PDA

Visualizza versione completa : Qualcuno conosce queste voci?


Arthur85
12-09-2005, 12.04.19
Ciao a tutti; ho fatto un controllo periodico con HijackThis e ho trovato con mia sorpresa (in quanto pensavo di non aver fatto nulla di pericoloso) delle voci "minacciose" (secondo me e anche secondo il sito che analizza il log)...che ne dite di queste voci? La cosa veramente interessante è che ieri sera l'avevo fixate...ma oggi sono tornate...consigli?

O17 - HKLM\System\CCS\Services\Tcpip\..\{483E5B6D-FDE2-44E1-AF65-DC2AB1F27ECA}: NameServer = 69.50.168.180,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F8FCF82-34DE-4C7A-A7B4-9513A8A736AF}: NameServer = 69.50.168.180,85.255.112.26

O17 - HKLM\System\CS1\Services\Tcpip\..\{483E5B6D-FDE2-44E1-AF65-DC2AB1F27ECA}: NameServer = 69.50.168.180,85.255.112.26

O17 - HKLM\System\CS2\Services\Tcpip\..\{483E5B6D-FDE2-44E1-AF65-DC2AB1F27ECA}: NameServer = 69.50.168.180,85.255.112.26


Date poi un'occhiata anche a questa due voci...queste ieri non erano presenti e io nono ho installato nulla di nuovo...

O4 - HKLM\..\Run: [NAVNet] "C:\ms32.exe" /m

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

Ciao
Ciao

crazy.cat
12-09-2005, 12.31.20
Originariamente inviato da Arthur85
O4 - HKLM\..\Run: [NAVNet] "C:\ms32.exe" /m
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
Eliminale tutte e due e fatti un controllo online per virus.
Sono usate tutte e due da parecchi virus.

Sul sito Merijn.org dicono questo:
What to do:If the domain is not from your ISP or company network, have HijackThis fix it. The same goes for the 'SearchList' entries.
For the 'NameServer' (DNS servers) entries, Google for the IP or IPs and it will be easy to see if they are good or bad.

Hai fastweb, o un indirizzo Ip fisso?
Perchè vedo che è sempre uguale.

joey
12-09-2005, 12.39.59
guarda...non si trovano informazioni dettagliate sulle voci che hai segnalto...ma ho l'impressione che i due *.exe che hai segnalato e gli ip segnalati, siasno collegati....io ci starei attento...prova a mandare qua tutto il log di hijack...

Arthur85
12-09-2005, 13.00.59
Ho allegato il log...spero che possiate aiutarmi...i oho tiscali adsl flat a 6 mb con ip dinamico e non uso router...

Vi ringrazio in anticipo del vostro aiuto


Ciao
Ciao

Arthur85
12-09-2005, 13.03.58
inoltre la cosa strana è che io le prime 4 voci segnalate le avevevo già cancellate e oggi sono tornate insieme agli ai due .exe

Ciao
Ciao

joey
12-09-2005, 13.27.40
noltre la cosa strana è che io le prime 4 voci segnalate le avevevo già cancellate e oggi sono tornate insieme agli ai due .exe

perchè non abbiamo eliminato la sorgente del problema...cioè il processo o l'eseguibile, o meglio il bastardo :eek: che genera i *.exe. mi sa che tu quegli exe li puoi eliminare anche un miliardo di volte, ma la sorgente di tutto te li ricrea...io ho avuto un problema credo simile...

joey
12-09-2005, 13.38.07
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

questo mi sa che è un trojan...ma prima di fixarlo senti l'opinione di crazy.cat

crazy.cat
12-09-2005, 14.07.20
Scaricati questi due in una cartella, estrai il contenuto del zip e poi lanci il sysclean.com
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
http://www.trendmicro.com/ftp/products/pattern/lpt831.zip

Fai la scansione dalla modalità provvisoria e vedi cosa elimina.

Gli exe indicati sono quasi sicuramente due virus, il primo potrebbe essere un dialer, è strana quell'opzione /m

joey
12-09-2005, 14.14.18
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

questo mi sa che è un trojan...ma prima di fixarlo senti l'opinione di crazy.cat

...quanto sono furbo... :rolleyes: :(

joey
12-09-2005, 14.15.15
...e quelle connessione segnalate da hijack cosa sono? cioè da dove vengono e come si eliminano?

crazy.cat
12-09-2005, 14.19.06
Sono gli indirizzi del tuo provider che prendi quando sei in rete, se rifai la scansione off-line spariscono.
Io mi preoccuperei di più dei due exe che si rigenerano.

joey
12-09-2005, 14.22.07
sì...comunque non sono miei, sono di Arthur85...secondo te dove si è intanato il programmino che rigenera i due *.exe?

crazy.cat
12-09-2005, 14.30.26
Originariamente inviato da joey
secondo te dove si è intanato il programmino che rigenera i due *.exe?

Ovunque.
Una bella scansione a tutto il disco fisso e salta fuori.

Arthur85
12-09-2005, 16.42.07
ho fatto come detto e almeno per ora sembra che si siano tolti...ho fatto anche un controllo on line con Panda e sono giunto ad una conclusione: Norton fa schifo!!!! Lo uso da molti anni e pensavo fosse uno dei miglio...mi sbagliato...cavolo, Panda ha trovato delle cose che Norton non mi hai visto


Speriamo sia la volta buona

Vi ringrazio tutti

Ciao
Ciao

kirk
17-09-2005, 11.58.12
Il file hgqhp.exe sembra essere proprio un trojan guarda che si dice
QUI (forum.html.it/forum/showthread.php?s=&threadid=881351)

Arthur85
19-09-2005, 14.01.07
è molto strano la cosa che è successa...ho cancellato ms32.exe e ho fatto vari scann (Norton, Panda on-line, vari software antitroyan) ems32.exe è riapparso....?! Che devo fare?


Ciao
Ciao

Arthur85
19-09-2005, 14.02.04
Ora provo anche ATS (Anti-Trojan Shield) speriamo trovi qualcosa...fatemi sapere se vi vengono idee...

Ciao
Ciao

Arthur85
19-09-2005, 14.27.21
ma vi pare possibile che un programma di scansione si fermi e annulli la scansione se trova un file che non può leggere? a me sembra una gran cavolata.....ATS ha questo difetto.....

joey
19-09-2005, 14.57.05
è molto strano la cosa che è successa...ho cancellato ms32.exe e ho fatto vari scann (Norton, Panda on-line, vari software antitroyan) ems32.exe è riapparso....?! Che devo fare?

mi spiegava un mio amico che alcuni trojan virus e schifezze varie funzionano autoeseguendosi dalla memoria di alcuni file *.exe, o qualcosa del genere: in sostanza non sono visibili, ma ci sono, e non ricordo come mi aveva detto di fare per eliminarli...chiederò...

Arthur85
19-09-2005, 16.49.22
ti rigranzio dell'interessamento...nel frattempo proverò anche io altre strade...

Ciao
Ciao

joey
20-09-2005, 15.11.27
allora ho parlato con sto mio amico: se è come temo che sia, ci dovrebbe essere un trojan o un virus o una porcata del genere che non è visibile nè col task manager, nè con hijack, nè tra i i programmi, perchè lavora dal kernel. questo bastardo continua a rilasciare tutti i file che tu avevi cancellato con le varie scansioni, e controlla che siano presenti nello user system. biosognerebbe allora capire di che "virus" si stratta, cercare di capire tutti i file che ti produce (quelli che hai eliminato e che poi ti sei ritrovato come se niente fosse), e poi eliminarli. a questo punto bisgnerebbe portare il bastardo dal kernel dove è nascosto allo user system, e qua spezzargli le gambe. forse però bisognerebbe farsi aiutare da qualcuno, non so quanto sono in grado di fare da solo. (e oltretutto spero di non aver detto delle boiate.. :D). luminari chiedo consigli... :)

Arthur85
20-09-2005, 20.20.52
se per te è difficile immagina allora per me... :)
per me è fantainformatica :p :wall:

speriamo di venirne a capo...

Ma spiegami una cosa: se il virus è nel kernel è normale che i vari scanonline non lo trovino?

Quando becco sto virus (W) :devil:


Ti saluto

Ciao
Ciao

joey
20-09-2005, 22.13.28
sì è normale, neanke a me lo trovava...prova a fare una ricerca su uno dei file che hai ri-trovato, a vedere se ti dice di che virus si tratta (quello nel kernel): così magari trovi una lista dei file che ti produce e almeno questo è un passo fatto. ma io vorrei l'opinione di crazy.cat su quello che ho detto...non vorrei aver preso una strada sbagliatissima...

crazy.cat
21-09-2005, 08.04.24
Quando becchi uno di questi file strani caricalo su questo sito
www.virustotal.com
e fallo analizzare a loro, segnati il nome così almeno si può sapere con che strana bestia stiamo litigando.
Dopo si può capirne le caratteristiche, dove si nasconde e come si riproduce e sopratutto come eliminarlo.

Arthur85
21-09-2005, 15.02.28
Come prima cosa voglio dirvi: grazie di avere la pazienza di perdere tempo con i miei problemi. :)
Ora mi do da fara: cerco di ripercorrere i miei passi e trovare questi file...vi farò sapere al più presto.

Ancora grazie

Ciao
Ciao

Arthur85
21-09-2005, 16.41.39
Ne è venuto fuorni un altro...ho fatto come hai detto te crazy.cat ma ho riscontrato un problema: HijackThis mi ha indicato il file gxcsv.exe situato in system32...ma non c'è in realtà (e ovviamente non l'ho fixato)...Il file fisicamente non c'è...ovviamente ho fatto questa verifica con l'impostazione per vedere tutti i tipi di file, ma cmq un .exe non può essere nascosto...
Che sta succedendo?! In sostanza non ho inviato il file perchè non l'ho trovato...E'è possibile che il virus crei di volta in volta .exe con nomi diversi?

Ciao
Ciao

crazy.cat
21-09-2005, 17.09.27
Originariamente inviato da Arthur85
E'è possibile che il virus crei di volta in volta .exe con nomi diversi?

Si, mi pare che hai già indicato vari exe con nomi sempre diversi.
C'è qualche cosa che te li ricrea e non avendo il pc sotto mano diventa difficile risolvere così a distanza.

Fai un controllo nel tuo pc usando la funzione cerca di windows di file exe o dll creati in data di oggi e che hanno nomi strani, prova a caricare quelli sul sito che ti ho indicato e vediamo se salta fuori qualche cosa di interessante.

Altrimenti prova a crearti questo cd
http://www.megalab.it/articoli.php?id=609
Avvii il pc con questo cd e anche se non può cancellarti i file sulla partizione Ntfs, almeno possiamo scoprire di cosa si tratta.
così facendo lavoriamo al di fuori del tuo windows e si può vedere cosa c'è di nascosto.

joey
21-09-2005, 19.52.12
E'è possibile che il virus crei di volta in volta .exe con nomi diversi?

certo! :mad:

secondo me dovresti cercare tipo, appunto, in system32 se ci sono dei file "strani" ma con nomi normali... :eek: magari se ne trovi poi facendo un ricerca con quelli si può risaiire a cosa ti sta infetando il copmputer standosene nascosto...fattio una scnsione online con spyware doctor che trovi qua (http://www.pctools.com/spyware-doctor/?ref=google_sd). a me aveva aiutato tansitissimo...

Arthur85
21-09-2005, 20.24.53
Ho combinato un macello...:crying:

Non riuscendo a tirare fuori nulla di interessante ho fatto come mi ha consigliato crazy.cat: ho creati il cd come da istruzioni...ma devo aver sbagliato qualcosa :wall::wall::wall::wall::wall::wall:

Ho riavviato e ha cominciato a fare lo scanning usando il motore Macafee...ad un certo punto si è totalmente piantato (per la precisione nella cartella di un gioco: la battaglia per la terra di mezzo) per un mucchio di tempo allora ho riavviato e levato il cd ma win non partiva...mi viene una schermata dos con scritto "impossibile avviare windos a causa di modifiche soft o hardware" o qualcosa di simile...che faccio?! :(
inoltre lanciando il cd di boot e iniziando lo scann mi veniva subito scritto "impossibile aprire il file di boot"....che significa?!

Per quanto rigurda file strani non mi sembra di averne trovati, così a occhio...ma sono un mucchio e ovviamente io non li conosco tutti...
Vabbè, è brutto dirlo, ma se non riesco a eliminarlo mi tocca conviverci. no?! Cmq almeno per ora non mi arrendo...cercherò altre info e più avanti riprovo con il cd di boot.

Ciao
ciao

joey
21-09-2005, 20.36.44
ma sei riuscito a riavviare il pc?

Arthur85
21-09-2005, 20.43.53
si, o riavviato e al primo messaggio che mi diceva che win non poteva essere lanciato o riavviato di nuovo (ho fatto fisicamente reset) ed il messaggio è ritornato...


Ciao
Ciao
:):):)

joey
22-09-2005, 12.46.10
cioè tu adesso hai il pc completamente impallato?

Arthur85
22-09-2005, 13.01.38
:p chiedo venia...rileggendo i mei post effettivamente si giunge a quella conclusione...no, il pc funziona, ma ogni volta che lo spengo e riavvio mi viene il messeggio che dicevo con la possibilità di caricare le "ultime impostazioni di winxp funzionanti".
Colpa mia: non ho spiegato ammodo la questione.

Tra ieri e oggi non ho trovato altri .exe sospetti con HijackThis, ma la mia ricerca non finisce qui...vi farò sapere ;)


Ciao
Ciao

Arthur85
24-09-2005, 13.58.34
allora, ho disinstallato "La battaglia..." e ho rifatto lo scann dal cd di boot..e non ho trovato nulla, questo cosa può voler significare?
Inoltre, almeno da 3o4 giorni con HijackThis non ho trovato altri .exe da eliminare, questo può esere un buon segno, non è vero?!


Ciao
Ciao

joey
24-09-2005, 15.21.50
sì, può essere un buon segno...una curioità, che forse non c'entra col tuo problema: giocavi in internet?

Arthur85
24-09-2005, 15.39.27
si, io gioco con 2 mmorpg, intendevi questo, no?!

joey
24-09-2005, 15.42.14
sinceramente non so neanche cosa sono...comunque, potresti esserti beccato il virus giocandovia intenet su qualche server, o qualcsa del genere?

Arthur85
24-09-2005, 15.49.25
i mmorpg sono rpg giocabili sono on-line...i giochi sono fenomenali, ma peccato che la maggior parte dei giochi, oltre che al costo di acquisto, hanno un canone mensile (altre che quello della banda larga..obbligatoria)

Per ciò che rigurda il virus on-line è possibile...farò delle ricerce in tal senso...

Se ti può interessare: http://www.conqueronline.com/
è un mmorpg totalmente gratuito...scarichi il gioco completo (free) e giochi gratis...è molto carino, la grafica è molto limitata e la giocabilità non è certo quella di WorldOfWarcraft (che costa 50 euro + 15 euro al mese per giocare....) ma è un rpg purissimo
sono circa 900 mb ed è giocabile sono on-lne...provalo...è carino..."se ti predende" diventa una droga...:)

Ciao
Ciao
:):)