Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 04-02-2008, 18.13.58   #1
elena.gioia
Junior Member
 
Registrato: 22-10-2003
Loc.: Parma
Messaggi: 68
elena.gioia promette bene
Troj_startpa.oq (Trend Micro)

Sto impazzendo, su diversi Pc in azienda troviamo il virus in oggetto, ma non riusciamo ad eliminarlo; mi infila un file di nome a.exe in C:\Winnt\System32.
Vi posto uin log di hijackthis, nella speranza che qualcuno mi dia una mano!
Grazie

Logfile of HijackThis v1.99.1
Scan saved at 17.09.34, on 04/02/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\explorer.exe
\sinapsi01\software\Software\Installazione PC Lavorint\Lav HD.exe
C:\DOCUME~1\lmaglio\IMPOST~1\Temp\7zS1.tmp\winvnc. exe
S:\Scambio\Elena\rbotgui.com
C:\Documents and Settings\lmaglio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {40125DDF-43E6-4F5D-E806-7852AB4B626C} - C:\WINNT\rsalu1.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ssmqg] "C:\DOCUME~1\smerisio\IMPOST~1\Temp\1050593.ex e"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [ssmqg] "C:\DOCUME~1\smerisio\IMPOST~1\Temp\1050593.ex e"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: SecCug - Unknown owner - C:\Programmi\File comuni\Services\bbqUP.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe
elena.gioia non è collegato   Rispondi citando
Vecchio 04-02-2008, 20.30.56   #2
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Questo file lo conosci?
S:\Scambio\Elena\rbotgui.com
Se non sai cosa sia caricalo sul sito www.virustotal.com e vedi cosa ti dicono.

Rifai la scansione con hijackthis, selezioni le caselle di queste righr e premi fix checked per eliminarle,
O2 - BHO: Class - {40125DDF-43E6-4F5D-E806-7852AB4B626C} - C:\WINNT\rsalu1.dll (file missing)
O4 - HKLM\..\Run: [ssmqg] "C:\DOCUME~1\smerisio\IMPOST~1\Temp\1050593.ex e"
O4 - HKCU\..\Run: [ssmqg] "C:\DOCUME~1\smerisio\IMPOST~1\Temp\1050593.ex e"
Poi svuota quella cartella temp.

Conoscendo officescan potresti avere di tutto su quel pc.
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non è collegato   Rispondi citando
Vecchio 05-02-2008, 12.31.15   #3
elena.gioia
Junior Member
 
Registrato: 22-10-2003
Loc.: Parma
Messaggi: 68
elena.gioia promette bene
rbotgui.com è uno dei tanti, tantissimi tool che ho provato a scaricare ieri nel tentivo di rimuovere il mio amichetto!
I file che mi indichi su hijackthis sembra strano a dirsi, me nella scansione non sono presenti, non so da dove li pigli il LOG!
Sono quansi alla disperazione!
elena.gioia non è collegato   Rispondi citando
Vecchio 05-02-2008, 14.11.07   #4
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
O23 - Service: SecCug - Unknown owner - C:\Programmi\File comuni\Services\bbqUP.exe (file missing)


anche questo sopra è da rimuovere


posso suggerirti di usare virit lite e a2squared


hijackthis pesca le "linee" dal registro e i file infetti cambiano nome molto spesso


conosco questo virus, opera in mod. provvisoria e vedrai che riuscirai ad impedirne l'avvio, poi, puoi fare la scansione totale con calma
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 05-02-2008, 15.52.30   #5
elena.gioia
Junior Member
 
Registrato: 22-10-2003
Loc.: Parma
Messaggi: 68
elena.gioia promette bene
Quota:
Inviato da Lionsquid
O23 - Service: SecCug - Unknown owner - C:\Programmi\File comuni\Services\bbqUP.exe (file missing)


anche questo sopra è da rimuovere


posso suggerirti di usare virit lite e a2squared


hijackthis pesca le "linee" dal registro e i file infetti cambiano nome molto spesso


conosco questo virus, opera in mod. provvisoria e vedrai che riuscirai ad impedirne l'avvio, poi, puoi fare la scansione totale con calma
Ho fatto tutte le scansioni possibili immaginabili in modalità provvisoria, ma ad ogni avvia a.exe torna a tormentarmi!
elena.gioia non è collegato   Rispondi citando
Vecchio 05-02-2008, 19.40.25   #6
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
in merito a quel file "a.exe"
si direbbe una variante del 'Coolwebsearch'.. appunto uno spyware che modifica le impostazioni di Internet Explorer e anche del sistema quindi.
Qui
http://www.auditmypc.com/process/a.asp
ho trovato alcune informazioni interessanti in merito.

Potresti tentare di rimuovere quel malware con questa removal tool gratuita:

http://www.trendmicro.com/ftp/produc...cwshredder.exe

pagina di riferimento

http://us.trendmicro.com/us/products...al/CWShredder/

scaricala sul desktop, quindi chiudi tutte le finestre aperte, pulisci i files temp con CCleaner, quindi eseguila e fagli fare una scansione.

Non posso garantire che sia risolutiva ovviamente visto che in azienda vi proteggete proprio con sistemi di sicurezza della Trend Micro, ma tentar non nuoce
leofelix non è collegato   Rispondi citando
Vecchio 05-02-2008, 20.33.38   #7
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
Quota:
Inviato da elena.gioia
Ho fatto tutte le scansioni possibili immaginabili in modalità provvisoria, ma ad ogni avvia a.exe torna a tormentarmi!
a.exe torna perchè quell'eseguibile viene creato all'avvio da qualche altra cosa, ecco perchè non lo trovi

oltre al tentativo suggerito da leofelix, io utilizzerei in aggiunta ai già detti virit e a2squared (che dovrebbe risolvere), runscanner, che fa una approfondita scansione del registro... ma quanto a cosa rimuovere non posso certo indicarti con sicurezza, runscanner traccia un mucchio di roba e molta non è di vitale importanza, bisogna saper spulciare il lunghissimo elenco che crea (avevo scritto pure una breve guida, ma dopo una settimana che avevo finito si è passati dalla versione 0.9 alla 1.x lavoro inutile )
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 07-02-2008, 20.21.38   #8
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
giusto il collegamento al file A.EXE deve essere anche in qualche chiave RUN del registro di configurazione...

io tenterei anche con questo
http://forum.wintricks.it/showpost.p...62&postcount=1

(non badare alla scritta shareware, in realtà funziona tranquillamente -ma senza modulo di protezione permanente - in versione free.. basta ricordarsi di aggiornarlo)
L'ho provato in diversi sistemi e ha rimosso 'rospi' che altri programmi non si sono nemmeno sognati di vedere
leofelix non è collegato   Rispondi citando
Vecchio 09-02-2008, 15.15.42   #9
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
W32/Autorun Worm Removal 1.0



Effetti:
CleanAutoRun.exe will detect and remove the W32/Autorun Worm and its variants completely from your system. Download cleanautorun.exe and save it on your desktop...

Download: http://www.protectorplus.com/download/cleanautorun.exe

Sito Web: http://www.protectorplus.com/download/cleanautorun.htm
Giorgius non è collegato   Rispondi citando
Vecchio 09-02-2008, 19.06.46   #10
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
Grazie Giorgius,
mio corregionale (mi sono solo ora accorto che vivi nella mia stessa regione.. sebbene io abbia altre origini)..
questo removal tool tornerà utilissimo a molti..
qui
http://www.protectorplus.com/download/utility.htm

ce ne sono altri molto interessanti...
Dovrò testarli in qualche sistema infetto..
Faccio affidamento per questo su mia sorella, nonostante le mie raccomandazioni e precauzioni riesce a far danni non solo al portatile con XP che le ho regalato ma anche nel suo MacOsX... oltre che far saltare i nervi del sottoscritto, si intende
leofelix non è collegato   Rispondi citando
Vecchio 12-02-2008, 04.31.20   #11
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
http://sophos.com/support/disinfection/startpa.html

qui un ennesimo removal tool
leofelix non è collegato   Rispondi citando
Vecchio 12-02-2008, 20.05.13   #12
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
feedbak fresco fresco

CleanBontok.exe non mi ha soddisfatto, provato su 4 pc (2 infetti da brontok, 1 Vundo, 1 Vundo + altre schifezze varie) non ha compiuto il suo dovere lasciando brontok parzialmente installato


ben diversa invece è andata con il tools brontgui.com, il quale ha rimosso le chiavi di registro, i processi attivi e i relativi file

l'infezione era arrivata al punto che ogni cartella aveva al suo interno un'eseguibile con l'icona tipica delle cartelle e senza estensione, inoltre mi era impedito l'accesso alle opzione delle cartelle e al primo accenno di avvio di tools tipo hijackthis, virit, etc, si riavviava

(Y) brontgui.com
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 12-02-2008, 21.56.07   #13
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
questo tool intendi
http://www.sophos.com/support/disinfection/brontok.html

immagino, grazie del feedback
leofelix non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Trend Micro Anti-Spy. Gervy Archivio News Software 11 24-06-2005 17.14.03
Malware, Trend Micro: aumenta diffusione, allarme per cellulari Giorgius Sicurezza&Privacy 0 05-05-2005 18.01.04
Trend Micro: Soluzione Unica Contro Spam, Phishig, Virus e Spyware Giorgius Sicurezza&Privacy 0 22-06-2004 12.47.37
W32.Sasser.A/B - Allerta 5 - Update (LSA Shell) Giorgius Sicurezza&Privacy 48 09-05-2004 16.49.22
VIRUS: TREND MICRO, ALLARME GIALLO PER BAGLE.Q Giorgius Sicurezza&Privacy 1 19-03-2004 14.57.10

Orario GMT +2. Ora sono le: 22.38.07.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.