Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

TrojanBackdoor.Win32.Bifrose.la Opzioni
nerogiallo
Inviato: Sunday, July 22, 2007 10:49:34 AM
Rank: Member

Iscritto dal : 7/22/2007
Posts: 0
TrojanBackdoor.Win32.Bifrose.la

Questo trojan si elimina con Spybot - Search & Destroy e programmi simili.
Prova eseguita:
disattivazione della funzione di ripristino dei dischi
modalità provvisoria
antivirus
Spybot - Search & Destroy
***************************************************************************
Oppure senza entrare in maniera provvisoria
esegui:regedit

HKEY_USERSS-1-5-21-790525478-179605362-839522115-1003SoftwareBifrost

Bifrose.LA: Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINESOFTWAREBifrost

Eliminare le chiavi manualmente.
**************************************************************************
HELP!!!
AD OGNI RAVVIO DEL PC SI PRESENTA IL PROBLEMA
QUALCUNO HA NOTIZIEPER RISOLVERE DEFINITIVAMENTE LA SITUAZIONE.
GRAZIE A TUTTI ANTICIPATAMENTE.

Sponsor
Inviato: Sunday, July 22, 2007 10:49:34 AM

 
pidue
Inviato: Sunday, July 22, 2007 11:52:11 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Prima di tutto Spybot - Search & Destroy non è un antivirus.

Posta un log, forse si vedrà meglio.



nerogiallo
Inviato: Sunday, July 22, 2007 1:29:33 PM
Rank: Member

Iscritto dal : 7/22/2007
Posts: 0
Spybot - Search & Destroy non è un antivirus!!! questo lo sapevo!!!! gli antivirus infatti non rilevano anomalie.
nerogiallo
Inviato: Sunday, July 22, 2007 2:18:59 PM
Rank: Member

Iscritto dal : 7/22/2007
Posts: 0
Backdoor.Bifrose.la

Type: Backdoor Variable
origin : internet
Level of Danger: High
Default action: ?



Type Description: A secret or undocumented means of getting into a computer system, or software that uses such a means to penetrate a system. Some software has a backdoor placed by the programmer to allow them to gain access to troubleshoot or change the program. Software that is classified as a backdoor is designed to exploit a vulnerability in a system, and open it to future access by an attacker.
nerogiallo
Inviato: Sunday, July 22, 2007 2:19:18 PM
Rank: Member

Iscritto dal : 7/22/2007
Posts: 0
Backdoor.Bifrose.la

Type: Backdoor Variable
origin : internet
Level of Danger: High
Default action: ?



Type Description: A secret or undocumented means of getting into a computer system, or software that uses such a means to penetrate a system. Some software has a backdoor placed by the programmer to allow them to gain access to troubleshoot or change the program. Software that is classified as a backdoor is designed to exploit a vulnerability in a system, and open it to future access by an attacker.
nerogiallo
Inviato: Sunday, July 22, 2007 2:31:00 PM
Rank: Member

Iscritto dal : 7/22/2007
Posts: 0
Logfile of Trend Micro HijackThis v2.0.2
Dovrebbe trattarsi dell'ultima versione.
Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Dovrebbe trattarsi dell'ultima versione.
Boot mode: Normal
Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\System32\smss.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\csrss.exe
Sicuro
Systemprozess - Client Server Runtime
C:\WINDOWS\system32\winlogon.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\services.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\lsass.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\svchost.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\svchost.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\System32\svchost.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\svchost.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\svchost.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\Explorer.EXE
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\spoolsv.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Internet Explorer\IEXPLORE.EXE
Davvero sicuro
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Alwil Software\Avast4\ashServ.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\eHome\ehRecvr.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\eHome\ehSched.exe
Neutral

C:\WINDOWS\system32\svchost.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
Davvero sicuro

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
Davvero sicuro
Zone Alarm
C:\WINDOWS\system32\dllhost.exe
Sicuro

C:\WINDOWS\system32\ctfmon.exe
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Orbitdownloader\orbitdm.exe
Sicuro
Orbit Download Manager
C:\WINDOWS\System32\alg.exe
Davvero sicuro Questo servizio non è necessario se non fate uso di ICS.
Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\Orbitdownloader\orbitnet.exe

Orbit Downloader
C:\Programmi\Alwil Software\Avast4\setup\avast.setup
Davvero sicuro
Part of Avast Antivirus
C:\WINDOWS\system32\wuauclt.exe
Neutral
Windows Update AutoUpdate Client
C:\WINDOWS\system32\wbem\wmiprvse.exe
Sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.
D:\UTILITY\HiJackThis.exe
Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata. Solo così Hijackthis creerà copie di backup prima di apportare modifiche! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
Questa pagina è stata identificata come sicura.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Sicuro Questa pagina è stata identificata come sicura.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Sicuro Questa pagina è stata identificata come sicura.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
Sicuro Questa pagina è stata identificata come sicura.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Sicuro Questa pagina è stata identificata come sicura.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
Neutral
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
Neutral
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programmi\IE7pro\IE7pro.dll
Davvero sicuro IE 7 Pro
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
orbitcth.dll Orbit Downloader
O2 - BHO: classical_music toolbar - {fdae1315-2e4a-40bd-b3fc-1179c8c40fe5} - C:\Programmi\classical_music\tbclas.dll
Applicazione sconosciuta.
O3 - Toolbar: classical_music toolbar - {fdae1315-2e4a-40bd-b3fc-1179c8c40fe5} - C:\Programmi\classical_music\tbclas.dll
Applicazione sconosciuta.
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
Davvero sicuro Firewall program from Zonelabs. Pro version inlcudes other online security options
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
Davvero sicuro Office related
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
Davvero sicuro Office related
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
Davvero sicuro Office related
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Davvero sicuro Office related
O4 - Global Startup: Orbit.lnk = C:\Programmi\Orbitdownloader\orbitdm.exe
Sicuro Orbit Download Manager
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
L'elemento &Download by Orbit è stato identificato come sicuro.
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
L'elemento &Grab video by Orbit è stato identificato come sicuro.
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
L'elemento Do&wnload selected by Orbit è stato identificato come sicuro.
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
L'elemento Down&load all by Orbit è stato identificato come sicuro.
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IE7pro\IE7pro.dll
L'elemento IE7pro Preferences è stato identificato come sicuro.
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IE7pro\IE7pro.dll
L'elemento IE7pro Preferences è stato identificato come sicuro.
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
L'elemento è stato identificato come sicuro.
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
L'elemento @xpsp3res.dll, è stato identificato come sicuro.
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
Davvero sicuro Questo servizio (aswUpdSv.exe) e' stato identificato come non pericoloso.
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
Davvero sicuro Questo servizio (ashServ.exe) e' stato identificato come non pericoloso.
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
Davvero sicuro Questo servizio (ashMaiSv.exe) e' stato identificato come non pericoloso.
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
Questo servizio (ashWebSv.exe) e' stato identificato come non pericoloso.
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Davvero sicuro Questo servizio (vsmon.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
stellina148
Inviato: Sunday, July 22, 2007 2:31:29 PM

Rank: AiutAmico

Iscritto dal : 12/20/2005
Posts: 1,417
Credo che Pidue si riferisse a questo di log:
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
Segui le istruzioni

Pardon<img src=icon_smile.gif border=0 align=middle>

Edited by - stellina148 on 07/22/2007 14:48:31
nerogiallo
Inviato: Sunday, July 22, 2007 6:25:12 PM
Rank: Member

Iscritto dal : 7/22/2007
Posts: 0
esattamente quello che ho fatto se leggi il primo post,senza risultati.<img src=icon_smile_big.gif border=0 align=middle>

Edited by - nerogiallo on 07/22/2007 18:29:15
nerogiallo
Inviato: Sunday, July 22, 2007 6:33:24 PM
Rank: Member

Iscritto dal : 7/22/2007
Posts: 0
HELP!!!
AD OGNI RAVVIO DEL PC SI PRESENTA IL PROBLEMA
QUALCUNO HA NOTIZIEPER RISOLVERE DEFINITIVAMENTE LA SITUAZIONE.
GRAZIE A TUTTI ANTICIPATAMENTE.



TrojanBackdoor.Win32.Bifrose.la
**************************************************************************************
Questo trojan si elimina con Spybot - Search & Destroy e programmi simili.
Prova eseguita:
disattivazione della funzione di ripristino dei dischi
modalità provvisoria
antivirus avast eseguito
Spybot - Search & Destroy
risultati di HijackThis v2.0.2

****************************************************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.34.26, on 22/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\BitComet\BitComet.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\UTILITa\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programmi\IE7pro\IE7pro.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: classical_music toolbar - {fdae1315-2e4a-40bd-b3fc-1179c8c40fe5} - C:\Programmi\classical_music\tbclas.dll
O3 - Toolbar: classical_music toolbar - {fdae1315-2e4a-40bd-b3fc-1179c8c40fe5} - C:\Programmi\classical_music\tbclas.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IE7pro\IE7pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IE7pro\IE7pro.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 4044 bytes
***************************************************************************
MUOVERE MANUALMENTE IL PROBLEMA

Oppure senza entrare in maniera provvisoria
esegui:regedit

HKEY_USERSS-1-5-21-790525478-179605362-839522115-1003SoftwareBifrost

Bifrose.LA: Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINESOFTWAREBifrost

Eliminare le chiavi manualmente.
**************************************************************************
HELP!!!
AD OGNI RAVVIO DEL PC SI PRESENTA IL PROBLEMA
QUALCUNO HA NOTIZIEPER RISOLVERE DEFINITIVAMENTE LA SITUAZIONE.
GRAZIE A TUTTI ANTICIPATAMENTE.
stellina148
Inviato: Sunday, July 22, 2007 6:47:16 PM

Rank: AiutAmico

Iscritto dal : 12/20/2005
Posts: 1,417
Fammi capire bene, tu lo elimini e si ripresenta?
nerogiallo
Inviato: Sunday, July 22, 2007 7:15:02 PM
Rank: Member

Iscritto dal : 7/22/2007
Posts: 0
Esatto ogni volta che riavvi il pc
lo rimuovo in maniera manuale da regit
stellina148
Inviato: Sunday, July 22, 2007 8:43:14 PM

Rank: AiutAmico

Iscritto dal : 12/20/2005
Posts: 1,417
Ho trovato in questo delle info:
http://www.ilsoftware.it/av.asp?ID=241
Pur non essendoci il bifrose.la, mi pare che i trojan menzionati abbiano un comportamento analogo al tuo.
Aspetta che comunque ti risponda una persona più esperta. Ciao
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.