Hacktool.rootkit

[rohn]

allora, non so se adesso sia meglio o peggio... ho scaricato le utility che mi hai detto e ho cancellato i file che il norton e gli altri AV mi segnalavano. Ho cancellato anche la chiave di registro. Adesso al riavvio effettivamente non sono piu' presenti nè i file nè la chiave, difatti dopo un paio di scansioni non è stata rilevata alcuna minaccia. Tuttavia continuano ad inviarsi messaggi istantanei su msn e messaggi di posta elettronica a un ritmo incredibilmente frenetico...

[leofelix]

Quota:

Inviato da rohn

allora, non so se adesso sia meglio o peggio... ho scaricato le utility che mi hai detto e ho cancellato i file che il norton e gli altri AV mi segnalavano. Ho cancellato anche la chiave di registro. Adesso al riavvio effettivamente non sono piu' presenti nè i file nè la chiave, difatti dopo un paio di scansioni non è stata rilevata alcuna minaccia. Tuttavia continuano ad inviarsi messaggi istantanei su msn e messaggi di posta elettronica a un ritmo incredibilmente frenetico...

in genere quando si contraggono questi tipi di worm con funzionalità di backdoor, l'antivirus che si usa perde la maggior parte delle sue funzionalità se non viene disabilitato del tutto.

Quindi fossi in te, disinstallerei il Norton Antivirus facendomi aiutare se ne necessario dal "Norton Removal tool" che scarichi da qui

http://service1.symantec.com/SUPPORT...05033108162039

(attenzione che rimuove anche altri prodotti Symantec eventualmente installati, come il Ghost ad esempio)

Quindi installerei subito il gratuito e in italiano AVAST Home edition 4.7
http://files.avast.com/iavs4pro/setupita.exe

(dopo 60 giorni al max devi registrarlo per ottenere un numero di serie gratuito da qui
http://www.avast.com/eng/home-registration.php)

Oltre ad evere 6 moduli di protezione (posta elettronica, P2P, web shield, una sorta di "mini firewall" anti intrusione, protezione programmi di instant messagging come MSN messenger.. alcuni sono opzionali) una volta installato ti chiederà se vuoi fare una scansione al riavvio.

Questa va assolutamente fatta, aspetterei il tempo che ci vuole mentre fa la scansione prima di riavviare di fatto Windows XP, cancellando uno per uno i files infetti che trova.
Nota che tra le opzioni della posta elettronica c'è anche quella di bloccare files infetti o eseguibili che il client di posta che usi stia tentando di inviare.

In ogni caso, io eviterei Outlook/Outlook Express a favore di qualcosa di più valido come Mozilla Thunderbird 2.00.5 e utilizzerei Mozilla Firefox 2.00.5 come navigatore predefinito (con le estensioni "no script" e "adblock" sempre attive)

http://www.mozilla-europe.org/it/products/firefox/

http://www.mozilla-europe.org/it/products/thunderbird/

---------

Una volta pulito il sistema andrei urgentemente ad acquistare una licenza per il NOD32 o una per il KAV 6.0.. da sostituire all'avast home, oppure userei il gratuito ma pensatuccio Active Virus Shield (con motore kaspersky )

http://www.activevirusshield.com/ant...eav/index.adp?

[Giorgius]

Per una pulitura quasi sicura (non esiste ancora il sistema certo di evitare al 99% nuovi "rospi informatici") sarei partito dall'ottima utility gratuita "Malware Immunizer 1.4".

Download: http://falcon21.googlepages.com/MI.exe

Effettui anche l'update del database.

Download: http://falcon21.googlepages.com/def.dat

Riaperto il programma, selezioni la finestra "UnProtected Items", poi clicchi sull'icona verde "Select all" e successivamente clicchi l'icona "Protect Selected".

Fatto questa operazione fai la successiva, aprendo la finestra "Cleaner".
Selezioni tutto con l'icona verde "Select all" e successivamente clicchi l'icona "Clean selected".

Fatto quest'altra operazione selezioni la finestra "Hosts File", poi clicchi l'icona "Check and Install New Hosts File".
Successivamente clicchi l'icona "Check for Hijacker", se trova qualcosa clicchi sull'icona "Select all" e successivamente clicchi l'icona "Remove Selected Hijackers".

Alla fine di queste operazioni chiudi l'utility.

[Giorgius]

A questo punto stacchi internet dal tuo Pc ed esegui alcuni tool e utility del caso, come:



DrWeb CureIt! 4.33

Download: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe



Successivamente alla chiusura del tool sopracitato installi ed esegui l'utility gratuita in modalità "Complete Scan":

SuperAntiSpyware 3.9.1008

Download: http://downloads2.superantispyware.c...ntiSpyware.exe

Quest'ultima utility troverà parecchie tracce anche dei famigerati cookies maligni.

[rohn]

allora... tutto fatto, scaricato ed eseguito ogni tool... adesso sembra funzionare di nuovo tutto normalmente. Ho reinstallato norton (perchè è l'unico AV di cui ho la licenza) e non mi riscontra piu' nessuna infezione. Ho fatto rigirare tutti gli altri e nessuno trova piu' alcuna infezione. Il sistema mi sembra a posto e non vengono piu' visualizzati scansioni di email in uscita. Spero di aver risolto il problema, in ogni caso posto il log di hijack della situazione attuale... posso stare tranquillo? Grazie davvero a tutti per i consigli... siete grandi!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.59.40, on 27/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\DC++\DCPlusPlus.exe
C:\Programmi\Internet Explorer\iexplore.exe
K:\Pulizia Windows\HiJackThis2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\Programmi\CleanMyPC Popup Blocker\CleanBHO.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programmi\CleanMyPC Popup Blocker\CleanBar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programmi\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe

--
End of file - 6626 bytes

[leofelix]

ciao rohn
sembrerebbe tutto a posto,
nulla da dire se preferisci il Norton, del resto la scelta di un software è anche soggettiva

a questo punto io - oltre a prestare una maggiore attenzione - per aiutare l'antivirus installerei anche un antispyware con protezione in tempo reale.

Di freeware validi a mio avviso ci sono:

il PC Tools Spyware Doctor (starter edition) 5.1, gratuito, ma con meno funzionalità della versione a pagamento, non di meno valido anche se "ciuccia" RAM e risorse di sistema, che viene distribuito col google pack
http://www.pctools.com/it/spyware-doctor/google_pack/
ma che volendo puoi scaricare da qui

http://www.download.com/Spyware-Doct...ml?tag=lst-0-1


-----------

Oppure lo Spyware Terminator (senza "web security guard") 1.9 gratuito e con una buona protezione in tempo reale (ha incorporato un antivirus open source opzionale: opzione sconsigliata) ed è anche leggero e veloce, oltre che in italiano.

http://www.wintricks.it/news2/article.php?ID=16259

ciao

[rohn]

Grazie davvero di tutto l'aiuto CIAO!