PDA

Visualizza versione completa : E' una persecuzione


lucyfer_ina
30-06-2004, 13.00.29
premetto che avevo già postato un 3d a proposito di un virus:

win32/spybot.AEA worm
il problema è che nonostante l'eliminazione puntualmente ricomapre ed i files infetti sono sempre: C:\explorer.exe, C:\RPC update patch.exe
(che non so cosa sia :-()
Ho il nod32 installato e quotidianamente aggiornato, non ho firewall essendo dietro ad un router config NAT.
Vorrei capire solo 2 cose:
1- se inserisco su google il nome del virus in questione non trovo nulla:confused:

2- dato che non ho scaricato .exe nè installato sw da dove arriva questo worm? Ho fatto uno scan delle porte, ma non è che sia in grado di capire molto il risultato; è come se avessi una backdoor aperta?

Insomma non ci capisco nulla
:crying:
Oltre al nod faccio regolarmente scansioni con: spybot, ADaware, ewido security suite e the cleaner, mi sembra che possa bastare tutto ciò x le pulizie....

Aiutatemi pleaseeeeeeeeeeee

Bico Bico
30-06-2004, 13.10.41
Prova a postare qui il log di Hijack This... :)

lucyfer_ina
30-06-2004, 13.27.38
sorry, ma cos'è Hijack This??????????????

crazy.cat
30-06-2004, 14.27.29
Questo
http://209.133.47.12/~merijn/files/HijackThis.exe
fai la scansione, dopo puoi salvare il risultato della scansione in un file di testo che puoi aprire con notepad e ti copi tutto il contenuto del file e lo incolli qui in un post.

lucyfer_ina
30-06-2004, 16.14.38
ecco il log, aspetto notizie
Logfile of HijackThis v1.98.0
Scan saved at 16.13.40, on 30/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
C:\Programmi\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmi\NetLimiter\NetLimiter.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\The Cleaner\tca.exe
C:\Programmi\The Cleaner\tcm.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\DC++\DCPlusPlus.exe
C:\Programmi\Opera7\opera.exe
C:\Documents and Settings\ladythedark\Desktop\hijackthis\HijackThis .exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://communicator.virgilio.it/staticLogin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1601.0\it\msntb.dll
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programmi\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programmi\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [tcactive] C:\Programmi\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programmi\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{414AC7B7-94B0-43DA-90A2-AA951BC8E1CB}: NameServer = 212.216.112.112,212.216.172.172
O17 - HKLM\System\CCS\Services\Tcpip\..\{65BB2E28-62F9-40A7-BB17-8231B19F28CC}: NameServer = 212.216.112.112,212.216.172.172,192.168.1.1

crazy.cat
30-06-2004, 17.06.51
Nel log non mi sembra ci sia niente di pericoloso.
Quel virus win32/spybot.AEA viene rilevato solo dal Nod nelle ultime versioni.
Aspettiamo se Giorgius passa di qui e ha qualche idea.

lucyfer_ina
30-06-2004, 18.24.00
waiting for giorgius many tanks to u

Giorgius
30-06-2004, 20.59.02
Certe volte questa sezione del Forum sembra l'ambulatorio di un medico... :D :D

Proverei una scansione con "X-Cleaner" (aggiornare il database)
http://www.xblock.com/download/xcleaner_free.exe

E l'utility Trial 15gg di "SpySweeper" (aggiornare il database)
http://www.webroot.com/php/tryme.php?bjpc=64000&vcode=DT02

lucyfer_ina
01-07-2004, 12.14.00
Originariamente inviato da Giorgius
Certe volte questa sezione del Forum sembra l'ambulatorio di un medico... :D :D

Proverei una scansione con "X-Cleaner" (aggiornare il database)
http://www.xblock.com/download/xcleaner_free.exe

E l'utility Trial 15gg di "SpySweeper" (aggiornare il database)
http://www.webroot.com/php/tryme.php?bjpc=64000&vcode=DT02

vero, anzi , data la quantità di vurus, worm e troiani circolanti sembra un pronto soccorso affollato, tipo ER :)

Cmq ho seguito i consigli, ma non trovo nulla, a parte backweb.
A questo punto mi sono fatta l 'idea che il nod 32 sia un antivirus un tantino paranoico:D

Quanto a spy sweeper, cosa offre di meglio di spybot o adaware?

Bico Bico
01-07-2004, 19.33.38
Originariamente inviato da lucyfer_ina


vero, anzi , data la quantità di vurus, worm e troiani circolanti sembra un pronto soccorso affollato, tipo ER :)

Cmq ho seguito i consigli, ma non trovo nulla, a parte backweb.
A questo punto mi sono fatta l 'idea che il nod 32 sia un antivirus un tantino paranoico:D

Quanto a spy sweeper, cosa offre di meglio di spybot o adaware?

Riguardo al NOD32, al limite potrebbe trattarsi di un falso positivo, non sarebbe certo la prima volta.

Se provi a disabilitare la scansione euristica segnala ancora la presenza del virus?

Giorgius
01-07-2004, 20.17.44
E' un buon incrocio tra un AntiTrojan Virus, AntiSpyware, protezione dei Cookies etc. etc.

Ultimamente stanno uscendo nuovi programmi, finalmente concepiti per combattere la nuova generazione di Virus e di altre mondezze simili.

La versione acquistata di SpyWeeper è la nuova Release 3.0, molto più avanzata della 2.61 nella gestione-prevenzione. ;)

lucyfer_ina
02-07-2004, 00.15.20
tornata dalla mia seratina e, puntuale come sempre, ecco il wormetto ( fra un pò l' adotto : sta iniziando a farmi tenerezza:rolleyes: ) .

Cmq ho disabilitato la scansione euristica e vedremo se ricompare;)

Tnx Giorgius x i chiarimenti, praticamente un sw tutto in uno, quindi interessante

ciao

lucyfer_ina
02-07-2004, 00.17.29
dimenticavo, ero quasi tentata di cambiare antivirus, ma nello stesso tempo il nod è davvero leggero e mi sembra che trovi di tutto ed anche di +:D :D :D

non so tanto cosa fare:confused:

Giorgius
02-07-2004, 14.44.58
Per cambiare AntiVirus, aspetterei settembre prossimo; dovrebbero uscire novità interessanti in materia AntiVirus (nuove tecnologie di rilevamento-rimozione). ;)

lucyfer_ina
02-07-2004, 17.12.13
ok, aspetterò un tuo consiglio
byez e grazie ancora