PDA

Visualizza versione completa : Trojan, Spyware o cosa?


playx
07-08-2004, 01.58.11
ogni volta che avvio I. E. mi compare questa barra e questa pop under

ho provato a fare la scansione con SpyBot, AdAware, The Cleaner etc... ma non trovano nulla; come la posso eliminare?

la prima volta è comparsa quando ho aggiornato messenger sia yahoo che msn all'ultima versione!
http://www.herbitaeditrice.it/barra.gif[/IMG]

Bico Bico
07-08-2004, 02.43.35
Prova con CWShredder, potrebbe funzionare: http://files1.majorgeeks.com/files/ee3e2bda9df62dc0c091db891154cf34/spyware/cwshredder.zip

Inoltre scaricati anche Hijack This, fai una scansione e posta il log (risultato) della scansione qui sul forum, così vediamo se c'è qualcosa da rimuovere: http://www.wintricks.it/news2/article.php?ID=5962

playx
07-08-2004, 20.32.29
si conosco HijackThis e ho anche provato ma il risultato è lo stesso

http://www.herbitaeditrice.it/error.gif

allego il log dello scan che ho fatto

Muttley
07-08-2004, 21.04.43
In questa pagina (http://www.sicurezzainrete.com/HijackThis_1.htm), ho trovato questo interessante Link (http://hijackthis.de/index.php?langselect=english)... dove puoi copiare il log di Hijackthis, e richiedere in tempo reale un'analisi del medesimo... provare per credere.

Ciao ciao.

MUT :D

Bico Bico
07-08-2004, 21.37.23
Originariamente inviato da Muttley
In questa pagina (http://www.sicurezzainrete.com/HijackThis_1.htm), ho trovato questo interessante Link (http://hijackthis.de/index.php?langselect=english)... dove puoi copiare il log di Hijackthis, e richiedere in tempo reale un'analisi del medesimo... provare per credere.

Ciao ciao.

MUT :D

ma va? non lo conoscevo... davvero interessante! (Y)

blacksoul
08-08-2004, 00.24.23
Originariamente inviato da Muttley
In questa pagina (http://www.sicurezzainrete.com/HijackThis_1.htm), ho trovato questo interessante Link (http://hijackthis.de/index.php?langselect=english)... dove puoi copiare il log di Hijackthis, e richiedere in tempo reale un'analisi del medesimo... provare per credere.

Ciao ciao.

MUT :D

Grazie molto molto utile (Y) (B) :)

Dav82
08-08-2004, 00.26.54
Originariamente inviato da Muttley
dove puoi copiare il log di Hijackthis, e richiedere in tempo reale un'analisi del medesimo... provare per credere.

Una sorta di cyber-davlak!

:D

Muttley
08-08-2004, 00.45.30
Originariamente inviato da Dav82


Una sorta di cyber-davlak!

:D
Chissà che non ci sia veramente lui, dietro a quell'Analyze...:eek: :p :inn:


(Y) (B) (B) (B) per tutti......;)

MUT :D

crazy.cat
08-08-2004, 09.13.53
Come ha detto Bico bico usa CWShredder,cancella però prima tutti i cookies e i file temporaney di internet, la scansione falla dalla modalità provvisoria.
Cerca questa dll KDP6a88.dll, prova a rinominarla poi rifai la scansione con hijackthis,queste voci sono da eliminare

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.obyzqbdgjvegcvni.net/32fJhIDQkk/gcuEIgnxvrkNRAwlccZHOlKGVSKH7IjTfm21xP_YNH3wKUoVAO 9qG.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINDOWS\System32\KDP6a88.dll
O4 - HKLM\..\Run: [StopListBallBend] C:\Documents and Settings\All Users\Dati applicazioni\BoreOneStopList\Program dart.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - (no file) (HKCU)

Questa dll viene assiociata a vari trojan startpage (elimina anche questa dll)
O21 - SSODL: System - {17ACC080-F30C-4764-AA8E-6772CAB996A3} - C:\WINDOWS\system32\system32.dll

Questo è sconosciuto
O4 - HKLM\..\Run: [one heart] C:\PROGRA~1\FORDUS~1\deaflogo.exe

Quel link suggerito da Muttley è buono, però bisogna poi analizzare per bene quelle voci che ti dà come sconosciute ed alcune che lui da come pericolose sono da lasciare, per un analisi veloce può andare molto bene.

Muttley
08-08-2004, 09.18.48
Già, infatti ho visto che segnala msnplus! da cancellare come pericoloso...
Io credo, che se uno sa i prg che ha installato sul suo pc, bene o male guardando i risultati, sappia quali sono le voci dubbie da isolare, e poi con calma cercare di capire a cosa esse si riferiscano.

Diciamo che è un aiuto per restringere il campo sulle probabili schifezze... poi esiste sempre il forum (Y)

MUT :D

playx
08-08-2004, 11.28.51
allora ho istallato la nuova versione di HiJackThis e salvato e analizzato il log direttamente qui http://hijackthis.de/index.php?langselect=english il link per vedere il risultato è

http://www.herbitaeditrice.it/analisi_log.pdf

effettivamente ci son un bel pò di bollini rossi:eek:

CWShredder non mi ha trovato nulla

Non ho capito devo eliminare la system32.dll ma non è un file di windows?

playx
08-08-2004, 11.39.20
sono riuscito a eliminare tutto tramite HiJackThis tranne questa

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dgrhtlfjvuowxgpfndrfmctl.com/32fJhIDQkk/gcuEIgnxvrkNRAwlccZHOlKGVSKH7IjSDz53dAUIn/3wKUoVAO9qG.html

che si riforma sempre:confused:

crazy.cat
08-08-2004, 11.41.46
Il primo dice che quella dll è propria dei virus Cws, quindi mi pare strano che CWShredder non ti abbia trovato niente,anche perchè le pagine iniziali che hai sono di quelle del tipo Cws.
http://forums.techguy.org/t250110.html
Anche qui dicono di eliminare quella dll.
http://www.faqfarm.com/Computer/Virus/Startpage/33290
http://computercops.biz/postp254594.html

la scansione era stata fatta con internet chiuso e dalla modalità provvisoria?

Controlla se nel pc hai ancora quella dll e nel caso eliminala o rinominala e riavvia il pc poi rifai la scansione e cancelli le chiavi e la dll rinominata.

playx
08-08-2004, 12.30.59
ho installato AVG ed effettivamente mi ha trovato questo http://www.herbitaeditrice.it/AVG.gif

inoltre ho visto che mi sostituisce la pagina di errore, hai presente quella che compare quando scrivi un url sbagliato, con questa
http://www.herbitaeditrice.it/pagina_di_errore.gif

per scansione in modalità provvisoria intendi dire che durante l'avvio devo premere f8 entrare in mod provvisoria e poi rifare la scansione?

crazy.cat
08-08-2004, 12.38.18
Si intendo proprio quello X la scansione.

playx
08-08-2004, 15.10.31
nuovi aggiornamenti:

allora entrando in modalità provvisoria il problema non si presenta completamente.

le pagine si come dici te le ho modificate con SpyBot, ma vengono cambiate continuamente, mi son ricordato che SpyBot ha un programma integratche ti avviso in caso di qualsiasi modifica al registro e bene appena avvio win sia che sia collegato o no praticamente mi avverte ogni minuto che c'è un tentativo di cambio come puoi vedere qui http://www.herbitaeditrice.it/Spy.gif

a questo punto visto che in modalità provvisoria non me lo fa penso che venga avviato qualche processo in modalità normale che prova ad effettuare tali modifiche.

semprer da spy bot ho esportato l'elenco dei processi attivi

Spybot - Search && Destroy process list report, 08/08/2004 15.04.34

PID: 0 ( 0) [System]
PID: 4 ( 0) System
PID: 128 ( 240) C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler. exe
PID: 192 ( 240) C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
PID: 240 (1408) C:\WINDOWS\Explorer.EXE
PID: 268 ( 592) C:\Programmi\Norton AntiVirus\SAVScan.exe
PID: 356 ( 240) C:\PROGRA~1\Keyboard\Ikeymain.exe
PID: 404 ( 240) C:\WINDOWS\System32\taskswitch.exe
PID: 456 ( 240) C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.exe
PID: 468 ( 4) \SystemRoot\System32\smss.exe
PID: 504 ( 240) C:\Programmi\Messenger Plus! 3\MsgPlus.exe
PID: 508 ( 240) C:\Programmi\Grisoft\AVG6\avgcc32.exe
PID: 524 ( 468) csrss.exe
PID: 548 ( 468) \??\C:\WINDOWS\system32\winlogon.exe
PID: 592 ( 548) C:\WINDOWS\system32\services.exe
PID: 604 ( 548) C:\WINDOWS\system32\lsass.exe
PID: 640 ( 240) C:\WINDOWS\System32\RUNDLL32.EXE
PID: 772 ( 592) C:\WINDOWS\system32\svchost.exe
PID: 796 ( 592) C:\WINDOWS\System32\svchost.exe
PID: 876 ( 240) C:\Programmi\Cobian Backup 5\CobBU.exe
PID: 888 ( 240) C:\Programmi\ATnotes\ATnotes.exe
PID: 912 ( 592) svchost.exe
PID: 920 ( 240) C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
PID: 1012 ( 592) C:\WINDOWS\system32\spoolsv.exe
PID: 1088 ( 592) svchost.exe
PID: 1128 ( 592) C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
PID: 1148 ( 592) C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
PID: 1192 ( 592) C:\Programmi\Executive Software\DiskeeperWorkstation\DKService.exe
PID: 1220 ( 592) C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
PID: 1236 ( 240) C:\Programmi\TextPad 4\TextPad.exe
PID: 1260 ( 592) C:\WINDOWS\System32\inetsrv\inetinfo.exe
PID: 1300 ( 592) C:\Programmi\MySql\bin\mysqld-nt.exe
PID: 1332 ( 592) C:\Programmi\Norton AntiVirus\navapsvc.exe
PID: 1356 ( 592) C:\WINDOWS\System32\nvsvc32.exe
PID: 1392 ( 240) C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
PID: 1440 ( 592) C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
PID: 1452 ( 240) C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
PID: 1464 ( 240) C:\programmi\u-storage tools\ustorage.exe
PID: 1488 ( 592) C:\WINDOWS\System32\svchost.exe
PID: 1572 ( 592) C:\WINDOWS\system32\ZoneLabs\vsmon.exe
PID: 1696 ( 592) C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
PID: 1756 ( 240) C:\Programmi\File comuni\Symantec Shared\ccApp.exe
PID: 1776 ( 592) C:\WINDOWS\System32\Fast.exe
PID: 2064 ( 876) C:\Programmi\Cobian Backup 5\cobui.exe
PID: 2372 ( 240) C:\Programmi\Outlook Express\msimn.exe
PID: 2408 ( 772) C:\Programmi\Internet Explorer\iexplore.exe
PID: 2836 (2812) c:\progra~1\intern~1\iexplore.exe
PID: 2880 (2872) c:\progra~1\intern~1\iexplore.exe
PID: 3060 ( 240) C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
PID: 3712 (3692) C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

magari ne riconosci qualcuno "maligno"

ah prima che mi dimentico di farlo ti ringrazio per la disponibilità e l'aiuto on line ;-)

playx
08-08-2004, 15.38.19
allora questi sono i processi residenti in memoria e quelli installati esportati da SpyBot

http://www.herbitaeditrice.it/SpybotSD.Uninstall_report.txt
http://www.herbitaeditrice.it/SpybotSD.Processlist_report.txt

crazy.cat
08-08-2004, 15.46.47
Non si vede niente di pericoloso.
Proviamo questo dicono sia uno dei migliori trojan scanner
http://download.ewido.net/ewido-setup.exe
dopo che hai installato il programma,lo aggiorni,riparti in modalità provvisoria,fai la scansione e vediamo se salta fuori un "ospite".
Dopo rimanda il log di hijackthis, vado meglo con quello.

davlak
08-08-2004, 16.28.41
io darei anche un'occhiata al file hosts.

playx
08-08-2004, 17.57.17
nel report dei programmi installati neanche?

http://www.herbitaeditrice.it/SpybotSD.Uninstall_report.txt

playx
08-08-2004, 18.02.33
questo è il contenuto del file host

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy

playx
08-08-2004, 18.08.16
una curiosità: perchè mi i di far la scansione riavviando in provvisoria? nel senso i file sempre quelli sono o no?

così per capire meglio! :-)

crazy.cat
08-08-2004, 18.31.20
Perchè in modalità provvisoria molti processi/programmi non vengono caricati in memoria e quindi se uno di quelli è infetto ( e magari in modalità normale riesce a nascondersi all'antivirus) dalla modalità provvisoria dovresti riuscire a beccarlo perchè non attivo.

playx
08-08-2004, 21.39.15
ok capito, cmq anche in modalità provvisoria nulla di fatto, tutte le scansioni che ho fatto reputano il mio pc pulito, intanto alert di SpyBot che mi blocca le modifiche al registro continua a comparirmi sia se sono connesso che no.
ora sto cercando di disinstallare ciò che non mi serve o che non uso, cmq a pensarci bene il problema mi si è prsentato quando ho installato le versioni aggiornate di MSN messenger e Menger Plus e yahoo messenger, per prima cosa provo a disistallarli e vediamo se lo fa ancora

playx
08-08-2004, 22.00.59
come programmi installati mi suonano strani sempre dal report dei programmi installati esportato da Spy Bot i seguenti:


(Branding)


(Connection Manager)


(DirectAnimation)

(DirectDrawEx)


(Fontcore)


(ICW)

(IE40)

(IE4Data)

(IE5BAKEX)

(IEData)


Aggiornamento rapido per Windows XP - KB835732 20040329.175850 (KB835732)
uninstall cmd: C:\WINDOWS\$NtUninstallKB835732$\spuninst\spuninst .exe
publisher: Microsoft Corporation
help link: http://support.microsoft.com?kbid=835732


(MobileOptionPack)


Microsoft Text-to-Speech Engine 4.0 (English) (MSTTS)
uninstall cmd: RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\msTTSm22.inf, Uninstall

(PCHealth)
uninstall cmd: rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf


(SchedulingAgent)

(Sevinst)


Viewpoint Media Player (ViewpointMediaPlayer)
uninstall cmd: C:\Programmi\Viewpoint\Viewpoint Media Player\mtsAxInstaller.exe /u


AutoUpdate 1.0 ({18D10072035C4515918F7E37EAFAACFC})
install location: C:\Programmi\DivX


WebFldrs XP 9.50.5318 ({350C97BE-3D7C-4EE8-BAA9-00BCB3D54227})
version: 154277062
version (major): 9
version (minor): 50
estimated size: 2664
install date: 20031223
install source: C:\WINDOWS\System32\
publisher: Microsoft Corporation
help link: http://www.microsoft.com/windows


SpotLife ({84FA5EEA-32CE-47AE-9DF0-83CBCC2DED2C})
uninstall cmd: RunDll32 C:\PROGRA~1\FILECO~1\INSTAL~1\engine\6\INTEL3~1\Ct or.dll,LaunchSetup "C:\Programmi\InstallShield Installation Information\{84FA5EEA-32CE-47AE-9DF0-83CBCC2DED2C}\setup.exe" FreshInstall

playx
08-08-2004, 22.31.27
yupi yupi, ho disinstallato messenger Plus 3 ed è tornato tutto ok :D ora vedo se si può installare senza tutta quella porcheria latrimenti mi tengo Messenger senza plus :anger: