Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Daugeru
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 02 Giu 2007 18:56    Oggetto: Daugeru Rispondi citando

CIAO!
Non ce la faccio piu'!! non so piu' cosa fare...speravo di sbrigarmela da sola e invece.... mi spiego: spybot mi trova un trojan che chiama daugeru, lo elimino ma ad ogni avvio lo ritrova. ho provato a cancellare manualmente dal registro la chiave in questione...ma nulla; ho provato ad elimanare la stringa con avenger...ma sempre nulla ogni volta daugeru..ritorna!
Ho cercato su google qualche riferimento..l'unico che ho trovato mi consigliava reanimator..ma nulla, ho trovato pero' altre schifezze (lzx32.sys) che sono riuscita ad eliminare..ma non 'sto maledetto daugeru..
Vi posto il file di hijackthis fatto in modalità provvisoria
(i bho ho provatoa cancellarli...ma anche quelli...ritornano!) se ci sono altre cose da fixare......ditemelo! GRAZIE

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HIJACKTHIS\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\it.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Ultra Wipe Launcher.lnk.disabled
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_05) -
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} (Java Plug-in 1.4.2_05) -
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Programmi\WinClamAVShield\sp_clamsrv.exe (file missing)


GRAZIE ancora per l'aiuto!
Top
Profilo Invia messaggio privato
tecnico24
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/05/07 08:23
Messaggi: 105

MessaggioInviato: 02 Giu 2007 20:41    Oggetto: Rispondi citando

fixa queste:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O2 - BHO: (no name) - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
QUESTE NON MI CONVINCONO PROVA A FARE RICERCHE:O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 02 Giu 2007 20:55    Oggetto: Rispondi citando

ora provo a fixare e cercare le altre voci

ma di 'sto daugeru sai niente??
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 02 Giu 2007 21:03    Oggetto: Rispondi citando

fixati i boh, riavviato, rilanciato hijackthis......e ritornati!!
UFFAAAAAAAAAAAA
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 03 Giu 2007 13:28    Oggetto: Rispondi citando

Scaricati questo e scompattalo in una sua cartella non temporanea.
Avvialo, clicca su > > >
clicca su autostart
clicca su Scan
al termine clicca su Copy
a questo punto, puoi incollare qui il log generato
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 04 Giu 2007 12:35    Oggetto: Rispondi citando

appena posso ti mando il log fatto con il programma che mi hai detto di scaricare.
Sono nei casini perchè anche il portatile s'e' beccato un virus e non so piu' dove poter navigare!!

Penso proprio che molti programmi free relativi alla sicurezza ti mandini dei bei trojan, warm e schifezze varie per obbligarti a comprare i loro prodotti..... o no???
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 04 Giu 2007 15:13    Oggetto: Rispondi citando

Citazione:
Penso proprio che molti programmi free relativi alla sicurezza ti mandini dei bei trojan, warm e schifezze varie per obbligarti a comprare i loro prodotti..... o no???

No, sono solo alcuni programmi che fingono di trovare infezioni per obbligarti a comprare determinati prodotti.
Prima di installare qualsiasi cosa, puoi chiedere un consiglio nel forum oppure dare un'occhiata qui.
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 09 Giu 2007 17:22    Oggetto: Rispondi citando

ciao! chissa' se ci sei ancora??!! il mio daugeru c'è sicuramente!!

eccoti lo scan:

MER 1.0.12.12244 - http://www.gmer
Rootkit scan 2007-06-09 18:13:15
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.12 ----

? C:\WINDOWS\system32\DRIVERS\update.sys

---- EOF - GMER 1.0.12 ----

che dici???
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 09 Giu 2007 17:32    Oggetto: Rispondi citando

Ri-ciao,
il log che hai inviato riguarda il tab rootkit. E, apparentemente, non ce ne sono.
Ci serve un altro log:

Avvia ancora gmer
clicca su > > >
clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
Al termine della scansione clicca su Copy.
Apri il blocco note e premi CTRL+V (Incolla)
Salva il file e caricalo su link.
Posta qui il link che ti verrà assegnato
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 09 Giu 2007 17:47    Oggetto: Rispondi citando

eccoti i dati:

direct link: http://www.freefilehosting.net/download/MjE4MzU2

htlm code: <a href="http://www.freefilehosting.net/files/MjE4MzU2">scan all gmer1.txt</a>

forum link : [URL="http://www.freefilehosting.net/files/MjE4MzU2"]scan all gmer1.txt[/URL]
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 09 Giu 2007 18:26    Oggetto: Rispondi citando

Nel log che hai inviato non ci vedo nulla di strano... Orange, puoi dare un'occhiata anche tu?

Scaricati questo e avvialo, posta qui il log che ti verrà generato (probabilmente ci metterà un pò).

Vediamo di beccare sto maledetto... Evil or Very Mad

A proposito, visto che è spybot che ti trova l'ospite, puoi indicare il percorso completo di dove lo trova?
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 09 Giu 2007 18:56    Oggetto: Rispondi citando

non ci ha messo molto....e questo è il risultato

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

cioè??

Mentre per quanto riguarda il percorso di daugeru, ecco qua dove si piazza e dove si ripiazza dopo averlo eliminato manualmente e anche con avenger..

HKEY_USERS\S-1-5-21-1497992008-1788418959-3788742782-1006\
software\microsoft\windows\current version\ext\stats\
{14D1A72D-8705-11D8-B120-0040F46CB696}
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 09 Giu 2007 19:03    Oggetto: Rispondi citando

inoltre con altri programmi che trovano ma non eliminano questi trojan ho notato che si va a piazzare anche su:

...software\microsoft1windows\current version\ext\stats\
14D1A72......696\iexplorer\type

e poi altre 3 stringhe dove cambia solo l'ultimo nome che da type diventa count e nella stringa seguente time

e poi anche qui
..software\microsoft1windows\current version\EXPLORER\BROWSER HELPER OBJET\ 14D1A72......696
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 10 Giu 2007 06:45    Oggetto: Rispondi citando

Quindi Spybot ti segnala delle chiavi di registro che per lui sono sospette.
Quali altri programmi usi per la scansione?

Prova a fare qualche scansione online, salva i risultati delle scansioni su link e posta qui i links che ti vengono assegnati.
Attenzione che, la maggior parte di queste scansioni, funzionano solo con Internet Explorer.
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 10 Giu 2007 19:47    Oggetto: Rispondi citando

Scusa il ritardo con il quale rispondo......
dunque ho fatto la scansione on line con trendmicro...e non ti posso inviare alcun file perchè non mi da nessun risultato da salvare.
Comunque ti riposto quello che ha rilevato

adware_bhot_imyonbar ----------> 1 infezione (che è il daugeru)
adware_memwatcher ------------>94 infezioni
tspy_small-------------------------> 13 infezioni
asp-net-path validationvulnerability --->(887219)da aggiornare
ms07-027 cumulative security update for I.E. (93176) --->da aggiornare

Gli ho fatto fare pulizia, ma rilanciando spybot...indovina un po'? DAUGEREU c'è sempre............ Evil or Very Mad

Ho rifatto la scansione on line e trendmicro non trova piu' nulla, se non i 2 aggiornamenti da fare per il NET, che però non riesco a fare perchè probabilmente non ho attivo il servizio NET frame....

MA POSSIBILE CHE 'STO MALEDETTO DAUGERU NON RIUSCIAMO AD ELIMINARLO????? Crying or Very sad
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 12:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 10 Giu 2007 20:03    Oggetto: Rispondi citando

ciao, mae
un paio di domande: la versione di SpyBot che usi è aggiornata?
hai provato ad eliminare questo daugeru, disattivando il ripristino di configurazione?


l'ultima domanda: avresti voglia di fare il nostro (mio e di "collega" Bdoriano) beta-tester?
abbiamo scoperto un tool di produzione KasperskyLab, con le capacità promettenti, ma ancora da testare... Question
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 10 Giu 2007 20:59    Oggetto: Rispondi citando

la versione di spybot è aggiornata...
ho disattivato il ripristino di sistema, ho lanciato spybot sia in modalità provvisoria che non.... ma ogni volta..il maledetto ritorna....

devo dire che non mi da "particolari" problemi... ma l'idea di averlo li residente...non mi da pace....

cosa significa, o meglio cosa dovrei fare e cosa fa questo beta-tester?

"abbiamo scoperto un tool di produzione KasperskyLab, con le capacità promettenti, ma ancora da testare"

cosa rischio??

Purtroppo la risposta la leggerò domani al lavoro, perchè ora devo staccare.

Grazie sin d'ora dell'aiuto e della pazienza!!
Mae Rolling Eyes
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 10 Giu 2007 23:17    Oggetto: Rispondi citando

mae ha scritto:
la versione di spybot è aggiornata...

numero di versione? 1.3 o 1.4 o 1.5?
mae ha scritto:
devo dire che non mi da "particolari" problemi... ma l'idea di averlo li residente...non mi da pace....

Potrebbe anche essere un falso positivo...
mae ha scritto:
cosa significa, o meglio cosa dovrei fare e cosa fa questo beta-tester?

Praticamente ti chiederemo di provare un programma nuovo sul tuo pc, ovviamente sotto la nostra supervisione (dovrai fare esattamente quello che ti verrà chiesto)
mae ha scritto:
"abbiamo scoperto un tool di produzione KasperskyLab, con le capacità promettenti, ma ancora da testare"

Veramente l'ha scoperto Orange, ma è troppo modesta. Applause
mae ha scritto:
cosa rischio??

La formattazione eterna!!!! ROTFL ROTFL ROTFL
No, scherzi a parte, se segui alla lettera le istruzioni, non rischi... altrimenti... Krueger

Un po di sano panico ci vuole ogni tanto. Wink
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 12:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 11 Giu 2007 08:10    Oggetto: Rispondi citando

mae ha scritto:
cosa significa, o meglio cosa dovrei fare e cosa fa questo beta-tester?

cosa rischio??
ciao!
allora: forse avrei dovuto essere un'pò piu precisa. Il tool in questione non è più nella versione beta (cioè è già in uso da un bel pò di tempo da "colleghi" russi). siamo noi che dobbiamo ancora scoprire tutte le potenzialità e il modo d'uso... Wink è chiaro che i primi passi li moviamo sotto la supervisione del produttore. non corri nessun rischio, direi (a parte quello di liberarti dall'"ospite" sgradito) Smile
Top
Profilo Invia messaggio privato
mae
Mortale devoto
Mortale devoto


Registrato: 02/06/07 18:41
Messaggi: 11
Residenza: torino

MessaggioInviato: 12 Giu 2007 09:34    Oggetto: Rispondi

Eccomi...
allora, la versione di spybot è 1.4.03....

Direi che potremmo provare il programma che mi avete proposto, l'unico problema, come avrete notato nelle mie risposte è ......il tempo!!! Sick

Dunque se per voi non ci sono problemi e siete "sempre" in rete..credo che per il fine settimana potrei lanciarmi nell'esperimento........ (poi vi avro' sempre nel mio pc?? TapTap)

Nel frattempo...ho dovuto eliminare sul portatile un'altra schifezza (che mi sono beccata in rete mentre cercavo informazioni su come eliminare quel trojan di Daugeru), tale Instant Access, ma ho seguito qui sul forum le istruzioni e l'ho eliminato!! Twisted Evil

Adesso per Daugeru è tempo di morire............ Grrr
buona giornata e... a presto Grazie
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi