Condividi:        

Hidn2 non ho più idee...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Hidn2 non ho più idee...

Postdi Atroban » 02/12/06 17:08

Ciao a tutti,
sto passando notti insonni a sistemare il mio pc... mi son beccato un virus particolarmente "simpatico" e devo assolutamente consegare un lavoro per lunedì ma il pc a volte mi propone coloratissime schermate BLU di errori di sistema...

con ordine...

le mie armi difensive erano:

-AVG free
-Zone Alarm
-Spybot


questi son stafi fatti bellamente saltare e non sono + installabili... mentre mi è rimasto miracolosamente funzionante AVG antispyware...

Ve la taglio un bel po', ora mi ritrovo in questa situazione:
-ho un buon firewall installato (C.O.M.O.D.O.) ma non riesco a debellare il virus che puntualmente si ripresenta con simpaticissime schermate blu.

Si tratta di hidn2.exe o hidn, tutti i tool che ho trovato per eliminarlo specificano un riavvio in modalità provvisoria che non posso fare visto che, se la imposto, ho come risultato una schermata blu appena riparte il pc (cautelativa di windows per proteggersi da danneggiamenti).

Non trovo altre soluzioni e le scansioni online non fanno niente visto che il file si nasconde benissimo, lo si può trovare in "Dati Applicazioni" ma non vedo la cartella (so che c'è grazie a vecchio promtDOS e ai comandi come RM o DEL che noticicano la presenza della cartella/file ma sensa poterli eliminare perché in esecuzione...

...PLEASE HELP ME!

grazie a tutti!
;)
------carpe diem------
Atroban
Utente Senior
 
Post: 210
Iscritto il: 13/01/05 23:34
Località: Provincia di Brescia

Sponsor
 

Postdi Luke57 » 02/12/06 19:05

Ciao, prova con stinger 2.6.0 da qui:
http://download.nai.com/products/mcafee ... tng260.exe
non ha bisogno di essere installato, fai uno scan completo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Atroban » 03/12/06 11:32

Grazie Luke57...
...ma non ha sortito l'effetto desiderato... :cry:

:aaah si accettano altri consigli!!!!!!!!

Grazie!
------carpe diem------
Atroban
Utente Senior
 
Post: 210
Iscritto il: 13/01/05 23:34
Località: Provincia di Brescia

Postdi Atroban » 03/12/06 11:56

Tanto per essere più chiari, ho sottoposto il file (conoscendone il path grazie alla segnalazione del firewall) a VirusTotal (http://www.virustotal.com)

questo ne è il risultato Immagine

La maggior parte delle volte viene segnalato come Worm.Bagle ma di diversi rami... :undecided:
------carpe diem------
Atroban
Utente Senior
 
Post: 210
Iscritto il: 13/01/05 23:34
Località: Provincia di Brescia

Postdi Luke57 » 03/12/06 12:09

Ciao, posta un log di HIJACKTHIS
http://www.majorgeeks.com/download3155.html

Estrai il contenuto del file .zip n una cartella permanente appositamente creata, per esempio C:\HJT, non cartelle temporanee come Desktop oppure C:\Windows\temp. Nella cartella permanente il programma crea una cartella di backup delle voci eventualmente rimosse.
Chiudi tutte le applicazioni aperte
Avvia HiJackThis con doppio click sull'eseguibile (hijackthis.exe)
Clicca su DO A SYSTEM SCAN AND SAVE LOGFILE
Attendi che finisca la scansione e che si apra in automatico un foglio di blocco note scritto
Copia il contenuto del file di testo e incollalo in un post nel forum.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Atroban » 03/12/06 12:24

OK, non volevo appesantire il post con un log hijackThis anche perché quando l'ho letto io ieri non ho trovato niente di eclatante... :undecided:

Logfile of HijackThis v1.99.1
Scan saved at 12.19.29, on 03/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Comodo\common\CAVASpy\cavasm.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\TOSHIBA\Power Management\CePMTray.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Comodo\Comodo AntiVirus\CMain.exe
C:\Programmi\Comodo\LaunchPad\CLPTray.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Comodo\Comodo AntiVirus\Cavaud.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\HIJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inpunto.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy2\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EzButton] C:\Programmi\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [CeEPOWER] C:\Programmi\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Comodo Firewall] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [cnfgCav] "C:\Programmi\Comodo\Comodo AntiVirus\CMain.exe" " /login"
O4 - HKLM\..\Run: [Comodo Launch Pad Tray] C:\Programmi\Comodo\LaunchPad\CLPTray.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://fisso:2000/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53CEA873-6E69-49E6-87A1-7132815C9A0E}: NameServer = 80.20.6.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{53CEA873-6E69-49E6-87A1-7132815C9A0E}: NameServer = 80.20.6.36
O17 - HKLM\System\CS3\Services\Tcpip\..\{53CEA873-6E69-49E6-87A1-7132815C9A0E}: NameServer = 80.20.6.36
O17 - HKLM\System\CS4\Services\Tcpip\..\{53CEA873-6E69-49E6-87A1-7132815C9A0E}: NameServer = 80.20.6.36
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe (file missing)
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programmi\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Comodo Anti-Virus and Anti-Spyware Service - Comodo Inc. - C:\Programmi\Comodo\common\CAVASpy\cavasm.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe

Grazie!
------carpe diem------
Atroban
Utente Senior
 
Post: 210
Iscritto il: 13/01/05 23:34
Località: Provincia di Brescia

Postdi Luke57 » 03/12/06 12:48

Ciao, prova a seguire le indicazioni di questo link:
http://www.trendmicro.com/vinfo/virusen ... FF&VSect=T

Se non sono sufficienti,
scarica sul desktop GMER: http://www.gmer.net/gmer.zip
scopatta, sempre sul desktop il file gmer.zip.
Esegui gmer.exe (se ti appare il messaggio "impossibile trovare il file clicca su OK)
Clicca sul Tab "Rootkit", spunta anche la casella ADS
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note e salva il file.

Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan", metti la spunta a “show all”.
finita la scansione clicca su "Copy"
Apri il Blocco Note precedente, inserisci anche questo report, poi incolli i due report in un post.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Atroban » 03/12/06 14:41

Ok, per quanto riguarda le istruzioni suggerite dal sito trendmicro ho fatto il possibile killando il processo... ed ecco il log dell'autostart per l'altro (rootkit) ci impiega un tempo esageratamente lungo...

http://www.lasagradetocc.org/AutoStart.txt
------carpe diem------
Atroban
Utente Senior
 
Post: 210
Iscritto il: 13/01/05 23:34
Località: Provincia di Brescia

Postdi Luke57 » 03/12/06 16:14

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key

Folders to delete:
C:\Documents and Settings\Paolo\Dati applicazioni\hidn


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script

Inoltre, apri il registro di sistema:
start>esegui>regedit (lo digiti nello spazio)>OK
segui questo percorso, ciccando sul segno + accanto alle singole voci:
HKEY_CURRENT_USER>Software
Localizzi, se c’è, nel pannello di destra:
FirstRuxzx
La evidenzi con il tasto dx e scegli Elimina.
Chiudi il registro.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Atroban » 05/12/06 00:33

Rieccomi!
Grazie mille Luke57!!!

alla fine domenica mi son messo d'impegno soprattutto grazie a "gmer" e con calma ho ripulito le chiavi di registro, risettandone un po' e soprattutto cancellando i files virulenti avendo potuto fermare il processo che li nascondeva e ne impediva la cancellazzione, quindi dopo averti ringraziato per la tanto preziosa quanto celere assistenza non posso che lodare GMER, :D

dato il caos creatosi nel mio pc credo che una formattatina non guasterà (soprattutto perché già preventivata) mi rimarrà sempre il dubbio su come possa essermi entrato un virus tanto simpatico visto che sono sempre super attento e ho buoni sistemi di sicurezza...

almeno credevo!

Grazie ancora! ;)
------carpe diem------
Atroban
Utente Senior
 
Post: 210
Iscritto il: 13/01/05 23:34
Località: Provincia di Brescia


Torna a Sicurezza e Privacy


Topic correlati a "Hidn2 non ho più idee...":


Chi c’è in linea

Visitano il forum: Nessuno e 26 ospiti