldo.
Annuso un poco in giro e torno a riferire.
Torna in alto
 
monsee
Inviato: Tuesday, June 21, 2005 2:19:18 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Capitolo uno: rapiamo a zero Poldo!
Seguendo il link, ti troverai in una pagina (in italiano) che contiene le istruzioni per rimuovere "a mano" tutt'e 3 le varianti principali del nostro gran mangiapanini:
http://www.ilsoftware.it/av.asp?ID=82
Ma anche la Symantec ha una pagina sul nostro mangiapanini (in inglese), che si chiama -in realtà- Trojan.Win32.Dasmin ed esiste, oltre che nella variante base, anche nelle varianti B e C, con la procedura giusta per eliminarlo e le precauzioni da adottare perché non si possa più ripresentare. Ecco qui il link:
http://securityresponse.symantec.com/avcenter/venc/data/trojan.poldo.b.html
Attenzione! Il file JDBGMRG.EXE è da eliminare (è uno dei file "poldeschi"), mentre il file JDBGMGR.EXE è un innoquo (e abbastanza importante) file "di Sistema" di Windows e NON VA ELIMINATO. Per non sbagliarti, controlla bene l'ordine delle ultime 2 lettere prima del punto: se la R precede la G, si tratta del nostro carissimo Poldo (e va rapato), ma se invece la G precede la R, si tratta di un pacifico file di Sistema, che dev'essere lasciato in santa pace. Spero che, con questo, Poldo (che si può intrufolare anche facendo credere d'essere parte di un antivirus), sia sistemato. Adesso vediamo se si può tosare anche il nostro amico meno folkloristico, il Dialer.
OK, bene: si può tosare a fondo anche il ciccione. Ma abbiamo a disposizione soltanto pagine in inglese, questa volta. Una è la sempieterna Symantec (che il Ciel la benedica!), la quale ti ammaestrerà su come far polpette dello sgradito Dialer.Generic.
http://securityresponse.symantec.com/avcenter/venc/data/dialer.generic.html
L'altro, è sempre collegato all'area Symantec, ma un pochettino più sintetico:
http://esd.element5.com/publisher/50364/proxy.cgi/62438/avcenter/venc/data/dialer.generic.html
Con questo, spero tu possa dare una bella ripulita al tuo computer. Tieni presente che usando certi programmi di scambio files (e specialmente Kazaa) si corron proprio questi rischi. Prudenza! (Unita ad un buon Firewall, a un ottimo Antivirus "residente", a 2 o 3 "cleaner/antivirus-antiworm d'emergenza" e da 2 a 5 antispyware ben "assortiti").


Edited by - monsee on 06/21/2005 02:53:57
Torna in alto
 
alfonso
Inviato: Tuesday, June 21, 2005 11:19:21 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Prima di tutto chiariamo che i pericoli che vede il programma Antivirus non vengono visti dagli AntiSpyware e viceversa, in quanto sono due forme virali diverse.

Il tuo computer non ha spyware ma Virus

Avast e Zonealarm, in versione gratuita non offrono la massima protezione, ti consiglio di acquistare versioni complete, formattare il sistema e installarli prima di fare il primo collegamento a internet.
Collaboratore Aiutamici
Torna in alto
 
Eklin
Inviato: Tuesday, June 21, 2005 10:42:35 PM
Rank: Member

Iscritto dal : 5/9/2002
Posts: 0
Da l'ultima scansione con Symantec risulta il troyan Poldo e Dialer.Volta e Dialer.Generic..ma mi sa che sto Symantec perda i colpi, perchè controllando in regedit e verificando la presenza dei files minacciosi, anche in mod provvisoria non ve n'è traccia assolutamente da nessuna parte, quindi Monsee mi sa che Poldo i suoi panini non se li sta mangiando nel mio hardisk..
Tra l'altro ho fatto il download di TroyanRemover che a sua volta mi conferma che non vi è traccia nè di Poldo nè di DialerGeneric e Volta.. Ho fatto pure una scansione online con Housecall che non mi segnala nulla....
E' solo symantec che mi vuole appioppare a tutti i costi Poldo...
Piuttosto una cosa: ho notato in mod provvisoria che se clicco CONTR+ALT+CANC per vedere che applicazioni sono in funzione, mi viene fuori Explorer senza che io lo abbia richiamato...Chi ci capisce è bravo..
Torna in alto
 
monsee
Inviato: Tuesday, June 21, 2005 11:26:14 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
I trojan ci sono, credimi. Se Symantec te li rileva è perché ci sono. Hai dato un'occhiata alle pagine che t'ho linkato? Se sì, sai anche dove trovare quei files (sono indicati cartelle e percorsi). I Dialer che hai sono tutte varianti dello stesso trojan. E Poldo ti ha infettato fingendo di appartenere a un antivirus (figurati se poi ti fa pure il favore di andari a rilevar da solo). Il tuo Sistema è veramente "infetto", per questo -dall'interno- ti è tanto difficile vederlo. Tu cerchi il file del trojan con la funzione CERCA, ma -proprio perché il Sistema è infetto- la tua funzione CERCA è in mano al trojan e tu ti senti dire che non trova niente. Symantec NON è infetto e vede bene tutto quanto (anche quello che tu, a causa delle bende imposte dal trojan, non sei capace di vedere).
Se preferisci credere che Symantec dia i numeri e che Norton dia soltanto guai, affari tuoi. Ma stai chiudendo gli occhi davanti ad un problema (e la "politica dello struzzo" non conduce a niente). Prova, ad esempio, a fare una scansione online sul sito della Trendmicro, vedrai che ti dirà le stesse cose che t'ha detto Symantec...
Torna in alto
 
Eklin
Inviato: Wednesday, June 22, 2005 3:41:34 PM
Rank: Member

Iscritto dal : 5/9/2002
Posts: 0
Guarda che io ho seguito tutto quello che spiegavano di fare in quei links, ma i files che si dovrebbero trovare in quelle cartelle che denotano la presenza di Poldo non esistono, insomma c'è spiegato come toglierlo anche in maniera molto chiara ma come posso cancellare files dentro al registro di sistema o stringhe anomale che di fatto non ho? Poi ho fatto anche 3 scansioni con Trendmicro qui:
http://housecall.trendmicro.com/housecall/start_corp.asp
e neppure lui mi ha trovato Poldo...
Ah l'esito della scansione con Symantec invece era così:

c:\Office52\user\store\file.scs è infettato con Trojan.Poldo
c:\WINDOWS\JAVA\mysysinf.exe è infettato con Dialer.Generic

Apposta sono andata a scansionare anche appositamente con Trendmicro la cartella di Office52 e Windows ma niente! Che devo fare?
Torna in alto
 
monsee
Inviato: Wednesday, June 22, 2005 5:10:18 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Robe da matti, Eklin... Ho l'impressione che qualcosa non ci torni (e non dirmi che è la Symantec, perché - e lo so per esperienza- a quelli, di "terrorizzarti" non gliene frega niente). Trendmicro è azienda seria e affidabile quanto Symantec (peraltro, ti consente una scansione anche se IE non ce l'hai proprio), ha un poco meno mezzi, ma è assai determinata e, in genere, aggiornata (io utilizzo Symantec, ma quando vedo un'altra azienda valida, non ho problema alcuno a riconoscerlo). Però, sul tuo hard-disk, qualcosa che non quadra c'è davvero. Ho controllato la sottocartella java nella cartella Windows del mio hard disk. La mia è completamente vuota (anche se Java l'ho installato ed è perfettamente funzionante), a parte due ulteriori sottocartelle che son completamente vuote anch'esse. Office 52 (qualunque cosa sia) io non ce l'ho, per cui, al momento, non so più che cosa dire. Ma devi aver fiducia. Io ci rifletto sopra e chiedo a qualcun'altro. Tu, intanto, continua a chiedere e a informarti (magari cerca pure in altri Forum). Qui, io non mollo. Alfonso è il nostro "genio" (confronto a lui, il Genio della Lampada è un "pischello") e sono certo che trova qualcosa. E poi ci son degli altri molto bravi (ba_61, bazzurlone, rodeo, dead, solo per citarne alcuni), che qualche cosa ti sapranno dire. Potresti aver beccato una variante "strana" e forse nuova di questo maledetto trojan. E, se fosse così, è meglio che ti attrezzi per riformattare. Scaricati un programma di backup (qui su Aiutamici, per esempio, c'è Cobian -freeware- che è molto interessante) e mettiti a salvare tutti i dati (ma NON salvare le cartelle "incriminate", né il Registro di Sistema, per favore). Così, se proprio sei costretto a formattare, non perdi quasi niente, o -quantomeno- riduci i danni al minimo. Non siamo ancora "a terra", amico: non mollare! Vedrai che se ne viene a capo.
Torna in alto
 
Eklin
Inviato: Thursday, June 23, 2005 8:10:34 PM
Rank: Member

Iscritto dal : 5/9/2002
Posts: 0
Arriverò a delirare per questa faccenda..è una brutta brutta storia....
paura eh???Come dice Lucarelli con le mani a piramide..
Andando a scuriosare su Internet nel caso del file di Office 52 non è altro che roba di Star Office per cui in sè per sè non è una minaccia..
Mentre di quell'altro, l'unico sito che ne parla è un forum in lingua tedesca..
C'è una tizia che ha la stringa uguale alla mia
c:\WINDOWS\JAVA\mysysinf.exe
Poi vabè sembrerebbe che la consulente le consigli un antivirus gratuito escann si chiama...
Così la ragazza col file infetto a quanto pare sembra lo abbia utilizzato, perchè l'ho cita e poi riempie la pagina di smile...ne deduco che ha risolto ???
Comunque me lo sto scaricando pure io...vediamo se sti tedeschi sanno fare qualcosa di buono oltre allo strudel...
Torna in alto
 
Eklin
Inviato: Sunday, June 26, 2005 7:49:15 PM
Rank: Member

Iscritto dal : 5/9/2002
Posts: 0
Il risultato della scansione è:
Thu Jun 23 20:25:25 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Jun 23 20:25:42 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Jun 23 20:25:42 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jun 23 20:25:44 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Thu Jun 23 20:25:44 2005 => Object "AltNet Spyware/Adware" found in File System!

Thu Jun 23 20:25:56 2005 => System found infected with iSearch Spyware/Adware (patch.exe)!
Thu Jun 23 20:25:56 2005 => Object "iSearch Spyware/Adware" found in File System!


Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » worm!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.