Accedi per seguire   
Seguaci 0
mybry

Trojan Horse,adware,spycookie....li Ho Tutti Io!

57 messaggi in questa discussione

Ciao

dici che forse potrebbero essere queste:

| |

Maiuscola + \

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

SI....SI..... proprio quelle!!!!!!!!!!!!!!! :) Ma un pochino + unite. Ma nella ricerca c'è solo *windows update e nn || *windows update............. :up1: :up1:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Comunque in questa chiave:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\.........\.....

io non ho nessun tipo di voce riguardante Window Update

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

in che senso "tu nn hai nessun tipo di voce"???????????

Questi sono quelli giusti:

sdbot:

HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || *windows update

HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\microsoft \windows\currentversion\policies\explorer\run\ || *windows update

HKU\S-1-5-18\software\microsoft\windows\currentversion\policies\explorer\ || *windows update

spywareno! components: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\sno2\

whenu: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\whenu\

Eppure Spy Sweeper mi rileva questi percorsi..... :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Se trovi le chiavi eliminale, non sono chiavi di sistema

Ti metto qui gli screenshot di quello che ho io:

Alla voce:HKLM\software\microsoft\windows\currentversion\policies\explorer\run\ || *windows update

Non ho nessuna delle voci indicate in rosso:

foto001hp4.jpg

LA voce: HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\microsoft \windows\currentversion\policies\explorer\run\ || *windows update

Non esiste proprio:

foto002iv9.jpg

LA voce: HKU\S-1-5-18\software\microsoft\windows\currentversion\policies\explorer\ || *windows update

è come da foto

foto003kd8.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

INFATTI!!!!! il problema è proprio quello!!!! Anke a me nn risultano quei percorsi proprio perchè o<< || *windows update>> nn esiste oppure perchè nn ci sono proprio le cartelle indicate nel percorso. Ma allora perkè la ricerca con spy sweeper me li dà??????? :):P:P:wub::P;)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

AIUTO..........!!!!!!!!!!!! SI è AGGIUNTO UN'ALTRO TROJAN HORSE.......P********A !!!!!!!!!!!!!!!!!! :ranting2:

Scusatemi!!!!!!!!!!! :sigh: :sigh: Inseguito a tutti sti problemi, ho pensato che la causa di tutto fosse proprio il programma Spy Sweeper, così l'ho disinstallato e reinstallato (con + l'antivirus allegato). Ho di nuovo avviato la ricerca e, porca miseria, oltre ai problemi di prima si è aggiunto un altro trojan horse: trojan-xlibg.

Il percorso indicato dal programma è:

HKLM\system\controlset001\control\securityproviders\ || securityproviders

HKLM\system\controlset002\control\securityproviders\ || securityproviders

HKLM\system\currentcontrolset\control\securityproviders\ || securityproviders

E come per l'altro trojan horse e ardware, anche questo file nn si trova perchè i percorsi nn sono giusti: << || securityproviders>> nn esiste, ma c'è solo <<securityproviders>>.

Cosa posso fare??????????

Aiutatemi...........!!!!!!!! :sigh: :sigh: :sigh: :sigh:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao..

Controlla se hai questi files:

C:\..\system32\winsvc32.exe

c:\a.bat

__________

Scarica RunScanner http://www.runscanner.net/runscanner.zip

Decomprimilo, avvia ed accetta il contratto (si aprirà una pagina) clicca il alto su

START SCAN (senza modificare le altre opzioni)

Attendi il termine della scansione

clicca su SAVE .RUN FILE (comprimilo) ed allegamelo qui

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, ho cercato i file che mi hai detto ma nn li ho trovati: ho provato ad andare anke su Trova ma niente.

Ho scaricato il programma che mi hai detto e ti allego i risultati. Ci sono cose molto interessanti col sto programma e i file imputati sono rossi nella schermata che è apparsa a me. Ciao

risultati_Run_scanner.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Dovevi allegarmi il file con l'estensione .RUN (che è più semplice da controllare)

Riallegamelo dopo averlo compresso, altrimenti in questo devo controllare ogni voce manualmente :angel_not:

foto001nn4.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao,

fatto cosa ?

quel log non serve praticamente a niente .. è in cinese :)

fai cosi ;

portati su questa pagina ,scarica e segui la guida per esguire SmitfraudFix

Alla fine posta i due log

:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Se mi dite cosa dovrei trovare o fare o vedere o altro potrei provare io a fare qualcosa con i risultati della scansione con RunScanner..... nn x altro ma tra i vari risultati ci sono alcuni nomi dei file incriminati, anke se di fianco c'è scritto "file not found" ed è in rosso.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Se mi dite cosa dovrei trovare o fare o vedere o altro potrei provare io a fare qualcosa con i risultati della scansione con RunScanner..... nn x altro ma tra i vari risultati ci sono alcuni nomi dei file incriminati, anke se di fianco c'è scritto "file not found" ed è in rosso.

il log runscanner è cinese nel senso che "almeno io" non vedo alcun log... ma solo simboli strani....

(avresti dovuto allegarlo in .txt)

per la minaccia da te citata "SpySheriff", il tool che ti ho consigliato è quasi infallibile ... poi sei libero di fare come vuoi....

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

@ Steve, gli ho detto io di allegare quel log...e in quel formato,

se vuoi aprirlo, devi usare lo stesso programma

http://www.wininizio.it/forum/index.php?sh...view=getnewpost

(lo stesso log in formato testo è poco piu sopra)

___________________________________________________________________

mybry con questo tool non possiamo fare nulla, mi serviva per vedere esattamente il nome del file per identificare il virus che è : SDBOT.AVD WORM

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

Controlla nella cartella C:\Windows\System32 di non avere questo file: lsyss.exe

(se lo trovi eliminalo, se non te lo fa eliminare fallo dalla modalità provvisoria)

Da Statr\Esegui digita regedit

ed elimina se presenti i seguenti valori: (in rosso)

HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\Run

*windows update = "wkmst.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\Runservices

*windows update = "wkmst.exe"

HKEY_CURRENT_USER\Software\Microsoft

Windows\CurrentVersion\Run

*windows update = "wkmst.exe"

HKEY_CURRENT_USER\Software\Microsoft

Windows\CurrentVersion\Runservices

*windows update = "wkmst.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\policies\Explorer\Run

*windows update = "wkmst.exe"

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer\Run

*windows update = "wkmst.exe"

HKEY _USER\Software\Microsoft\

Windows CurrentVersion\Run

*windows update = "wkmst.exe"

HKEY _USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer\Run

*windows update = "wkmst.exe"

Riavvia il PC e fai una scansione online qui: screenshot0044ao.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Il file "lsyss.exe" non lo trovo.... l'unico file simile che ho trovato nella stessa cartella è "lsass.exe".

Poi i percorsi indicati con il file da trovare e eliminare nn sono giusti: in alcuni nn si può proprio aprire la cartella perché nn c'è; in altri, alla fine del percorso,nn c'è il file. L'unico percorso giusto in cui ho trovato il file e l'ho eliminato è stato:

HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\policies\Explorer\Run

*windows update = "wkmst.exe"

Poi ho fatto un'altra scansione con RunScanner e sono rimaste 2 voci da eliminare (prima erano 3)... Allego in formato word le 2 voci, che sono in rosso nella scansione. Secondo me bisogna eliminarle attraverso questo programma, mi sembra il migliore, perché l'ho gia fatto con delle foto che mi creavano dei problemi e ora è a posto. Lo so che nn è la stessa cosa ma cosa si dovrebbe fare secondo voi??? Ciao :):P

files.rar

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Di nulla Steve... figurati :P

--------------------------------------------------|

Allego in formato word

il file allegato è in formato WORKS (non Word... non posso aprirlo :) )

Extension: WPS

Program and/or Extension Function

Works Text Document Microsoft

Non è che tutti hanno questo programma per poterlo visualizzare

Ti consiglio di usare formati più comuni (tipo HTML, o PDF o DOC)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sì, questo è OK...

Ma non facevi prima ad incollarle nel tuo post??? :)

Item: 010 HKLM\SYSTEM\CurrentControlSet\Services (Services)

Signature: Not verified

Description: *windows update

Version:

Company:

Path: c:\windows\system32\wkmst.exe

MD5: File not found

Productname:

FileDescription: wkmst.exe

Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*windows update

Registry value:

Item: 147 HKLM\System\CurrentControlSet\Control\SecurityProviders\SecurityProviders

Signature: Not verified

Description: xlibgfl254.dll

Version:

Company:

Path: xlibgfl254.dll

MD5: File not found

Productname:

FileDescription: xlibgfl254.dll

Registry path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

Registry value: SecurityProviders

Non puoi eliminare un file che il programma dice che non esiste

Comunque vedi se con il tasto destro, la voce è visibile:

foto001hk3.jpg

e vedi se ti porta al percorso specificato

Mi fai anche un controllo con questo: (riferisci se ha trovato qualcosa o posta il log)

http://beta.grisoft.cz/beta/betarep.files/...it_1.0.0.13.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Path: c:\windows\system32\wkmst.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*windows update

Questo è il percorso indicato per il primo file.

L'editor di registro mi porta ad una cartella che si chiama appunto *windows update e in essa ci sono altri 8 file:

Nome Tipo Dati

(Predefinito) REG_SZ (valore non impostato)

DisplayName REG_SZ *windows update

ErrorControl REG_DWORD 0x00000001 (1)

FailureActions REG_BINARY ff ff ff ff 00 00........

ImagePath REG_EXPAND_SZ C:\WINDOWS\System32\wkmst.exe

ObjectName REG_SZ LocalSystem

Start REG_DWORD 0x00000002 (2)

Type REG_DWORD 0x00000020 (32)

FileDescription: xlibgfl254.dll

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

Questo è il percorso indicato per il secondo file.

L'edito di registro mi porta ad una cartella che si chiama SecurityProviders e in essa ci sono 2 file:

Nome Tipo Dati

(Predefinito) REG_SZ (valore non impostato)

SecurityProviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, xlibgfl254.dll

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
L'editor di registro mi porta ad una cartella che si chiama appunto *windows update e in essa ci sono altri 8 file

quella non è una cartella di XP... io la eliminerei, compreso tutto il suo contenuto

Stesso discorso per l'altra...il file xlibgfl254.dll fa riferimento ad un trojan...

Assicurati che il file non esista veramente nel tuo sistema (dovrebbe essere in \System32, ma fai una ricerca approfondita)

STATUS: FINISHEDComplete scanning result of "xlibgfl254.dll", received in VirusTotal at 02.08.2007, 08:05:54 (CET).

Antivirus Version Update Result

AntiVir 7.3.1.34 02.07.2007 TR/Zlob.JF

Authentium 4.93.8 02.07.2007 no virus found

Avast 4.7.936.0 02.07.2007 no virus found

AVG 386 02.07.2007 no virus found

BitDefender 7.2 02.08.2007 Trojan.Zlob.JF

CAT-QuickHeal 9.00 02.07.2007 TrojanSpy.Agent.NienteSpamsuWininizio

ClamAV devel-20060426 02.08.2007 no virus found

DrWeb 4.33 02.08.2007 DLOADER.Trojan

eSafe 7.0.14.0 02.07.2007 no virus found

eTrust-InoculateIT 30.4.3374 02.07.2007 no virus found

eTrust-Vet 30.4.3374 02.07.2007 no virus found

Ewido 4.0 02.07.2007 no virus found

Fortinet 2.85.0.0 02.08.2007 Spy/Agent

F-Prot 4.2.1.29 02.07.2007 no virus found

F-Secure 6.70.13030.0 02.08.2007 no virus found

Ikarus T3.1.0.31 02.08.2007 Trojan.Zlob.JF

Kaspersky 4.0.2.24 02.08.2007 no virus found

McAfee 4958 02.07.2007 Generic Downloader.bt

Microsoft 1.2101 02.08.2007 no virus found

NOD32v2 2044 02.07.2007 probably a variant of Win32/Genetik

Norman 5.80.02 02.07.2007 no virus found

Panda 9.0.0.4 02.07.2007 Adware/SecurityError

Prevx1 V2 02.08.2007 Win32.Malware.gen

Sophos 4.13.0 02.08.2007 no virus found

Sunbelt 2.2.907.0 02.02.2007 Trojan-Downloader.Win32.Agent.bfj

Symantec 10 02.08.2007 no virus found

TheHacker 6.1.6.053 02.07.2007 no virus found

UNA 1.83 02.07.2007 no virus found

Fammi lo scan con l'antirootkit

http://beta.grisoft.cz/beta/betarep.files/...it_1.0.0.13.exe

e già che ci sei vedi se anche questo trova qualcosa

http://download.bleepingcomputer.com/sUBs/combofix.exe

(tienimi informato o posta i log)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

RAGA!!!!!!!!!!!!!!!!!!!!!!!!!!! SONO RIUSCITA A TOGLIERE PRATICAMENTE QUASI TUTTI I PROBLEMI che C'ERANO!!!!!!!!!!!!!!!!!!!!!!! :):P:P

Attraverso l'editor di sistema, andando su "trova", sono riuscita a identificare ed eliminare tutti gli ardware( whenu e spywareno! components) e da C: ho eliminato tutti i SpyCookie!!!!!!! Procedimento identico per l'ultimo trojan horse arrivato ( xlibgfl254) e allo stesso modo ho eliminato 2 dei 3 percorsi del trojan horse SDBOT. SpySweeper adesso nn me li trova + tranne appunto 1 percorso di SDBOT:

HKU\WRSS_Profile_S-1-5-21-1390067357-1844237615-725345543-1005\software\microsoft \windows\currentversion\policies\explorer\run\ II *windows update

Attraverso il procedimento fatto prima, l'editor di sistema mi trova una cartella in cui, tra gli altri, ci sono 2 file che si chiamano *windows update, ma io nn so se eliminarla oppure no... voi che ne dite???

Il percorso è:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*WINDOWS_UPDATE\0000

E dentro la cartella 0000 ci sono appunto sti files:

(Predefinito) REG_SZ (valore non impostato)

Class REG_SZ LegacyDriver

ClassGUID REG_SZ [8ECC055D-047F-11D1-A537-0000F8753ED1]

ConfigFlags REG_DWORD 0x00000000 (0)

DeviceDesc REG_SZ *windows update

Legacy REG_DWORD 0x00000001 (1)

Service REG_SZ *windows update

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao... :)

Adesso sono con Vista e non con Xp, quindi non posso controllare meglio,

ma secondo me quella chiave (LEGACY_*WINDOWS_UPDATE\0000) non ci dovrebbe essere...

magari quando torno dal lavoro controllo meglio e ti do' la conferma

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, la cartella che ti ho indicato secondo te la posso eliminare???????????? :):P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0