Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Qualcuno sa qualcosa sul troyan phel.l??

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Qualcuno sa qualcosa sul troyan phel.l??

Postdi Drakar » 31/01/06 01:01

ho preso questo troyan, phel.l, che mi termina la connessione ad internet.
Personalmente l'ho trovato utilizzando il nod32 ma nn credo me l'abbia eliminato, non trova nient'altro più ma mi continua a cadere la connessione.
Ho anche provato ad utilizzare a-squared e spybot ma niente, non lo trovano.

Ho letto che in questi casi si postano i risultati di quel programma per i processi del quale ora mi sfugge il nome, ve li posto qui, sperando che qualcuno mi possa aiutare.

Grazie a tutti

Logfile of HijackThis v1.99.1
Scan saved at 10.36.08, on 30/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\2kadiras.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Hackjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [xitami] C:\Documents and Settings\Armando\Desktop\xitami-25\app\xigui32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v ... b34246.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Sponsor
 

Postdi Luke9792005 » 31/01/06 03:00

Ciao.

O4 - HKLM\..\Run: [xitami] C:\Documents and Settings\Armando\Desktop\xitami-25\app\xigui32.exe Sai di cosa si tratta?

O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing) Da fixare.

A parte queste 2 voci, il log mi sembra pulito.

Ho fatto una ricerca veloce sul "visitatore" di cui parli, ma non ho trovato nulla e (fortunatamente) non ci ho mai avuto a che fare.

Prova a fare una scansione antivirus on-line su uno dei siti seguenti:
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan ... &Partner=1

Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi Drakar » 31/01/06 10:33

anche a me sinceramente sembrava abbastanza pulito, ma essendo inesperto credevo fortemente di sbagliare.
Il nod32 non mi trova virus ora, me lo trovò solo il giorno che l'ho rilevato, ma nn su un file, me lo trova come "messaggio e-mail" proveniente da http://www.isuckall.com/it912/wyrahq.php.
Per questo fatto che non me lo trova su file penso che non me lo faccia nemmeno fixare, però nn saprei..

Confido in un vostro aiuto, grazie
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Drakar » 31/01/06 10:59

fatto la scansione con il primo antivirus che mi hai dato... non mi trova niente, peroò la connessione mi continua a cadere, e il virus fa proprio questo, cioè fa cadere la connessione con degli exploit...
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Drakar » 31/01/06 13:46

mi e' appena ricaduta la connessione per colpa del trojan...
non è servito fixare quelle due cose
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Luke57 » 31/01/06 15:22

Ciao, scarica ewido security suite ( è un programma shareware-freeware, nel senso che dopo 14 gg.perde la protezione in real time, ma può essere aggiornato manualmente e utilizzato per fare scansioni). Qui
http://www.pc-facile.com/forum/viewtopic.php?t=41394
trovi il link per scaricarlo e le istruzioni d'uso.
Posta poi il log della scansione.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Drakar » 31/01/06 17:22

Luke57 ha scritto:Ciao, scarica ewido security suite ( è un programma shareware-freeware, nel senso che dopo 14 gg.perde la protezione in real time, ma può essere aggiornato manualmente e utilizzato per fare scansioni). Qui
http://www.pc-facile.com/forum/viewtopic.php?t=41394
trovi il link per scaricarlo e le istruzioni d'uso.
Posta poi il log della scansione.


ma è un antivirus? devo disattivare il nod32?
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Luke57 » 31/01/06 17:41

No, è un anti malware, trojan, dialer che convive benissimo con l'antivirus.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Drakar » 31/01/06 18:59

---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 18.52.53, 31/01/2006
+ Report-Checksum: A03AC121

+ Risultati scansione:

C:\Documents and Settings\Armando\Cookies\armando@ad.adocean[1].txt -> Spyware.Cookie.Adocean : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@adopt.euroclick[2].txt -> Spyware.Cookie.Euroclick : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@ads20.bpath[1].txt -> Spyware.Cookie.Bpath : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@ads43.bpath[1].txt -> Spyware.Cookie.Bpath : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@e-2dj6wjl4chajiap.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@ilead.itrack[1].txt -> Spyware.Cookie.Itrack : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@metacafe.122.2o7[1].txt -> Spyware.Cookie.2o7 : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@msnportal.112.2o7[1].txt -> Spyware.Cookie.2o7 : Pulito con Backup
C:\Documents and Settings\Armando\Cookies\armando@symantec.122.2o7[1].txt -> Spyware.Cookie.2o7 : Pulito con Backup
C:\Programmi\ADSL\StarModem ADSL USB MODEM\DrvBackup\WINDOWS\autoclk.exe -> Trojan.Klacc.B : Pulito con Backup
C:\WINDOWS\autoclk.exe -> Trojan.Klacc.B : Pulito con Backup


::Fine Rapporto

METTO ANCHE IL LOG DI HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 18.57.26, on 31/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\2kadiras.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Hackjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v ... b34246.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


PS. dopo aver usato ewido, prima di poter postare ho dovuto riavviare il router, mi era ricaduta la connessione
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi pampam » 31/01/06 19:04

ciao ho un virus ho fatto questo per sapere se ho virus, voi ne capite qualcosa, io sono un po rinco!!! grazieLogfile of HijackThis v1.99.1
Scan saved at 18.40.42, on 31/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\c3R1ZGlvY2FzYQ\command.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\windows\winsysban4.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Network Monitor\netmon.exe
C:\Programmi\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
c:\windows\system32\dllcache\userlist.exe
C:\Programmi\File comuni\Windows\services32.exe
c:\windows\system32\dllcache\runbatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\HELPExpress\bin\mpbtn.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programmi\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\stc\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/home/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\awtsr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINDOWS\System32\steam.dll,start
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd4.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban4.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programmi\BullsEye Network\bin\bargains.exe
O4 - HKCU\..\Run: [services32] C:\Programmi\File comuni\Windows\mc-110-12-0000247.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programmi\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {C606BA60-AB76-48B6-96A7-2C4D5C386F70} (PreQualifier Class) - file://C:\Programmi\Tin.it\AdslWizzy\Guida\pctester\files\MotivePreQual.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC9D7A09-A583-4A63-9F09-743A9E653452}: NameServer = 62.211.69.150 212.48.4.15
O20 - Winlogon Notify: awtsr - C:\WINDOWS\SYSTEM32\awtsr.dll
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l4j8le1u1h.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\c3R1ZGlvY2FzYQ\command.exe
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
pampam
Utente Junior
 
Post: 16
Iscritto il: 31/01/06 09:45

Postdi Drakar » 31/01/06 19:11

si ok pampam ma perchè farlo nel mio tread? :D

cmq, volevo solo aggiornare che il problema non è risolto, mi è appena ricrashata per 3 volte la connessione, dopo circa 5min di utilizzo dal ripristino, e poi successivamente ad intervalli di circa 2min l'uno dall'altro...

Nn è tanto simpaticao come cosa. lo tengo da una settimana sto schifoso virus o quel che è :evil: :evil: :evil:
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Heba » 31/01/06 19:45

per spam?... :roll: ...ha aperto venticinque topic con lo stesso log e la stessa richiesta, senza offesa, ma non è molto utile un comportamento del genere a mio avviso Pampam :undecided:
In internet il saper leggere equivale al saper ascoltare nella realtà.
Chi sa ascoltare possiede le chiavi di molte porte.
Heba
Utente Senior
 
Post: 509
Iscritto il: 16/06/05 15:09
Località: Cremona

Postdi Drakar » 31/01/06 19:49

Heba ha scritto:per spam?... :roll: ...ha aperto venticinque topic con lo stesso log e la stessa richiesta, senza offesa, ma non è molto utile un comportamento del genere a mio avviso Pampam :undecided:


mmm si l'avevo pensato...

qualcosa riguardo questo fetentissimo trojan te la sai? sto impazzendo
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Luke57 » 31/01/06 20:05

Ciao, scusa ma in mezzo a tanta confusione pampanesca ;) non si capisce più niente. Il log sembra pulito, hai usato ewido in modalità provvisoria e dopo aver disattivato il ripristino configurazione di sistema? Se no, rifai la scansione dopo queste operazioni. L'unica voce da levare con hijackthis è questa
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
vai su start>esegui>services.msc ( lo scrivi nello spazio bianco), cerchi il suddetto servizio (MySQL), doppio click su di esso, imposti a disabilitato. Apri hijackthis, premi "do a system scan only", cerchi e metti il segno di spunta alla voce
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
premi fixchecked.
Riavvii in modalità provvisoria (A. Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
cancelli i file temp e tmp di windows (start>cerca>tutti i file e cartelle>copi e incolli *temp;*.tmp ed elimina tutto, così fai per i file temporanei di IE, cookies, cronologia, svuoti il cestino. Su pannello di controllo, installazioni/applicazioni cancelli tutte le voci che non hai installato tu.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Drakar » 31/01/06 20:14

Luke57 ha scritto:Ciao, scusa ma in mezzo a tanta confusione pampanesca ;) non si capisce più niente. Il log sembra pulito, hai usato ewido in modalità provvisoria e dopo aver disattivato il ripristino configurazione di sistema? Se no, rifai la scansione dopo queste operazioni. L'unica voce da levare con hijackthis è questa
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
vai su start>esegui>services.msc ( lo scrivi nello spazio bianco), cerchi il suddetto servizio (MySQL), doppio click su di esso, imposti a disabilitato. Apri hijackthis, premi "do a system scan only", cerchi e metti il segno di spunta alla voce
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
premi fixchecked.
Riavvii in modalità provvisoria (A. Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
cancelli i file temp e tmp di windows (start>cerca>tutti i file e cartelle>copi e incolli *temp;*.tmp ed elimina tutto, così fai per i file temporanei di IE, cookies, cronologia, svuoti il cestino. Su pannello di controllo, installazioni/applicazioni cancelli tutte le voci che non hai installato tu.


allora il mysql è il servizio webserver che ho installato sul mio pc, se lo tolgo non funziona più il webserver e cmq lo tengo da un sacco di tempo non penso sia quello.

Per il resto
1. la scansione l'ho fatta in modalità provvisoria con il ripristino disabilitato
2. ho anche eliminato i file temporanei che mi ha trovato ma niente, continua a cadere... non so che fare
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Drakar » 31/01/06 22:40

niente, fatto tutto quello che hai detto e come hai detto tu luke....

continua a cadermi la connessione a intervalli irregolari e senza motivo
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Luke57 » 01/02/06 08:36

Ciao di nuovo, hai provato a fare uan scansione con kaspersky?
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Il trojan da te indicato è inserito nel suo database e kaspersky on line, anche se non li cancella, per la rilevazione di ospiti sgraditi è notevole. Altrimenti valuta altre possibilità, tipo malfunzionamento del modem.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Drakar » 01/02/06 10:21

Luke57 ha scritto:Ciao di nuovo, hai provato a fare uan scansione con kaspersky?
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Il trojan da te indicato è inserito nel suo database e kaspersky on line, anche se non li cancella, per la rilevazione di ospiti sgraditi è notevole. Altrimenti valuta altre possibilità, tipo malfunzionamento del modem.


ora provo.
Allora tengo un router e nn un modem, e nn penso sia un malfunzionamento, perchè lo fa sempre in una certa fascia oraria e il nod quando mi ha rilevato questo virus mi diceva che come azione compita aveva fatto "connessione terminata".
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Drakar » 01/02/06 17:48

fatto la scansione, mi ha trovato delle cose ma non quello che cercavo...

mi è caduta la connessione 1min fa...

maledetto virus che devo fare? può darsi anche che sia qualche altro trojan ma è qualche software maligno, non ha senso che mi cade sempre tra le 17 e le 21 la connessione
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Postdi Drakar » 01/02/06 18:16

Volevo farti vedere come me lo rileva questo virus il nod32

allego l'immagine cosi forse ci capiamo meglio

Immagine

vedi come azione dice connessione terminata
Drakar
Utente Junior
 
Post: 42
Iscritto il: 30/01/06 02:27

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Qualcuno sa qualcosa sul troyan phel.l??":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti