Un sito da debellare

[Camill0]

chiedo agli esperti analizzatori di verificare (ripeto se non siete analizzatori o comunque protetti per bene non cliccate su questo sito!!!)
questo sito e tutte le sue varianti, che si possono tranquillamente rintracciare su google, piene di trojan virus e quant'altro.

Un sito del genere non può rimanere aperto senza colpo ferire.
Grazie

[juninho85]

di cosa tratta questo sito?

[eraser]

editato

Dopo controllo

[GmG]

Solito sito con tutte le parole possibili.

contiene un i frame che punta ad un htpp:/sito/in.cgi?6

che viene riconosciuto da antivir come HTML/Dldr.Agent.UV.1

Questo file è un vbs offuscato.

Questo vbs scaricail file service32.exe che è identificato solo da

BitDefender -> Dropped:Trojan.Downloader.Tukpat.A
Norman Virus Control -> W32/W.B
Panda -> Suspicious

[eraser]

apposto, mi hai risparmiato un lavoro

visto che ho un esame domattina e sto a metà del libro

[Camill0]

a me KA me l'ha riconosciuto come
Trojan program Trojan-Clicker.Win32.Small.kj File: C:\WINDOWS\syst32.dll

e inoltre
riskware Trojan.generic Running process: C:\WINDOWS\2244163178.exe
che ho dovuto cancellare a mano.


Che siano maledetti

[luismichela]

ho un problemaanlogo
il mio antivirus ogni riavvio rileva syst32.dll e it_0118.exe
prontamente spostati in quarantena all'avvio ma non capisco come eliminarli definitivamente
ho usato HijackThis ma non risultano i virus attivi
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\win2190\Windrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\explorer.exe
C:\Documents and Settings\il salumiere\Desktop\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Startup: Startdrw (3).lnk = C:\win2190\WINDRV.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {3CA6DFF6-C6B0-11D4-8035-0050BF0BA18C} (BMSPX Control) - http://www.brans.com/cab/Brans/bmspx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40672377-FE1F-43EA-8C5D-15BB923D9F30}: NameServer = 151.99.0.100,151.99.125.2,151.99.125.1,151.99.125.3
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe

penso che sia inserita qialche stringa nel registro per poi essere caricato come servizio
cosa ne sapete voi

[Camill0]

seee però c'è la sezione apposita...

fixa:

C:\win2190\Windrv.exe

O4 - Startup: Startdrw (3).lnk = C:\win2190\WINDRV.EXE

O16 - DPF: {3CA6DFF6-C6B0-11D4-8035-0050BF0BA18C} (BMSPX Control) - http//www.brans.com/cab/Brans/bmspx.cab


Per la quarantena, se usi AVG non so come aiutarti, non lo conosco bene.

Fammi sapere

[luismichela]

C:\win2190\Windrv.exe
è un softrware in dos per la gestione della com
leggero il forum aspettando che giunca una soluzione

[Mirko1986]

Quote:

Originariamente inviato da luismichela

C:\win2190\Windrv.exe
è un softrware in dos per la gestione della com
leggero il forum aspettando che giunca una soluzione

Ciao, se lo conosci e sai che è sicuro, allora non c'è problema. Hijackthis lo segnala come sospetto perchè ha lo stesso nome di un eseguibile che, se è in system32, è infetto da un virus. La voce O16 fixala se non conosci il sito brans.com.
Per i file rilevati all'avvio, disattiva il ripristino configurazione di sistema e fai le scansioni descritte nella guida: http://www.hwupgrade.it/forum/showthread.php?t=1142673

[fabrixx2]

Ma antivir lo riconosce?

[blue_tech]

qualcuno invii il file in questione a virus total che per quel che ne so lo girano direttamente a tutte le case di virus da loro utilizzate...

aiutiamo a velocizzare il rilevamente anche da parte degli altri

[GmG]

Quote:

Originariamente inviato da blue_tech

qualcuno invii il file in questione a virus total che per quel che ne so lo girano direttamente a tutte le case di virus da loro utilizzate...

aiutiamo a velocizzare il rilevamente anche da parte degli altri

Quando ho fatto il controllo della pagina ho inviato i file sia a VirusTotal che a Jotti's on-line malware scan