Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Trojan, Virus o che....?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Trojan, Virus o che....?

Postdi mlosavio » 26/12/05 08:30

Ciao a tutti,
penso di essere sufficientemente protetto (AVG come antovirus, Sygate come Firewall, lancio spesso AdWare come Spyware...) ma ovviamente non e' mai sufficiente.
All'improvviso, da un paio di giorni, tutte le volte che attivo Internet Explorer il firewall mi blocca un tentativo di accesso al mail server (mail.clubnet.tin.it) di una casella tin.it che ho configurata.
Il file che tenta di accedere e' un eseguibile con un nome che sembra generato al momento che viene creato nella directory:
"Documents and Settings\Marco\Impostazioni Locali\Temp".
Ecco alcuni dei nomi generati:

sm8.d.exe
sm8.9.exe
sm3oc.1.exe

e cosi' via.

Ho effettuato una scansione totale del sistema con AVG e non mi risultano virus. Ho effettuato una scansione totale con AdWare e tranne qualche coockie (tra l'altro da me autorizzato esplicitamente) non c'e' altro...
Di seguito il log HijackThis nel quale non rilevo l'eseguibile ultimo bloccato
(era in atto una ennesima scansione di AVG e c'era a video il form di Sygate che mi bloccava l'ennesimo tentativo)

Qualcuno puo' gentilmente aiutarmi?
Grazie mille e auguri.
Marco



Logfile of HijackThis v1.99.1
Scan saved at 8.20.40, on 26/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearchIndexer.exe
I:\www.JazzItalia.net\Programmi\J-Manager\J-Manager.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearchFilter.exe
C:\Programmi\Jasc Software Inc\Paint Shop Pro 9\Paint Shop Pro 9.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearchFilter.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Microsoft Visual Studio\Common\IDE\IDE98\devenv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
C:\Programmi\DBTools Software\DBManagerPro\DBManagerPro.exe
C:\DOCUME~1\Marco\IMPOST~1\Temp\s3mc.1.exe
H:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\system32\gtrack.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O2 - BHO: IE Agent - {CC56A1F3-9B83-45FF-8CB6-D58959492F0F} - C:\WINDOWS\system32\kaboom.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O3 - Toolbar: Sauce Reader - {a8f0736c-0b1a-4995-b239-843cd7f5f442} - mscoree.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Free Download Manager] C:\Programmi\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll/search.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Open in new background tab - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/229?620933293c5d48ba901e3a52dbfe8e35
O8 - Extra context menu item: Open in new foreground tab - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/230?620933293c5d48ba901e3a52dbfe8e35
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Programmi\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.c ... hcImpl.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
mlosavio
Newbie
 
Post: 4
Iscritto il: 26/12/05 07:55

Sponsor
 

Postdi Luke57 » 26/12/05 12:33

Ciao e auguri, scarica Ewido Security Suite http://www.ewido.net/en/download/ e CCleaner ultima versione da qui http://news.swzone.it/swznews-16590.php, è ottimo per la cancellazione di file temporanei di windows e IE.
Installa ewido security suite
Lancia ewido, doppio click sull'icona con una grande E sul desktop.
Il programma chiederà di fare l'update, click su OK
Apparirà la schermata principale del programma dove è necessario
aggiornare ewido alle ultime definizioni delle firme dei virus.
Sulla parte sinistra della schermata principale click su update
Click su Start
L' update partirà ed una barra mostrerà la progressione dell'aggiornamento.
Una volta che l'aggiornamento sarà completato :
disattiva ripristino configurazione di sistema
Riavvi il sistema in modalità provvisoria
Avvia Ewido. Click su scanner Assicurati che le seguenti caselle siano spuntate:
Binder
Crypter
Archives
Click su Start Scan
Attendi la conclusione della scansione
Mentre la scansione è attiva può presentarsi la richiesta di fare il clean del primo file infetto che trova. Scegli "clean"
e spunta la casella "Perform action on all infections" nell'angolo a sinistra della finestra in modo da far effettuare da Ewido
automaticamente l'operazione ad ogni file infetto, Click su ok.
Una volta terminata la scansione click sul pulsante in basso sulla finestra "Save report"
Salva il report sul desktop,
Fai una scansione con AGV sempre dalla modalità provvisoria. Elimina con CCleaner file temporanei di windows, cookies, cache di IE , cestino( in pratica clicchi sul programma, si apre sulla voce windows e spunti tutte le caselline sotto la voce Internet Explorer e sotto Sistema, poi cliicchi analizza e avvia Cleaner che ti cancella la roba indicata nelle caselline, chiudi il programma).
Posta nuovo log di hiajckthis
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

niente da fare....

Postdi mlosavio » 26/12/05 18:05

Ciao,
ti ringrazio per il suggerimento. Ho eseguito le istruzioni che mi hai fornito (ottimo software Ewido, no lo conoscevo) ma purtroppo al termine della faticosa pulizia (che ha rilevato circa 60 file sospetti!) al riavvio del sistema....ecco che di ricompare il fastidiosissimo signorino.

Questo e' sia il dettaglio che mi indica il firewall Sygate che il nuovo Hijackthis log:

SYGATE:

File Version :
File Description : C:\Documents and Settings\Marco\Impostazioni locali\Temp\s2sc.1.exe
File Path : C:\Documents and Settings\Marco\Impostazioni locali\Temp\s2sc.1.exe
Process ID : 0xFCC (Heximal) 4044 (Decimal)

Connection origin : local initiated
Protocol : TCP
Local Address : 192.168.0.2
Local Port : 1079
Remote Name : mail.clubnet.tin.it
Remote Address : 62.211.72.20
Remote Port : 25 (SMTP - Simple Mail Transfer Protocol)

Ethernet packet details:
Ethernet II (Packet Length: 76)
Destination: 00-0f-b5-7e-71-5a
Source: 00-0f-ea-c3-52-12
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xf6a8 (Correct)
Source: 192.168.0.2
Destination: 62.211.72.20
Transmission Control Protocol (TCP)
Source port: 1079
Destination port: 25
Sequence number: 893394145
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x1ce5 (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: 00 0F B5 7E 71 5A 00 0F : EA C3 52 12 08 00 45 00 | ...~qZ....R...E.
0010: 00 30 0A 40 40 00 80 06 : A8 F6 C0 A8 00 02 3E D3 | .0.@@.........>.
0020: 48 14 04 37 00 19 35 40 : 1C E1 00 00 00 00 70 02 | H..7..5@......p.
0030: FF FF E5 1C 00 00 02 04 : 05 B4 01 01 04 02 75 62 | ..............ub
0040: 6E 65 74 03 74 69 6E 02 : 69 74 00 00 | net.tin.it..





HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 18.01.04, on 26/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearchIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
H:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\system32\gtrack.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O2 - BHO: IE Agent - {CC56A1F3-9B83-45FF-8CB6-D58959492F0F} - C:\WINDOWS\system32\kaboom.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O3 - Toolbar: Sauce Reader - {a8f0736c-0b1a-4995-b239-843cd7f5f442} - mscoree.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll/search.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Open in new background tab - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/229?620933293c5d48ba901e3a52dbfe8e35
O8 - Extra context menu item: Open in new foreground tab - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/230?620933293c5d48ba901e3a52dbfe8e35
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Programmi\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.c ... hcImpl.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe


Altri suggerimenti?
Grazie ancora per il supporto
ciao
marco
mlosavio
Newbie
 
Post: 4
Iscritto il: 26/12/05 07:55

Postdi Luke57 » 26/12/05 19:45

Proviamo con hijackthis, metti l'eseguibile del programma in una cartella del disco fisso, nè desktop nè temporanea, es.C\HJT, in modo che si possa fare il backup in caso di errori.
Chiudi il browser, disconnesso da internet, lanci il programma, premi "do a system scan only", metti il segno di spunta alle seguenti voci:
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe ( se non sai cosa è)
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\system32\gtrack.dll
O2 - BHO: IE Agent - {CC56A1F3-9B83-45FF-8CB6-D58959492F0F} - C:\WINDOWS\system32\kaboom.dll
O3 - Toolbar: Sauce Reader - {a8f0736c-0b1a-4995-b239-843cd7f5f442} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll/search.htm
O8 - Extra context menu item: Open in new background tab - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/229?620933293c5d48ba901e3a52dbfe8e 35
O8 - Extra context menu item: Open in new foreground tab - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/230?620933293c5d48ba901e3a52dbfe8e 35
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Programmi\Advanced JPEG Compressor\ajcieex.htm
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
Premi "fix checked"
Dalla modalità provvisoria, dopo aver reso visibili file e cartelle ( da esplora risorse clicchi strumenti>opzioni cartella>Visualizzazione, metti la spunta a “Visualizza file e cartelle nascoste”) cerchi e cancelli i seguenti file:
C:\Programmi\DAP\DAPBHO.dll
C:\WINDOWS\system32\gtrack.dll
C:\WINDOWS\system32\kaboom.dll
Con CCleaner pulisci file temporanei di windows, IE, cookies, cestino. Cancella da pannello di controllo, installazioni\applicazioni, i programmi che non hai installato tu. Fai una scansion con antivirus aggiornato, sempre dalla modalità provvisoria.
Posta nuovo log.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

ancora niente....

Postdi mlosavio » 27/12/05 09:31

Ciao,
purtropo ancora niente.
Il problema e' sicuramente legato a
O2 - BHO: IE Agent - {CC56A1F3-9B83-45FF-8CB6-D58959492F0F} - C:\WINDOWS\system32\kaboom.dll

Ho trovato varie segnalazioni e cio' che accade a me e' proprio quello che questo signore cerca di fare. Ovviamente, avendo il firewall non mi succede nulla ma averlo sul computer mi infastidisce anche perche' devo bloccare un eseguibile ogni volta che attivo Explorer.

Ho eseguito tutte le procedure trovare in rete anche segnalate da un MVP Microsoft e in parte coincidenti con cio' che gia' mi avevi consigliato tu ma niente.
Ho eliminato manualmente tutti i riferimenti nel registry compresi quelli indiretti collegati al suo GUID. Ho eliminato tutti i programmi collegati ad Explorer (ad es. ActiveX). Ma niente, si replica immediatamente.

Che fare? Possibile che in rete ci sono solo consigli generici su come si eliminano i malware e non uno specifico su come si elimina kaboom.dll?

boh...Tu mi suggerisci qualcos'altro?
Pensavo di installarmi un regmonitor in modo da capire quale processo crea le chiavi nel registry collegate ad Explorer...Non che sia molto fiducioso ma piuttosto che non fare nulla...

ciao e grazie mille per l'aiuto.
Marco
mlosavio
Newbie
 
Post: 4
Iscritto il: 26/12/05 07:55

Postdi Er-Gladiatore » 27/12/05 11:04

Prova ad aggiornare e scansionare con i seguenti software:

Download Elite Toolbar Remover http://www.simplytech.it/ETRemover/ETRemover_v212.zip (Non và installato [AntiMalware])

Download Ad-aware SE http://www.pianetapc.it/downloads.php?id=15 (AntiSpy)

Download SpyBot S&D http://www.pianetapc.it/downloads.php?id=17 (AntiSpy)

Giu ultimi due vann0o installati il primo no.

Se non risolvi neanche con questi prova a fare qualche scansione On-line:

Scansioni On-line: Trend Micro http://it.trendmicro-europe.com/consume ... launch.php & Kaspersky lab http://www.kaspersky.com/scanforvirus

Se non risolvi con nessuno di questi metodi cerchiamo un'altra alternativa,per ora prova e fammi sapere ciao.

P.S
Che antivirus e firewall hai?
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Re: ancora niente....

Postdi Luke57 » 27/12/05 11:39

mlosavio ha scritto:Ciao,
purtropo ancora niente.
Il problema e' sicuramente legato a
O2 - BHO: IE Agent - {CC56A1F3-9B83-45FF-8CB6-D58959492F0F} - C:\WINDOWS\system32\kaboom.dll

Ho trovato varie segnalazioni e cio' che accade a me e' proprio quello che questo signore cerca di fare. Ovviamente, avendo il firewall non mi succede nulla ma averlo sul computer mi infastidisce anche perche' devo bloccare un eseguibile ogni volta che attivo Explorer.

boh...Tu mi suggerisci qualcos'altro?

ciao e grazie mille per l'aiuto.
Marco

In effetti, il problema è quello, non ancora riconosciuto da tutte le ditte produttrici di antivirus. Ho trovato al riguardo questa discussione, il problema è analogo, mi sembra che ci siano dritte interessanti, che io non posso verificare e quindi seguila anche tu.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

ho risolto....

Postdi mlosavio » 27/12/05 12:14

con il regmon ho individuato chi effettuava questo aggiornamento automatico. GTRACKER che si cela tra i file di Google Toolbar.
Inoltre c'erano in windows\prefetch una serie di file di 18KB con il nome molto sospetto del tipo "s2tk..exe" e altri simili, proprio come quelli che venivano bloccati dal firewall.

Per eliminare il tutto quindi, posto anche per altri, ho seguito questa procedura:

1) Da Internet Explorer, menu' Strumenti->Gestione Componenti Aggiuntivi", disattivazione dell'Oggetto Helper Browser GTrack (Google Tracker" o similare...

2) Avvio di Windows in modalita' provvisoria con prompt di comandi
3) cancellazione dei file:
c:\windows\system32\gtrack.dll
c:\windows\system32\kaboom.dll

4) cancellazione dei file presenti nella directory
c:\windows\prefetch

5) Riavvio di Windows ed esecuzione di regedit e ricerca di tutto ciò che è collagato in qualche modo a:

"kaboom.dll"
"ieagent"
"gtrack.dll"
"{CC56A1F3-9B83-45FF-8CB6-D58959492F0F}"
"{B73EF4A8-B8B1-4683-8D21-AA1C1A46CAD7}"
"{88B67E52-A8D4-44AF-A199-DEE96469B7AF}"

Ora sembra non esserci più nulla, almeno spero. Se ritieni che si debba effettuare qualche altra verifica, suggerisci pure.

Grazie mille per il supporto che mi hai fornito e spero che anche altri leggano questo mio post.

ciao
marco
mlosavio
Newbie
 
Post: 4
Iscritto il: 26/12/05 07:55

Postdi Luke57 » 27/12/05 16:33

Ciao, prima di utilizzare hijackthis, scarica CwShredder da qui: http://www.ilsoftware.it/querydl.asp?ID=750 , fallo girare premendo fix, poi scarica Ewido Security Suite da qui http://www.ewido.net/en/download/ e CCleaner ultima versione da qui http://news.swzone.it/swznews-16590.php, è ottimo per la cancellazione di file temporanei di windows e IE.
Installa ewido security suite
Lancia ewido, doppio click sull'icona con una grande E sul desktop.
Il programma chiederà di fare l'update, click su OK
Apparirà la schermata principale del programma dove è necessario
aggiornare ewido alle ultime definizioni delle firme dei virus.
Sulla parte sinistra della schermata principale click su update
Click su Start
L' update partirà ed una barra mostrerà la progressione dell'aggiornamento.
Una volta che l'aggiornamento sarà completato :
disattiva ripristino configurazione di sistema
Riavvi il sistema in modalità provvisoria
Avvia Ewido. Click su scanner Assicurati che le seguenti caselle siano spuntate:
Binder
Crypter
Archives
Click su Start Scan
Attendi la conclusione della scansione
Mentre la scansione è attiva può presentarsi la richiesta di fare il clean del primo file infetto che trova. Scegli "clean"
e spunta la casella "Perform action on all infections" nell'angolo a sinistra della finestra in modo da far effettuare da Ewido
automaticamente l'operazione ad ogni file infetto, Click su ok.
Una volta terminata la scansione click sul pulsante in basso sulla finestra "Save report"
Salva il report sul desktop,
Fai una scansione con antivirus aggiornato dalla modalità provvisoria. Elimina con CCleaner file temporanei di windows, cookies, cache di IE , cestino( in pratica clicchi sul programma, si apre sulla voce windows e spunti tutte le caselline sotto la voce Internet Explorer e sotto Sistema, poi cliicchi analizza e avvia Cleaner che ti cancella la roba indicata nelle caselline, chiudi il programma). Fai anche una scansione on line, utilizzando quelle di Bitdefender o di kaspersky.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 27/12/05 16:35

Scusa, non considerare il post, era indirizzato a un altro utente. :oops: :oops:
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "Trojan, Virus o che....?":


Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti