|
[win XP] infostealer.wowcraft - aiuto per favore
ciao,
purtroppo da una decina di giorni almeno ho un problema con il trojan infostealer.wowcraft Il firewall di norton (eh sì norton, non l'ho scelto io purtroppo) lo intercetta e blocca. Ho seguito le istruzioni di symantec per eliminarlo (scansione in modalità provvisoria con definizione virus aggiornate e successiva eliminazione della chiave "load" = "[PATH TO DROPPED FILE]" in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ma la scansione non ha rilevato nulla e la chiave nel registro non c'era. :mad: ) ho cercato qui sul forum e ho trovato un thread dove un utente aveva lo stesso problema e la procedura symantec era inutile come nel mio caso. Lui ha risolto con a-squared free, così ho provato pure io ma a-squared non ha trovato il trojan (ne ha trovato un'altro che norton non aveva trovato e che ho eliminato (backdoor.win32.mIRC-based.d) - ha pure trovato altri possibili problemi e ho messo quelle voci in quarantena). Ho allora seguito le istruzioni nella guida di questo forum usando: ESET ADS Revealer (ha rivelato un sacco di possibili voci ma non so cosa farne) A-Squared Free v3.x (scansione DEEP) Prevx CSI e salvato il log DrWeb HiJackThis e ho fixato delle voci facendo l'analisi del log tramite il tool indicato dalla guida di hwupgrade Gmer che non ha dato scritte in rosso e di cui ho salvato i report del rootkit e dell'autostart. Fatto tutto questo, purtroppo il trojan continua a ritentare la connessione ogni 60 min. aggiungo solo che (non so se sono info che possono essere utili): -da tempo il messenger non parte, o meglio: parte solo dopo 2 o 3 ore che gli ho dato l'avvio. Ho provato a reinstallarlo, è partito subito ma al riavvio del pc il prblema si è ripresentato. A volte, avendolo messo per prova in autostart, quando avvio il pc si avvia subito pure il msnger ma se mi disconnetto rimane la sua icona vicino all'orologio con la x di disconnesione sopra ma non reagisce più, nè col tasto destro che col sinistro. -ho qualche giorno prima installato skype -prima di avere i problemi, mi è apparsa una richiesta, mi pare del firewall di norton ma non ne sono certo (stavo lavorando e non ci ho fatto caso :muro: e sì che di solito sto attento :rolleyes: ) di attivare qualcosa o permettere la connessione a qualcosa che o era o assomigliava a winlogon Grazie a chi mi potrà aiutare posto ora il log di hijackthis Codice:
|
per quanto riguarda il problema di msn posso solo dirti che puoi provare a seguire la procedura alla disinfezione di msn.
e per il resto, che il solo log di Hijackthis non serve, e se vuoi aiuto da chi piu esperto devi postare tutti i log delle scansioni (eseguite una alla volta) e nell'ordine richiesto. |
ciao etex
EDIT: ho letto meglio quello che hai scritto c'è un'altra discussione di un altro utente, questa qui, anche in questo caso segui la procedura indicata da riverside |
Quote:
Quote:
Quote:
Non vedo la ragione per cui deve essere dirottato in quella discussione. Questa, è la sezione più attinente. |
scusa river, ma la discussione a cui io ho dirottato nn si riferisce alla rimozione del virus msn, ma ad uin 3d in cui è stato rimosso lo stesso trojan indicato dall'utente: infostealer.wowcraft
è sbagliato? |
Quote:
Direi, in ogni caso (dopo aver analizzato il log di Hthis pubblicato) che sia il caso di proseguire qui: siamo di fronte a due situazioni diverse. Ovviamente, suggerisco di seguire, inizialmente, la procedura indicata nel post che hai linkato. |
Quote:
sto uscendo e tornerò stasera ma non ho resistito dal dare un'occhiata al forum :) appena torno provo la procedura nel link. Avevo fatto una ricerca sul forum ma quella discussione non l'avevo trovata, chiedo venia. Aggiungo solo una info sperando possa essere utile: ieri sera parlavo con mia moglie riguardo al trojan in oggetto e mi ha detto che in effetti potrebbe avermelo trasmesso lei (nel caso, si può parlare di malattia venerea? :) ) :( infatti lei lo aveva da qualche giorno sul portatile e non mi aveva detto nulla al riguardo. Ricostruendo meglio, in effetti mi è comparso da quando ho inserito una sua chiavetta usb con dei dati che mi stava passando. Grazie ancora. Stasera o al più tardi domattina posto l'esito della procedura ;) |
@ Etex:
io vedo solo il log di HiJackThis e dovresti per lo meno pubblicare tutti i log non solo quello di hijackthis perchè danno una completa radiografia.. il pc è lì con te e noi dalla distanza abbiamo bisogno di dati sicuri se vuoi riottenere il pc in perfette condizioni. :) Potete proseguire qui visto che quel thread non era stato risolutivo. |
ok, grazie :)
purtroppo ieri sono tornato tardi :( adesso in pausa pranzo ho provato a fare un test: avendo notato che il trojan tenta la connessione con l'esterno ogni 60 min, nella configurazione del firewall norton ho attivato "attiva controllo componenti programmi". Ho poi dato l'ok solo ai componenti necessari per navigare su internet (ma se il test non avesse funzionato avrei riprovato togliendo pure quelli). Ho poi aspettato la scadenza dei 60 min e ho guardato se succedeva qualcosa. Esito: allo scadere dell'ora x mi è apparsa una prima richiesta del norton per il processo svchost con l'elenco dei relativi moduli che ho copiato e inserisco: Codice:
moduli relativi a svchost:Codice:
moduli relativi a AppSvc32:Sbaglio nel dedurre che il trojan dovrebbe essere legato ad uno di questi moduli? Sottolineo che la richiesta del primo consenso è avvenuta proprio nel minuto preciso della scadenza dell'intervallo dei 60 min "usuali " del trojan mentre l'intercettazione del trojan da parte di norton è avvenuta soltanto dopo che ho dato i due consensi quindi con il ritardo (circa 10 min) dovuto al tempo per me necessario per copiare/incollare le immagini delle schermate. Prima di postare ho lasciato ripassare un'ora ed il trojan ha ripreso la sua solita puntualità (visto che dopo aver acconsentito non ho più cancellato la lista, era prevedibile) Ho fatto anche l'immagine/stampa del monitor con i processi/moduli autorizzati al momento precedente "l'ora x" di cui sopra; se può servire, taglio le immagini, le comprimo e le allego appena fatto. Intanto posto le info sopra :) |
Quote:
Quote:
Disabilita il Ripristino configurazione di sistema procedendo in questa maniera: ● tasto destro del mouse sull'icona Risorse del Computer ● seleziona la voce Proprietà ● apri la scheda Ripristino configurazione di Sistema ● spunta la voce Disattiva ripristino configurazione di sistema ● conferma, la modifica, con Applica e, poi Ok Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto Svuota il contenuto della cartella Prefetch procedendo in questa maniera: ● clicca su Risorse del Computer ● clicca su Disco locale C: ● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows ● aprila ed, al suo interno, cerca la cartella Prefetch ● aprila ed elimina tutte le voci conservate al suo interno mi raccomando, non eliminare la cartella svuota la cache di JAVASUN: ● Start ● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica) ● clicca sulla icona Java per accedere al Pannello di controllo ● clicca sulla scheda Generale ● vai all'ultima sezione File temporanei Internet ● clicca sul pulsante Impostazioni ● clicca sul pulsante Elimina file e poi conferma con OK aggiorna JAVASUN: ● Start ● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica) ● clicca sulla icona Java per accedere al suo Pannello di controllo ● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso pulisci, gli eventuali ADS quindi: ● rilancia Hijackthis_v2 ● clicca sulla voce Open the Misc Tool section ● clicca su Open ADS Spy ● clicca su Scan ● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected Scarica DUSTBUSTER (richiede l’installazione) clicca qui per il download ● una volta installato, lancialo: ● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk Scarica ASQUARED FREE (richiede l’installazione) clicca qui per il download Una volta installato, lancialo: ● scarica gli aggiornamenti ● esegui una scansione del sistema in modalità Deep Scan ● metti in quarantena tutto ciò che viene rilevato allega il log che verrà rilasciato Rilancia Hthis e fixa questa voce: O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedIn...derControl.cab Al termine, riavvia il sistema ed allega un nuovo log di Hthis. |
Quote:
Quick scan (Windows base folder only) : selezionata Ignore safe system info stream: selezionata calculate md5 checksum of streams: deselezionata se è ok, vado avanti; intanto scarico il necessario per il resto della procedura. |
si, è molto veloce
|
Quote:
il link a dustbuster porta a una pagina mancante; ho cercato sul sito la parola "dustbuster" e ho trovato un file .zip della versione 2.9.5.1 è quella giusta? se è ok, la installo EDIT: un'altra cosa: asquared lo avevo già installato ed usato mettendo ciò che ha trovato in quarantena. -Se è meglio rifare la scansione alla luce delle ultime azioni intraprese, devo prima togliere gli elementi dalla quarantena? (magari sennò non li mette nel nuovo log, è solo una mia ipotesi/scrupolo, ditemi voi) |
aggiornamento:
nel dubbio se togliere i files dalla quarantena o meno (vedi post subito sopra) ho guardato con attenzione gli elementi in quarantena: ci sono tantissimi files relativi a ac3filters, qualche tracking cookie e un file molto pericoloso: Trojan.Downloader in secpol.exe. Potrebbe essere lui la causa di tutto? Quello proprio non mi fido a "liberarlo". Sto eseguendo la scansione e ci vorrà un po' di tempo ma seguo il forum da un altro pc. |
Quote:
Al termine pubblica tutti i log. Grazie per la segnlazione relativa a link di Dust Buster (ora provvedo :() |
Quote:
poi ho riavviato la scansione "deep" con asquared. Temo impiegherà un paio di orette. se non riesco a postare stanotte lo farò domattina. Sarai sul forum? :) Intanto ho avviato la stessa procedura sul pc portatile (quello di mia moglie, infetto per primo) dandogli prima un pulita e fattogli aggiustare il registro con cccleaner: ma dustbuster fatica, sembra bloccato, lo lascio andare tutta notte? Sempre riguardo al portatile, hijackthis ha rilevato un elemento da fixare uguale a quello che avevo fixato sul pc fisso la prima volta che avevo provato a risolvere e che penso di non aver citato esplicitamente: Codice:
020 - winlogon Notify: fsmgmt - fsmgmt.dll (file missing)Hanno veramente problemi? In tal caso li posso fixare? perchè il 90% di quelli non li posso eliminare :( (non li posso postare perchè in effetti in conflitto con la privacy :( ma immagino che con la tua esperienza mi possa dare una risposta di principio) grazie ancora per la disponibilità :) |
Quote:
Quote:
Quote:
|
Quote:
per il lavoro, temo di conoscere il problema :) per il pc, aspetto allora. Grazie ancora ;) |
Quote:
Ovvero: la prima da sopra:non spuntata la seconda : spuntata di dafault la terza : non spuntata di default ;) Rifai la scansione in questo modo......:cool: |
la prima xò è spuntata di default: infatti quando l'ho installato l'ho dovuta togliere xchè nn mi convinceva...
|
| Tutti gli orari sono GMT +1. Ora sono le: 03:00. |
Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.