Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

trojan program backdoor Opzioni
simone85
Inviato: Monday, May 19, 2008 1:33:02 PM

Rank: AiutAmico

Iscritto dal : 4/6/2008
Posts: 866
è da stamattina che conduco una battaglia che sembra nn finire piu cn questo trojan, ho scansionato il pc cn l antivirus per parecchie volte, lo ha rilevato ed eliminato, ma quando mi connetto ad internet appare un avviso che dice (in inglese):il tuo computer è infetto da un pericoloso virus,cerco di connettermi al forum ma esce sempre lo stesso avviso e mi invita a scaricare un antispyware. dopo la presunta eliminazione del virus ho scansionato di nuovo, nn risultano minaccie, ma se mi connetto appare sempre lo stesso avviso. è un problemone...
Sponsor
Inviato: Monday, May 19, 2008 1:33:02 PM

 
simone85
Inviato: Monday, May 19, 2008 1:56:23 PM

Rank: AiutAmico

Iscritto dal : 4/6/2008
Posts: 866
ho trovato una voce sospetta

O2 - BHO: IE LiveTV - {45245B53-72FB-46CA-B5F5-ABA01D9B8E51} - C:\WINDOWS\apdoxu.dll

nn esiste ne su processlibrary ne sul motore di ricerca google...
Rudewolf
Inviato: Monday, May 19, 2008 2:40:20 PM

Rank: AiutAmico

Iscritto dal : 5/2/2006
Posts: 6,184
Disabilita il ripristino di sistema,entra in modalità provvisoria e fai le scansioni con antivirus,Spyboot,Ad-aware(o simile) elimina tutto quello che trovano,da opzioni internet elimina files temporanei internet,coockies,cronologia.In start esegui digita questa stringa %temp% per eliminare i file temporanei,riavvia e fai una scansione online su questo sito:
http://housecall.trendmicro.com/it/
Se tutto è a posto riattiva il ripristino di sistema e crea un nuovo punto,altrimenti posta un log di HijackThis.
simone85
Inviato: Monday, May 19, 2008 3:28:53 PM

Rank: AiutAmico

Iscritto dal : 4/6/2008
Posts: 866
sto facendo una scansione con ad-ware 2007 scaricato da aiutamici
simone85
Inviato: Monday, May 19, 2008 3:54:23 PM

Rank: AiutAmico

Iscritto dal : 4/6/2008
Posts: 866
mannaggia mannaggia, ho fatto tutto quello che mi hai consigliato rude,l ad-aware ha rilevato un trojan lo ha rimosso, ora se mi connetto ad internet da lo stesso avviso e mi fa collegare solo al sito online malwarescanner.com (ora sto scrivendo da un altro pc),
Rudewolf
Inviato: Monday, May 19, 2008 4:00:19 PM

Rank: AiutAmico

Iscritto dal : 5/2/2006
Posts: 6,184
simone85 se hai eseguito tutto alla lettera e il problema si ripresenta metti un log di HijackThis,qualcuno più esperto di me ti dirà cos'altro fare.
simone85
Inviato: Monday, May 19, 2008 4:04:59 PM

Rank: AiutAmico

Iscritto dal : 4/6/2008
Posts: 866
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.00.41, on 19/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\DOCUME~1\xp\IMPOST~1\Temp\RtkBtMnt.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: IE LiveTV - {45245B53-72FB-46CA-B5F5-ABA01D9B8E51} - C:\WINDOWS\apdoxu.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LimeWire Acceleration Patch.lnk = C:\Programmi\LimeWire Acceleration Patch\LimeWire Acceleration Patch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588
O17 - HKLM\System\CCS\Services\Tcpip\..\{73FDFEFE-2378-4356-A1BB-0288BC8E89C1}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{73FDFEFE-2378-4356-A1BB-0288BC8E89C1}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{73FDFEFE-2378-4356-A1BB-0288BC8E89C1}: NameServer = 151.99.125.1,151.99.0.100
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
simone85
Inviato: Monday, May 19, 2008 5:29:51 PM

Rank: AiutAmico

Iscritto dal : 4/6/2008
Posts: 866
ecco ecco forse ci sono!,allora, dopo aver fatto quello che ha detto rude, il discorso nn è cambiato mi collego ad internet ed escono le solite finestre di pericolo allarme ecc,solo che andando nelle impostazioni dell antivirus e alzando tutte le protezioni al massimo,se mi collego ad internet nn mi escono piu queste cose,appare tuto pulito in quanto l antivirus blocca il rpocesso IEXPLORER.EXE (PID:3868):"il tentativo di caricamento di un modulo nuovo o modificato è statom bloccato.il fatto è che devo trovare questo processo ed eliminarlo
r16
Inviato: Monday, May 19, 2008 5:47:15 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao simone85 .
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Se non sai "fixare"le voci,segui questa guida dettagliata: http://www.aiutaamici.com/software?ID=11175

Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: IE LiveTV - {45245B53-72FB-46CA-B5F5-ABA01D9B8E51} - C:\WINDOWS\apdoxu.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Trova e cancella i file in rosso:
C:\WINDOWS\apdoxu.dll
Scarica VIRIT :
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e lo fai girare in Modalità Provvisoria (è molto importante).
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Riavvia il computer.
Ricordati di rinascondere le cartelle di sistema;
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.



simone85
Inviato: Monday, May 19, 2008 6:55:20 PM

Rank: AiutAmico

Iscritto dal : 4/6/2008
Posts: 866
ok!missione compiuta!, ho eseguito tutto cio che hai detto ed evidentemente era quell apdoxu.dll che creava casini, virit nn ha trovato nula di infettato.
ti ringrazio per la collaborazione, un ringraziamento va anche a rudewolf.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.