Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Virus dowloader trojans e backdoor agent

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Virus dowloader trojans e backdoor agent

Postdi kinowa » 25/01/05 16:23

Da un paio di giorni l'antivirus AVG free che ho installato sul mio computer (Win 98 e XP con sp1....lo so, lo devo aggiornare!!),
ad ogni connessione ad Internet mi avvisa dell'arrivo o presenza di 2 virus: 1) un dowloader trojans e 2) un backdoor agent.7 (o qualcosa del genere). Clicco su heal (guarisci), ma non succede nulla, nel senso che ad ogni riavvio di Internet Explorer (esce pagina about blank !) oppure quando faccio il downolad di qualche file mi avvisa che ci sono di nuovo i virus di cui sopra anche se individuati con nomi diversi nel System 36.
E' inultile dire che aggiorno frequentissamente AVG (praticamente ad ogni connessione) così come Spybot e Adware.
Ho installato anche Kerio personal firewall (che non so usare molto bene) e ho capito che negando i tutti permessi collegati alla voce Other Application riesco a bloccari i suddetti virus, ma a costo di non collegarmi a nessun sito.
Ho smanettato anche nel registro eliminando alcune voci strane, ma niente: nessun successo.
Ho provato a dare anche un occhiata alle guide e ai precedenti post, ma "nisba" non mi è parso di trovare un consiglio specifico
Quello che mi sembra di aver capito da profano e che al compimento di alcune azioni (connessioni - download) mi si apre qualche porta da cui entrano i virus, che vengono bloccati dall'antivirus ma non in modo definitivo in quanto si rigenerano e rompono....
A questo punto mi rivolgo al forum per aver qualche dritta...

Grazie
kinowa
Newbie
 
Post: 2
Iscritto il: 25/01/05 15:56

Sponsor
 

Postdi Dylan666 » 25/01/05 16:26

Posta il log di HijackThis:
http://www.pc-facile.com/guide.php?t=148946

Per il firewall guarda se questo ti è più facile da usare:
http://www.pc-facile.com/introduzione_f ... m_t149096/
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi C.Pacio » 25/01/05 16:31

Sicuramente i consigli dell'oracolo Dylan sono importantissimi e da seguire! Io posso solo dirti che la sp2 è estremamente necessaria! ;) Giuda ballerino!
Questa è la mia foto... somiglio vagamente a Sean Connery?
C.Pacio
Utente Junior
 
Post: 19
Iscritto il: 09/11/04 12:11
Località: Roma

Postdi dado » 25/01/05 18:55

C.Pacio ha scritto:Sicuramente i consigli dell'oracolo Dylan


Ehi... eze potrebbe prendersela!! :P :D

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

ancora trojan?! Help!

Postdi obscured » 26/01/05 00:46

Senza aprire un altro thread prolungo aggiungendo un problema che mi si è posto anche a me in questi giorni.
Una settimana fà, mentre stavo in internet è successo per la prima volta che la connessione si staccasse ricollegandosi poi con un altro numero (a me oscuro in quanto non compariva nessuna casellina di collegamento)
dopo 2 tentativi a vuoto la connessione riusciva a trovare "libero" ma in quel momento ero pronto a staccare il filo e riconnettermi poi con la mia connessione remota.
Da lì in poi il sospetto dialer non rompe più ma in una fase successiva mi sono accorto che il media player di windows(xp nel mio caso) non funziona e mi da codesto errore:L'istruzione a "0x59592522" ha fatto riferimento alla memoria a "0x59992a4c". La memoria non poteva essere "read".
Impossibile accedere anche anche al comando "cerca"sul menù avvio.
Al momento dell'infezione contavo soltanto su zone alarm e ad-ware in quanto norton l'ho installato in attesa di un antivirus + compatibile...
Ho provato fare scansioni da internet ma sono disabilitati anche i java!
Al momento ho provato swat it e spybot ma con il solo risultato di cancellare rghe di comando sospette e le cartelle dove il trojan crea le conessioni remote.
Il problema rimane e non so dove attaccarmi...sto pensando di formattare tutto ma mi vorrebbe un disco fisso esterno x salvare 30 giga di dati.
Qualcuno sa di cosa si tratta, so che dovevo vaccinarmi prima, ma questo è proprio tosto!
obscured
Newbie
 
Post: 1
Iscritto il: 25/01/05 22:21

Postdi Dylan666 » 26/01/05 00:51

Gli errori che hai non li vedo imputabili a uno spyware. Per il Trova fai un Ripristino. Per la memoria READ potrebbe essere unproblema di RAM a meno che non lo faccia sempre e solo col Windows Media Player. In quel caso reinstallalo ma annche lì prima di tutto prova il ripristino.

PS: prima di arrivare a 30 GB di dati vitali ci si pensa un po' e se non si fanno CD e DVD di backup almeno li si mettono in una partizione separata dall'OS
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi kinowa » 26/01/05 18:45

Ecco di seguito il log di Hijacks
I virus segnalati da AVG si chiamano rispettivamente:
Troian horse Downloader.Agent.7E
Troian horse Backdoor.small.3BI

StartupList report, 26/01/2005, 18.34.38
StartupList version: 1.52
Started from : G:\Documents and Settings\Peppe\Desktop\Hihacks\startuplist\StartupList.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
G:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
G:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\svchost.exe
G:\Programmi\TightVNC\WinVNC.exe
G:\WINDOWS\soundman.exe
G:\WINDOWS\System32\carpserv.exe
G:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
G:\WINDOWS\System32\ctfmon.exe
G:\Programmi\Messenger\msmsgs.exe
G:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
G:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
G:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
G:\Programmi\Internet Explorer\iexplore.exe
G:\Documents and Settings\Peppe\Desktop\Hihacks\startuplist\StartupList.exe
G:\Documents and Settings\Peppe\Desktop\Hihacks\startuplist\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[G:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica]
BTTray.lnk = ?
Microsoft Office.lnk = G:\Programmi\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = G:\WINDOWS\system32\userinit.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NeroCheck = G:\WINDOWS\system32\NeroCheck.exe
CDWCheckRubrica = C:\SEAT\CDItalia\Chkrub_cdi
SoundMan = soundman.exe
CARPService = carpserv.exe
GhostStartTrayApp = G:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
AVG7_CC = G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
AVG7_EMC = G:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
WinVNC = "G:\Programmi\TightVNC\WinVNC.exe" -servicehelper

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = G:\WINDOWS\System32\ctfmon.exe
MSMSGS = "G:\Programmi\Messenger\msmsgs.exe" /background

--------------------------------------------------

Shell & screensaver key from G:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=G:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - G:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - G:\WINDOWS\winby32.dll - {5B86A516-4121-F602-C428-DD7BCCE4EE39}

--------------------------------------------------

Enumerating Download Program Files:

[{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]
InProcServer32 = G:\WINDOWS\Downloaded Program Files\AdStatServX.dll
CODEBASE = http://static.windupdates.com/cab/CDTIn ... ge-c46.cab

[WUWebControl Class]
InProcServer32 = G:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.com/v ... 6386361203

[Anonymizer Anti-Spyware Scanner]
InProcServer32 = G:\WINDOWS\Downloaded Program Files\WebAAS.dll
CODEBASE = http://download.zonelabs.com/bin/promot ... WebAAS.cab

[Shockwave Flash Object]
InProcServer32 = G:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: G:\WINDOWS\system32\SHELL32.dll
CDBurn: G:\WINDOWS\system32\SHELL32.dll
WebCheck: G:\WINDOWS\System32\webcheck.dll
SysTray: G:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.431 bytes
Report generated in 0,047 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
kinowa
Newbie
 
Post: 2
Iscritto il: 25/01/05 15:56

Postdi Dylan666 » 26/01/05 23:33

Non ho capito il log che lo hai postato a fare. Ma il virus ricompare ciclicamente? Risolta se fai una nuova scansione anche se prima sembrava eliminato? Se sì allora leggi qui:

http://www.pc-facile.com/guide.php?t=148946
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "Virus dowloader trojans e backdoor agent":


Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti