Precedente :: Successivo |
Autore |
Messaggio |
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 02 Giu 2007 18:56 Oggetto: Daugeru |
|
|
CIAO!
Non ce la faccio piu'!! non so piu' cosa fare...speravo di sbrigarmela da sola e invece.... mi spiego: spybot mi trova un trojan che chiama daugeru, lo elimino ma ad ogni avvio lo ritrova. ho provato a cancellare manualmente dal registro la chiave in questione...ma nulla; ho provato ad elimanare la stringa con avenger...ma sempre nulla ogni volta daugeru..ritorna!
Ho cercato su google qualche riferimento..l'unico che ho trovato mi consigliava reanimator..ma nulla, ho trovato pero' altre schifezze (lzx32.sys) che sono riuscita ad eliminare..ma non 'sto maledetto daugeru..
Vi posto il file di hijackthis fatto in modalità provvisoria
(i bho ho provatoa cancellarli...ma anche quelli...ritornano!) se ci sono altre cose da fixare......ditemelo! GRAZIE
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HIJACKTHIS\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\it.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Ultra Wipe Launcher.lnk.disabled
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_05) -
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} (Java Plug-in 1.4.2_05) -
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Programmi\WinClamAVShield\sp_clamsrv.exe (file missing)
GRAZIE ancora per l'aiuto! |
|
Top |
|
|
tecnico24 Eroe in grazia degli dei
Registrato: 18/05/07 08:23 Messaggi: 105
|
Inviato: 02 Giu 2007 20:41 Oggetto: |
|
|
fixa queste:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O2 - BHO: (no name) - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
QUESTE NON MI CONVINCONO PROVA A FARE RICERCHE:O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 02 Giu 2007 20:55 Oggetto: |
|
|
ora provo a fixare e cercare le altre voci
ma di 'sto daugeru sai niente?? |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 02 Giu 2007 21:03 Oggetto: |
|
|
fixati i boh, riavviato, rilanciato hijackthis......e ritornati!!
UFFAAAAAAAAAAAA |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 03 Giu 2007 13:28 Oggetto: |
|
|
Scaricati questo e scompattalo in una sua cartella non temporanea.
Avvialo, clicca su > > >
clicca su autostart
clicca su Scan
al termine clicca su Copy
a questo punto, puoi incollare qui il log generato |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 04 Giu 2007 12:35 Oggetto: |
|
|
appena posso ti mando il log fatto con il programma che mi hai detto di scaricare.
Sono nei casini perchè anche il portatile s'e' beccato un virus e non so piu' dove poter navigare!!
Penso proprio che molti programmi free relativi alla sicurezza ti mandini dei bei trojan, warm e schifezze varie per obbligarti a comprare i loro prodotti..... o no??? |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 04 Giu 2007 15:13 Oggetto: |
|
|
Citazione: | Penso proprio che molti programmi free relativi alla sicurezza ti mandini dei bei trojan, warm e schifezze varie per obbligarti a comprare i loro prodotti..... o no??? |
No, sono solo alcuni programmi che fingono di trovare infezioni per obbligarti a comprare determinati prodotti.
Prima di installare qualsiasi cosa, puoi chiedere un consiglio nel forum oppure dare un'occhiata qui. |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 09 Giu 2007 17:22 Oggetto: |
|
|
ciao! chissa' se ci sei ancora??!! il mio daugeru c'è sicuramente!!
eccoti lo scan:
MER 1.0.12.12244 - http://www.gmer
Rootkit scan 2007-06-09 18:13:15
Windows 5.1.2600 Service Pack 2
---- Kernel code sections - GMER 1.0.12 ----
? C:\WINDOWS\system32\DRIVERS\update.sys
---- EOF - GMER 1.0.12 ----
che dici??? |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 09 Giu 2007 17:32 Oggetto: |
|
|
Ri-ciao,
il log che hai inviato riguarda il tab rootkit. E, apparentemente, non ce ne sono.
Ci serve un altro log:
Avvia ancora gmer
clicca su > > >
clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
Al termine della scansione clicca su Copy.
Apri il blocco note e premi CTRL+V (Incolla)
Salva il file e caricalo su link.
Posta qui il link che ti verrà assegnato |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 09 Giu 2007 17:47 Oggetto: |
|
|
eccoti i dati:
direct link: http://www.freefilehosting.net/download/MjE4MzU2
htlm code: <a href="http://www.freefilehosting.net/files/MjE4MzU2">scan all gmer1.txt</a>
forum link : [URL="http://www.freefilehosting.net/files/MjE4MzU2"]scan all gmer1.txt[/URL] |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 09 Giu 2007 18:26 Oggetto: |
|
|
Nel log che hai inviato non ci vedo nulla di strano... Orange, puoi dare un'occhiata anche tu?
Scaricati questo e avvialo, posta qui il log che ti verrà generato (probabilmente ci metterà un pò).
Vediamo di beccare sto maledetto...
A proposito, visto che è spybot che ti trova l'ospite, puoi indicare il percorso completo di dove lo trova? |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 09 Giu 2007 18:56 Oggetto: |
|
|
non ci ha messo molto....e questo è il risultato
Find AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report
cioè??
Mentre per quanto riguarda il percorso di daugeru, ecco qua dove si piazza e dove si ripiazza dopo averlo eliminato manualmente e anche con avenger..
HKEY_USERS\S-1-5-21-1497992008-1788418959-3788742782-1006\
software\microsoft\windows\current version\ext\stats\
{14D1A72D-8705-11D8-B120-0040F46CB696} |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 09 Giu 2007 19:03 Oggetto: |
|
|
inoltre con altri programmi che trovano ma non eliminano questi trojan ho notato che si va a piazzare anche su:
...software\microsoft1windows\current version\ext\stats\
14D1A72......696\iexplorer\type
e poi altre 3 stringhe dove cambia solo l'ultimo nome che da type diventa count e nella stringa seguente time
e poi anche qui
..software\microsoft1windows\current version\EXPLORER\BROWSER HELPER OBJET\ 14D1A72......696 |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 10 Giu 2007 06:45 Oggetto: |
|
|
Quindi Spybot ti segnala delle chiavi di registro che per lui sono sospette.
Quali altri programmi usi per la scansione?
Prova a fare qualche scansione online, salva i risultati delle scansioni su link e posta qui i links che ti vengono assegnati.
Attenzione che, la maggior parte di queste scansioni, funzionano solo con Internet Explorer. |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 10 Giu 2007 19:47 Oggetto: |
|
|
Scusa il ritardo con il quale rispondo......
dunque ho fatto la scansione on line con trendmicro...e non ti posso inviare alcun file perchè non mi da nessun risultato da salvare.
Comunque ti riposto quello che ha rilevato
adware_bhot_imyonbar ----------> 1 infezione (che è il daugeru)
adware_memwatcher ------------>94 infezioni
tspy_small-------------------------> 13 infezioni
asp-net-path validationvulnerability --->(887219)da aggiornare
ms07-027 cumulative security update for I.E. (93176) --->da aggiornare
Gli ho fatto fare pulizia, ma rilanciando spybot...indovina un po'? DAUGEREU c'è sempre............
Ho rifatto la scansione on line e trendmicro non trova piu' nulla, se non i 2 aggiornamenti da fare per il NET, che però non riesco a fare perchè probabilmente non ho attivo il servizio NET frame....
MA POSSIBILE CHE 'STO MALEDETTO DAUGERU NON RIUSCIAMO AD ELIMINARLO????? |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 10 Giu 2007 20:03 Oggetto: |
|
|
ciao, mae
un paio di domande: la versione di SpyBot che usi è aggiornata?
hai provato ad eliminare questo daugeru, disattivando il ripristino di configurazione?
l'ultima domanda: avresti voglia di fare il nostro (mio e di "collega" Bdoriano) beta-tester?
abbiamo scoperto un tool di produzione KasperskyLab, con le capacità promettenti, ma ancora da testare... |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 10 Giu 2007 20:59 Oggetto: |
|
|
la versione di spybot è aggiornata...
ho disattivato il ripristino di sistema, ho lanciato spybot sia in modalità provvisoria che non.... ma ogni volta..il maledetto ritorna....
devo dire che non mi da "particolari" problemi... ma l'idea di averlo li residente...non mi da pace....
cosa significa, o meglio cosa dovrei fare e cosa fa questo beta-tester?
"abbiamo scoperto un tool di produzione KasperskyLab, con le capacità promettenti, ma ancora da testare"
cosa rischio??
Purtroppo la risposta la leggerò domani al lavoro, perchè ora devo staccare.
Grazie sin d'ora dell'aiuto e della pazienza!!
Mae |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 10 Giu 2007 23:17 Oggetto: |
|
|
mae ha scritto: | la versione di spybot è aggiornata... |
numero di versione? 1.3 o 1.4 o 1.5?
mae ha scritto: | devo dire che non mi da "particolari" problemi... ma l'idea di averlo li residente...non mi da pace.... |
Potrebbe anche essere un falso positivo...
mae ha scritto: | cosa significa, o meglio cosa dovrei fare e cosa fa questo beta-tester? |
Praticamente ti chiederemo di provare un programma nuovo sul tuo pc, ovviamente sotto la nostra supervisione (dovrai fare esattamente quello che ti verrà chiesto)
mae ha scritto: | "abbiamo scoperto un tool di produzione KasperskyLab, con le capacità promettenti, ma ancora da testare" |
Veramente l'ha scoperto Orange, ma è troppo modesta.
mae ha scritto: | cosa rischio?? |
La formattazione eterna!!!!
No, scherzi a parte, se segui alla lettera le istruzioni, non rischi... altrimenti...
Un po di sano panico ci vuole ogni tanto. |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 11 Giu 2007 08:10 Oggetto: |
|
|
mae ha scritto: | cosa significa, o meglio cosa dovrei fare e cosa fa questo beta-tester?
cosa rischio?? | ciao!
allora: forse avrei dovuto essere un'pò piu precisa. Il tool in questione non è più nella versione beta (cioè è già in uso da un bel pò di tempo da "colleghi" russi). siamo noi che dobbiamo ancora scoprire tutte le potenzialità e il modo d'uso... è chiaro che i primi passi li moviamo sotto la supervisione del produttore. non corri nessun rischio, direi (a parte quello di liberarti dall'"ospite" sgradito) |
|
Top |
|
|
mae Mortale devoto
Registrato: 02/06/07 18:41 Messaggi: 11 Residenza: torino
|
Inviato: 12 Giu 2007 09:34 Oggetto: |
|
|
Eccomi...
allora, la versione di spybot è 1.4.03....
Direi che potremmo provare il programma che mi avete proposto, l'unico problema, come avrete notato nelle mie risposte è ......il tempo!!!
Dunque se per voi non ci sono problemi e siete "sempre" in rete..credo che per il fine settimana potrei lanciarmi nell'esperimento........ (poi vi avro' sempre nel mio pc?? )
Nel frattempo...ho dovuto eliminare sul portatile un'altra schifezza (che mi sono beccata in rete mentre cercavo informazioni su come eliminare quel trojan di Daugeru), tale Instant Access, ma ho seguito qui sul forum le istruzioni e l'ho eliminato!!
Adesso per Daugeru è tempo di morire............
buona giornata e... a presto |
|
Top |
|
|
|