Olimpo Informatico

[trifoglio]

Ciao a tutti, avrei bisogno di un aiuto: Penso di essere infettato...ogni tanto mi esce il messaggio di generic trojan e poi mi escono quelle famose labbra rosse di un dialer. Mi potete aiutare?
Vi ringrazio anticipatamente

[spider]

ci vuole hijackthis

HIJACKTHIS lo scarichi da qui
http://www.majorgeeks.com/download3155.html
(ci sono diversi link nella pagina per scaricarlo)
Estrai il contenuto del file .zip in una cartella permanente appositamente creata, per esempio C:\HJT, non cartelle temporanee come Desktop
oppure C:\Windows\temp. Nella cartella permanente il programma crea una cartella di backup delle voci eventualmente rimosse.
Chiudi tutte le applicazioni aperte
Avvia HiJackThis con doppio click sull'eseguibile (hijackthis.exe)
Clicca su DO A SYSTEM SCAN AND SAVE LOGFILE
Attendi che finisca la scansione e che si apra in automatico un foglio di blocco note scritto
Copia TUTTO il contenuto all'interno del foglio appena apparso
Incolla il contenuto in un post nel forum,

[Smjert]

[trifoglio]

Logfile of HijackThis v1.99.1
Scan saved at 15.08.48, on 13/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\RTHDCPL.EXE
E:\WINDOWS\ALCMTR.EXE
E:\WINDOWS\system32\RunDLL32.exe
E:\Programmi\Trust\Ami Mouse 300 Optical Dual Scroll\Amoumain.exe
E:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Messenger\msmsgs.exe
E:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Documents and Settings\Internet\Documenti\1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CnxDslTaskBar] "E:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = E:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

[spider]

ciao
sono in dubbio su
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
prima di andare avanti fa una scansione con avg antispyware lo trovi qui

http://www.ilsoftware.it/querydl.asp?ID=956

questo programma ti darà la protezione in realtime per 30 giorni compresi gli aggiornamenti automatici dopodichè lo terrai per fare eventuali scansioni dopo averlo aggiornato manualmente

[Smjert]

[spider]

infatti era questo il mio dubbio
grazie

[trifoglio]

Ecco la scansione con avg antispyware:

AVG Anti-Spyware - Rapporto scansione
---------------------------------------------------------

+ Creato alle: 16.53.11 13/01/2007

+ Risultato scansione:



E:\Documents and Settings\Internet\Cookies\internet@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nessuna operazione eseguita.
E:\Documents and Settings\Internet\Cookies\internet@overture[1].txt -> TrackingCookie.Overture : Nessuna operazione eseguita.
E:\Documents and Settings\Internet\Cookies\internet@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nessuna operazione eseguita.
E:\Documents and Settings\Internet\Cookies\internet@c2.zedo[2].txt -> TrackingCookie.Zedo : Nessuna operazione eseguita.
E:\Documents and Settings\Internet\Cookies\internet@zedo[2].txt -> TrackingCookie.Zedo : Nessuna operazione eseguita.


::Fine rapporto

[spider]

scusa ma hai fatto una scansione completa del sistema?

[trifoglio]

Scusa ho sbagliato, ora la faccio

[trifoglio]

Io non ho specificato che ho 3 partizioni (C,D,E) ma E è l'unica con l'accesso a internet ed è l'unica con cui ho problemi di virus ecc. Prima avevo fatto la scansione solo di E, ora di tutto ma mi sembra che il risultato sia uguale.

AVG Anti-Spyware - Rapporto scansione
---------------------------------------------------------

+ Creato alle: 18.15.19 13/01/2007

+ Risultato scansione:



E:\Documents and Settings\Internet\Cookies\internet@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nessuna operazione eseguita.
E:\Documents and Settings\Internet\Cookies\internet@overture[2].txt -> TrackingCookie.Overture : Nessuna operazione eseguita.
E:\Documents and Settings\Internet\Cookies\internet@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nessuna operazione eseguita.
E:\Documents and Settings\Internet\Cookies\internet@c2.zedo[2].txt -> TrackingCookie.Zedo : Nessuna operazione eseguita.
E:\Documents and Settings\Internet\Cookies\internet@zedo[2].txt -> TrackingCookie.Zedo : Nessuna operazione eseguita.


::Fine rapporto

[trifoglio]

Ma con quel file che mi avevi indicato in precedenza (quello di cui avevi dubbi) devo fare qualcosa?

[spider]

[trifoglio]

Scusa l'ignoranza ma sinceramente non so come fare

[spider]

non ti preoccupare
allora in modalità provvisoria (accedi premendo ripetutamente F8 all'avvio del pc)
apri hijackthis
clicca su A SYSTEM SCAN ONLY
vedrai il log con dei riguadri da spuntare.
Quelli che spunterai in seguito verranno eliminati
spunta

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
e poi premi il pulsante fix checked
esci dalla modalità provvisoria
(ti basta riavviare)
scarica ccleaner lo trovi qui

http://www.filehippo.com/download_ccleaner/

lo installi e poi clicchi su ANALIZZA
e quando ha finito su AVVIA CLEANER
fai sapere come va

[trifoglio]

Ok fatto tutto. La procedura è finita? Se fosse così dammi tempo fino a domani sera che vedo se nelle prossime esce ancora qualcosa.
X ora ti ringrazio e ci sentiamo domani sera.

[spider]

riposta un log di hijackthis appena puoi

[trifoglio]

Mi è uscito ancora una volta un generic trojan horse. Ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 22.45.58, on 14/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\WINDOWS\RTHDCPL.EXE
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\WINDOWS\system32\RunDLL32.exe
E:\Programmi\Trust\Ami Mouse 300 Optical Dual Scroll\Amoumain.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
E:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Messenger\msmsgs.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
E:\Programmi\Internet Explorer\iexplore.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\sessmgr.exe
E:\Documents and Settings\Internet\Documenti\1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CnxDslTaskBar] "E:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = E:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADE5EAA0-A4AC-42CE-B705-8F80F0330099}: NameServer = 195.110.128.1 212.48.4.11
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

[holifay]

il log di Hijackthis non è sufficiente, questo tipo di infezione è collegata spesso a rootkit. Qui un esempio (scusate lo SPAM): http://www.suspectfile.com/blog/?postid=18

[spider]

è quello che stavo pensando anch'io....
rootkit