dany

Un' altro di questi! Hai notato qualche cosa che npn andava nel tuo computer prima che trovassi questo ASTUTISSIMO (purtroppo ) programma :ciao1:

Questo è un KEYLOGGER! Occhio! Anche se avast lo ha eliminato, non è detto che non ci sia più! I Keyloggers sono programmi che registrano su un file di testo TUTTE LE ATTIVITA' di Mouse e Tastiera, e poi inviano il log che creano al suo creatore, così se per caso hai scritto qualche passworld lui la conosce! HackTool........ Non mi convince molto questo nome!

Fai come ha detto Danix, Farai per il meglio!

Ragazzi anche io ho bisogno di voi! : Ho un amichetto che orami ospito da 4 giorni sul mio povero computer (Win 32 Trojan gen [VC]) Ho provato tutto tranne una cosa: Hijackthis, ecco il log: Logfile of HijackThis v1.97.7 Scan saved at 17.20.12, on 11/02/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\essspk.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programmi\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programmi\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\SYSTEM32\SWEEPER.EXE C:\Programmi\Logitech\iTouch\kbdtray.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Documents and Settings\Daniele\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldusa.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe //ICWLaunch O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [internet Sweeper] C:\WINDOWS\SYSTEM32\SWEEPER.EXE /Q O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [internet Sweeper] C:\WINDOWS\SYSTEM32\SWEEPER.EXE /Q O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{1ED55C2F-CB1A-4E9D-AEB0-631080198EEE}: NameServer = 212.151.136.246 130.244.127.169 O17 - HKLM\System\CS1\Services\Tcpip\..\{1ED55C2F-CB1A-4E9D-AEB0-631080198EEE}: NameServer = 212.151.136.246 130.244.127.169 Conosco questo virus, essendo un miniprogrammatore ho provato ad aprirlo con un hex editor, scoperto tutta la sua struttura: il virus apre una backdoor (gia chiusa! :dia: ) ed invia informazioni ad un certo server tedesco, tuttavia non riesco a rimuoverlo!! Potete darmi una Zampa? Grazie Dany :ciao1:

Dopo aver fatto una scansione con l'ultima versione di Avast! ti saprò dire!

Ultimamente tutti e due

:lo1: :P Ma perchè sei così!!!!????

Quindi un falso positivo? :mah1:

Gia aggiornato! Ultima versione UPS. Ma UPX non è un tipo di programmazione? O mi sbaglio! :mah1: :ciao1:

Lo penso anche io, perchè per ora non si è fatto più vedere! :mah1:

Per Avast NO!! :sigh:

Mi ha detto di eliminare questo: R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch Sembra windows Media Player! :mah1:

Si vede che sei tornata! :P

Un ATTIMO! R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldusa.com Questa è la pagina iniziale che mi è apparsa dopo l'infezione! HijackThis la vede! Cosa ne dite??

Come servizio non è installato, e ora è un pò che avast non lo trova più! Provo con Spybot. Ancer la scanzione con HouseCall ho provato a farla però non in mod provissoria, non ha trovato nulla Grazie a tutti :ciao1:

Ho fatto per filo e per segno tutto quello che hai detto ma ogni volta che avast lo trova lo cancello e si rigenera nella stessa directory! :sigh: :sigh: :sigh:

Quando accadrà eagle, Metti un mega post ----> QUI! <----

Ragazzi sapete cosa è questo? :mah1: O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe Grazie anticipate! :ciao1:

No alice! dopo che hai fatto scansionare il computer clikka su "save log" dopo copialo e postacelo! Così: gfile of HijackThis v1.97.7 Scan saved at 18.09.24, on 14/02/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\essspk.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programmi\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programmi\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\SYSTEM32\SWEEPER.EXE C:\Programmi\Logitech\iTouch\kbdtray.exe C:\WINDOWS\system32\taskmgr.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Documents and Settings\Daniele\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe //ICWLaunch O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [internet Sweeper] C:\WINDOWS\SYSTEM32\SWEEPER.EXE /Q O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [internet Sweeper] C:\WINDOWS\SYSTEM32\SWEEPER.EXE /Q O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{1ED55C2F-CB1A-4E9D-AEB0-631080198EEE}: NameServer = O17 - HKLM\System\CS1\Services\Tcpip\..\{1ED55C2F-CB1A-4E9D-AEB0-631080198EEE}: NameServer =

Roba da capate nel muro!

Attendi... e vedrai!! :ciao1:

Buona settimana ragazzi! :ciao1:

Buon san valenino a tutti! :ciao1:

Benvenuto Mr x