|
|
|
|
Strumenti |
04-01-2007, 20:59 | #81 | |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
Quote:
|
|
04-01-2007, 22:41 | #82 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
tratto da pcalsicuro:
- service32.exe o Winsys.exe,sotto la directory di Windows, è il file iniziale che infetta il pc.Utilizza tecniche rootkit user mode per nascondersi nel sistema; - Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe: ctfmon32.dll iexplorer32.dll iexplorre32.dll lsas32.dll mdm32.dll omsnlog.dll scrss32.dll spoolvs32.dll sys32exploer.dll syshost.dll syst32.dll winsmgr32.dll -un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer; - possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa |
05-01-2007, 07:57 | #83 | |
Senior Member
Iscritto dal: Apr 2006
Messaggi: 313
|
Quote:
risposta straesaustiva, appena a casa vado a caccia ieri poi, all'ennesimo riavvio aveva trovato un Rustock.NAX in file temporanei... Ma poi, avendo una connessione adsl, queste son solo scocciature, (visto che son dialer) oppure portano ad altri danni???? Grande Juninho!!!!
__________________
Elvis Presley,Paul Auster,Rocky Mountain MTB,Chupacabra,Curcuma,Wolfenstein,Putrifizer,Guinness,Ken Loach,Capitan Harlock,Thunderbird |
|
05-01-2007, 14:09 | #84 | |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
Quote:
|
|
05-01-2007, 16:35 | #85 |
Senior Member
Iscritto dal: Apr 2006
Messaggi: 313
|
fatto!
ero pronto, dopo il riavvio, ad eliminare nuovamente l'omsnlog.dll ma è sparito da solo con l'eliminazione di winsys.exe.... i tre antivirus non mi rilevano nulla, neppure nei file temporanei (almeno per ora ) Grazie ancora a tutti!!!
__________________
Elvis Presley,Paul Auster,Rocky Mountain MTB,Chupacabra,Curcuma,Wolfenstein,Putrifizer,Guinness,Ken Loach,Capitan Harlock,Thunderbird |
08-01-2007, 22:23 | #86 | |
Member
Iscritto dal: Oct 2006
Messaggi: 201
|
Quote:
|
|
09-01-2007, 08:22 | #87 | |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
Quote:
|
|
09-01-2007, 22:22 | #88 |
Junior Member
Iscritto dal: Jan 2007
Messaggi: 7
|
Ho lo stesso problema,
solo che a me, dopo aver seguito la procedura di cui sopra, aver eliminato il winsyst32, controllato di non avere tutti gli altri files elencati qui, mi è rimasto "solo" omsnlog.dll. Norton me lo rileva in continuazione, ma non riesce a cancellarlo se non in modalità provvisoria. Solo che all'avvio, rieccolo presentarsi. E, ribadisco, nessuno dei files elencati qui mi risulta presente: solo omsnlog.dll. Come faccio? Grazie. |
02-02-2007, 11:55 | #89 |
Member
Iscritto dal: Jul 2006
Città: siracusa
Messaggi: 57
|
allora oggi mi sono beccato il cavallo di troia (premesso uso nod32)
cmq, ho seguito tutti i suggerimenti di post precedenti.....xò il problema sta all'origine....ho cercato i file service32.exe e syst32.dll ma ma non gli ho trovati come mai????? |
02-02-2007, 14:32 | #90 | |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
Quote:
|
|
03-02-2007, 10:54 | #91 |
Senior Member
Iscritto dal: Sep 2004
Città: Vittorio Veneto TV
Messaggi: 443
|
BACKDOOR W32\ABVZ
E' possibile ke nel file zip nella cartella di avenger ke ho nel desktop si trovi questo troyan????
avenger l'avevo scaricato x eliminare linkoptimizer. F-Prot me lo dà anche in C:System Volume Information\restore......... dovrò forse disabilitare il ripristino di configurazione x eliminare qst. file????? Grazie http://img172.imageshack.us/img172/3817/avenger1hf8.jpg http://img115.imageshack.us/img115/4...ytermodxq6.jpg http://img227.imageshack.us/img227/8...scanmodia1.jpg
__________________
valter ------------------- |
03-02-2007, 12:04 | #92 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
da dove l'hai scaricato?
|
03-02-2007, 13:05 | #93 | |
Senior Member
Iscritto dal: Sep 2004
Città: Vittorio Veneto TV
Messaggi: 443
|
Quote:
quando mi avevi diagnosticato linkoptimizer devo averlo scaricato da un link su di un vs. post (forse quello di Andorra) e avevo fatto normalmente la procedura descritta con esito positivo. poi l'ho lasciato nella cartella sul desktop x un eventuale bisongno futuro, assieme alle cartelle di hijackthis, gmer, nod32. anche ora mi è uscito un avvertimento di F-prot, sebbene ho eliminato la cartella con il file di avenger e svuotato il cestino. pensi ke dovrò disabilitare il ripristino di configurazione di sistema???? grazie
__________________
valter ------------------- |
|
03-02-2007, 13:14 | #94 | |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
Quote:
ora disabilita il ripristino di sistema,pulisci tutto....dammi qualche minuto e ne uppo uno io di cui son certo non sia infetto |
|
26-05-2007, 13:24 | #96 |
Junior Member
Iscritto dal: Dec 2006
Messaggi: 10
|
Salve a tutti,
evito di aprire un altro thread per questo problema che suppongo di condividere (purtroppo) anche con altri utenti. Il mio dialer si chiama vwxiaa.exe ed ha l'icona di un bacio. E' situato nella cartella temp ed ogni volta che mi connetto ad internet mi ripiomba dentro. Anche se lo elimino da HijackThis ritorna ogni volta sotto un altro nome ogni volta che provo a riconnettermi. Assieme a questo sempre nella cartella temp è presente: ~DF1C2A.tmp ineliminabile. Ho fatto la scansione con Active Virus Shield e non mi rileva nulla di sospetto... va beh... non fa testo. Secondo me c'è qualche file nascosto dentro qualche cartella che ogni volta che mi connetto mi fa scaricare in automatico questa roba... E' quel "file tmp"? Ho visto se nella cartella di WIndows c'erano quei .exe citati all'inizio, ma nemmeno l'ombra. Qui c'è uno screen shot delle .dll e di alcuni files dall'estensione strana. Che posso fare? Ho in mano avenger, ma cosa elimino? Questo è il log di HijackThis se vi può essere utile, (secondo me è a posto) Grazie a tutti Logfile of HijackThis v1.99.1 Scan saved at 14.15.26, on 26/05/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Intel\Wireless\Bin\EvtEng.exe C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe c:\windows\system32\winlogon.exe D:\Programmi D\Active Virus Shield\avp.exe C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\RTHDCPL.EXE C:\Programmi\ASUS\ASUS Live Update\ALU.exe C:\Programmi\ASUS\Wireless Console\wcourier.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe D:\Programmi D\ASUSTek\ASUSDVD\PDVDServ.exe D:\Programmi D\Active Virus Shield\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programmi\Mozilla Firefox\firefox.exe D:\Programmi D\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-auth.unifi.it:8888 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "D:\Programmi D\ASUSTek\ASUSDVD\PDVDServ.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [aol] "D:\Programmi D\Active Virus Shield\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Active Virus Shield (AVP) - Unknown owner - D:\Programmi D\Active Virus Shield\avp.exe" -r (file missing) O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe |
26-05-2007, 13:27 | #97 |
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22459
|
fai una scan con gmer
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
26-05-2007, 13:40 | #98 |
Junior Member
Iscritto dal: Dec 2006
Messaggi: 10
|
Ok sto facendo lo scan resta in linea
Ultima modifica di Xnder : 26-05-2007 alle 13:43. |
26-05-2007, 13:51 | #99 |
Junior Member
Iscritto dal: Dec 2006
Messaggi: 10
|
mi è crashato il sistema e mi si è riavviato:
all'avvio: firefox.exe, file danneggiato... i guai non vengono mai da soli. |
26-05-2007, 14:10 | #100 |
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22459
|
falla con rootkit unhooker
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 09:55.