Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

probabile trojan che non si elimina...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi maryepucci » 19/07/06 09:52

X Tiseria:

grazie credo che almeno abbiamo individuato il problema infatti ho fatto analizzare un file e mi hanno risposto così:

Il suo computer è infetto da Trojan.Win32.Rootkit.D (http://www.malwarelist.org/startup/scheda.asp?num=3039) oppure Trojan.Win32.Rootkit.E (http://www.malwarelist.org/startup/scheda.asp?num=3074)


22 - 19/07/2006 - 10:51:25
17
AppInit_DLLs
C:\:odbcinrx.ini <---------- ROOTKIT
Stato: File TROVATO

ma non riesco ad eliminarlo...forse è troppo complicato :cry:

aiutatemi please!!!
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Sponsor
 

Postdi maryepucci » 19/07/06 09:53

Andorra che significa

andorra24 ha scritto: Questo presunto trojan te lo rileva AMON o IMON?
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi andorra24 » 19/07/06 10:02

maryepucci ha scritto:Andorra che significa

andorra24 ha scritto: Questo presunto trojan te lo rileva AMON o IMON?

Chiedevo per capire se il trojan ti e' stato trovato dal web scanner (IMON) durante la navigazione o dal resident shield (AMON).
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi maryepucci » 19/07/06 11:15

Ragazzi allora li ho trovati sono due:

stanno in c\programmi\filecomuni\system

sono due .exe e Xp li segnala in verde
cambiano continuamente nome :evil: ora si chiamano

WWa.exe e QvyYc.exe

ma il nome è indicativo perchè cambia continuamente...

sono file nascosti e di sola lettura (non modificabili) e quando ci vado sopra (per eliminarli) non me li fà eliminare....

qualcuno sà come farli scomparire???????????
:aaah
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi maryepucci » 19/07/06 11:52

ragazzi un'altra cosa impossibile!!!!!!!

ho fatto la scansione con hijackthis e uno dei due esce eccolo:

Logfile of HijackThis v1.99.0
Scan saved at 13.30.22, on 19/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\HP\HP Software Update\HPWuSchd.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Eset\nod32.exe
C:\Programmi\DataBrain\DataBrain.exe
C:\Programmi\Outlook Express\msimn.exe
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\Rar$EX00.047\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.infoimprese.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CDWCheckRubrica] C:\SEAT\CDItalia\Chkrub_cdi
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B76AAEB-55AC-4791-8617-449E45DC6705}: NameServer = 213.140.2.12,213.140.2.21
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B76AAEB-55AC-4791-8617-449E45DC6705}: NameServer = 213.140.2.12,213.140.2.21
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B76AAEB-55AC-4791-8617-449E45DC6705}: NameServer = 213.140.2.12,213.140.2.21
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programmi\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service - Unknown - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SysVii - Unknown - C:\Programmi\File comuni\System\QVyYc.exe
O23 - Service: Virit eXplorer Lite - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

ma non lo toglie!!!!!!! :evil:
e l'altro non lo vede proprio!!!!!!!!!!!!!
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi andorra24 » 19/07/06 12:03

Per la voce 023 in rosso fai questo tentativo:

start>esegui>sc stop SysVii>OK
start>esegui>sc delete SysVii>OK
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi maryepucci » 19/07/06 12:14

Andorra....
niente stà ancora là !!! :cry:
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi andorra24 » 19/07/06 12:19

andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi maryepucci » 19/07/06 13:48

ok adesso ci provo...
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi maryepucci » 19/07/06 13:57

Andorra..il primo non me lo fà installare...
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi andorra24 » 19/07/06 14:01

maryepucci ha scritto:Andorra..il primo non me lo fà installare...

ma non deve essere installato, e' standalone!
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi maryepucci » 19/07/06 14:05

andorra24 ha scritto:
maryepucci ha scritto:Andorra..il primo non me lo fà installare...

ma non deve essere installato, e' standalone!


che significa??
come si fà??
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi maryepucci » 19/07/06 14:11

dice:

Your computer setting may prevent acquiring these privileges.
A malicious program might have disabled these privileges.

:?:
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi andorra24 » 19/07/06 15:01

maryepucci ha scritto:dice:

Your computer setting may prevent acquiring these privileges.
A malicious program might have disabled these privileges.

:?:

Vai in modalita' provvisoria ed entra come Ammininistratore e prova a rilanciare quel tool.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi maryepucci » 19/07/06 15:08

ok....
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi maryepucci » 19/07/06 17:04

Andorra li ho eliminati grazie al consiglio di Triseria!!!

nel link che mi aveva dato c'era scritto:

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.


solo che bisognava farlo in modalità provisoria!! Li ho cancellati!!!!! Infami!!!
Speriamo che domani non mi riesce l'allarme di nod :lol:
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi andorra24 » 19/07/06 17:44

Bene, mi fa piacere. Finalmente ti sei liberata di quella seccatura. Era davvero un osso duro. :)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Tiseria » 20/07/06 08:04

maryepucci ha scritto:Andorra li ho eliminati grazie al consiglio di Triseria!!!

nel link che mi aveva dato c'era scritto:

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.


solo che bisognava farlo in modalità provisoria!! Li ho cancellati!!!!! Infami!!!
Speriamo che domani non mi riesce l'allarme di nod :lol:



Il malware è composto da più trojan, come specificato nell'articolo:

Il malware è costituito dai più file, o meglio da più trojan:
1) c:\windows\temp\[random]1.exe
2) \\?\c:\windows\[nome file non permesso: com, lpt] oppure c:\:[adsstream] (Rootkit)
3) servizio con nome casuale (creato da un nuovo utente), che esegue un file crittografato da c:\programmi o c:\programmi\file comuni\system o c:\programmi\file comuni\Microsoft Shared


Molti utenti infetti, sono stati in grado di rimuovere i trojan segnalati dal proprio antivirus o quelli più facilmente riconoscibili (come il c:\windows\temp\[random]1.exe), ma sono ancora ignari che nel loro computer sia presente un'ulteriore malware ospite con tecnologia rootkit.


Per ora ti sei limitato ad eliminare il caso 3 (FASE 1 e fase 3), ma non è ben chiaro dai tuoi messaggi se hai eliminato il rootkit.

Nel tuo caso è un ADS:
22 - 19/07/2006 - 10:51:25
17
AppInit_DLLs
C:\:odbcinrx.ini <---------- ROOTKIT
Stato: File TROVATO


Devi fare la FASE 2 dell'articolo che ti ho linkato e dopo eseguire la scansione con Virit.
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi maryepucci » 20/07/06 14:34

parli di questa??:

FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 a seconda della variante,
e dopo clickare varie volte sul pulsante "Kill Thread"

Rootkit
valore

Trojan.Win32.Rootkit.D
2a93671a

Trojan.Win32.Rootkit.E
3ee85b73


N.B: Si consiglia di ripetere l'operazione di Kill Thread per entrambi i valori indicati

6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit chiuso ad icona, clickare sul valore di AppInit_DLLs per modificarlo, scrivere adesso: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verifcare se su AppInit_DLLs rimane scritto ancora Prova.dll
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer per riavviarlo brutalmente (importante).

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"


Tiseria l'ho fatto ma al successivo riavvio "AppInit_DLLs " non era uguale a "Prova.dll" ma rimaneva "AppInit_DLLs" ...

che significa secondo te???

poi ho riprovato a fare la scansione e mi diceva che non aveva trovato niente...

che devo fare??? :-?
maryepucci
Utente Senior
 
Post: 154
Iscritto il: 13/07/06 17:08

Postdi Tiseria » 20/07/06 14:42

maryepucci ha scritto:parli di questa??:

FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi.



si.

[..]
Tiseria l'ho fatto ma al successivo riavvio "AppInit_DLLs " non era uguale a "Prova.dll" ma rimaneva "AppInit_DLLs" ...

che significa secondo te???



Che sei ancora infetto dal rootkit.

Devi guardare la key 17 di AppInit_DLLs da VirIT lite Monitor, se ti segnala come dato: C:\:odbcinrx.ini

Vuoldire che il rootkit è ancora lì.

Come c'e' scritto nell'articolo devi ripetere la fase 2.

poi ho riprovato a fare la scansione e mi diceva che non aveva trovato niente...

che devo fare??? :-?


Prima devi terminare la fase 2 in modo corretto, e dopo esegui la scansione con Virit.

Aggiorna Virit all'ultima versione e dopo ripeti la fase 2.
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "probabile trojan che non si elimina...":

probabile infezione
Autore: giadamusi
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti