Nuovo Virus:trojan Horse

[fragola2]

Ciao...forse sono appena riuscita a togliere instant access grazie a kuma. adesso norton continua ad avvisarmi di questo virus!

non c'è la faccio più!

sopra mi aggiunge: nome oggetto: C:/windows/system32/mdmblr.ddl

cosa faccio?

[fragola2]

in quarantena non me lo fa mettere, ho provato ad eliminarlo in modalità provvisoria da esplora risorse ma mi dice che è utilizzato da un altro utente o programma.

Modificato May 5, 2007 da fragola2

[Kuma]

CIao... ma è una persecuzione

(la tua intendo.... sei perseguitata dal malware )

KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Inserisci il percorso completo in Full Path: --> C:/windows/system32/mdmblr.dll

poi seleziona DELETE ON REBOOT

e clicca sulla X rotonda a destra:

NOTA: sicura che sia mdmblr.ddl e non mdmblr.dll

(in caso correggi la scritta in rosso)

[fragola2]

oh ciao!grazie!stasera provo, poi ti faccio sapere! :up1:

ah un0informazione!si può sapere da dove si prendono sti malware?in particolare instant access?

[fragola2]

Ciao sembra andato via!

devo fare un log per vedere se ci sono altri file sospetti?con cosa lo faccio?grazieeeeeeeeeeeeee!

[Kuma]

Basta che non usi IE e non lo becchi... si beccano da un codice maligno inserito in una pagina web...

Sei solita frequentare siti porno ???

Scherzo, si possono prendere anche sui siti di suonerie, sfondo o programmi GRATIS...

Puoi fare in questo modo per essere più tranquilla.

Usa FIREFOX per navigare con l'estensione NOSCRIPT installata

L'estensione Noscript devi installarla (scaricarla) usando Firefox

Nota che Noscript bloccherà TUTTI gli script, (benevoli o malevoli) ma basterà che acconsenti una sola volta il sito fidato (come Wininizio) perchè gli script siano sempre consentiti

--------

Se al riavvio del PC non ti è apparso nessun messaggio di Killbox (tipo: file pendig...) allora lo ha eliminato

Al limite quando hai tempo, vai su questi siti (uno alla volta) e fai un controllo

poi

[fragola2]

no non vado su siti porno! <_< se è per questo non vado neanche su siti di suonerie e cose così!magari sui siti di scherzi e presentazioni power point....magari li..o quelle che mi mandano i miei amici! :up1:

comunque...oggi mentre usavo la modalità provvisoria ho notato che avevo un file nella cartella system32 scritto in blu....devo preoccuparmi?o è normale?

il log non lo faccio con hijackthis?

Modificato May 5, 2007 da fragola2

[Kuma]

Quel file in blu è del tutto normale...

sono i file compressi dal SO (se sono verdi sono file crittografati)

Se vuoi fare un uteriore controllo posta pure un nuovo log di Hijack

Però adesso vado a dormire (sono le 4) magari te lo controlla Angelique oppure io domani

:sonno:

[fragola2]

ok!buona notte allora e grazie ancora!

[fragola2]

Ciao!

è normale che mi cade ancora la connessione ogni tanto? <_<

aspetto a fare un log perchè magari è la linea...però non c'è un modo per sapere se la connessione è ok?con l'ip del server e cose così?

grazie ciao!

[$angelique!?]

Ciao fragola2,

quando hai le disconnessioni hai in uso programmi P2P tipo Emule???

Apri Internet Explorer, clicca su Strumenti e quindi Opzioni internet > Connessioni, verifica che non ci siano connessioni che non hai creato tu altrimenti eliminale, quindi seleziona la connessione predefinita e fai click sul pulsante Impostazioni, e quindi su Avanzate.

seleziona la casella Disconnetti se inattiva per, e imposta il lasso di tempo preferito. In questa maniera il browser effettuerà la disconnessione da internet dopo quel periodo.

in ogni caso se ti fa stare più tranquilla posta pure un log di Hijackthis

[fragola2]

Ciao Angelique!

sono andata su connessioni!mi da:

alice(predefinito)

instant access (aiuto!!!)

connessione internet

instant acces ieri l'ho eliminato....tolgo anche questo rimasuglio?

la terza non so cos'è!perchè non ho installato io le connessioni internet...

poi avrei un'altra domanda...che tipo i file è "wlphonecv"?

Modificato May 6, 2007 da fragola2

[$angelique!?]

instant access devi assolutamente eliminarlo.

connessione internet dovrebbe essere ok, comunque fai una verifica nelle proprietà della connessione.

il file di cui mi chiedi dovrebbe essere questo:

nella cartella system32 c'è questa cartella in blu DRVSTORE con questo percorso: DRVSTORE>wlphonecv_8800C151E3BB9442F62327FF05F053BF5567B318> 2 file: wlphonecv e WLPhoneCV

è comunque un file legittimo collegato ad Msn.

[fragola2]

si è quello!

grazie mille!

caspita ma come fate a sapere tutte queste cose?avete fatto qualche corso di studi o per passione?

[$angelique!?]

beh la mia è nata come passione che ora coltivo con lo studio.

tornando a noi...

hai eliminato la connessione di instant access?

ora come và?

[fragola2]

Ciao!si si l'ho eliminato! l'ho selezionato e ho fatto elimina.

[fragola2]

ciao!rieccomi!

ho ancora dei virus! :giu:

da quando ho avuto il problema con instant access mi si aprono finestre pop up di pubblicità e siti tipo ebay con ricerche di prodotti già fatte! :leggi:

qualche minuto fa norton ha trovato questo virus: trjan.linkoptimizer.B.

fortunatamente l'ha eliminato.

subito dopo mi ha avvisata di questo: trojan anicmoo ma mi da accesso negato!

prima stavo mandando un mex nel forum e mi è caduta la connessione di alice!uffa! <_<

ogni tanto mi si apre una finestra di explorer molto piccola, la ingrandisco ed è bianca e sopra l'indirizzo è questo (è un popup però):

www.66.179.234.173/images/9185_559678_6364610.html

aiutoooooooooo!

Modificato May 6, 2007 da fragola2

[$angelique!?]

Fai questa prova: start/esegui/, digita control userpasswords2, premi invio e poi controlla e riporta tutti gli utenti attivati, in particolare se ce n'è qualcuno con un nome strano.

Preleva l'ultima versione di VirIT.

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi avvia in modalità provvisoria e fai la scansione completa del sistema (salva il log e postalo)

* Scarica questo Gromozon Rootkit Removal Tool

- Avvialo con un doppio click

- Clicca su Scan

- Rispondi YES alla richiesta di riavvio

- Dopo il riavvio il tool terminerà la procedura

Posta il log che verrà creato in C:\gromozon_removal.txt

* Scarica quest'altro Trojan.Linkoptimizer Removal Tool

- Avvia in modalità provvisoria

- Ripristino disattivato per XP / ME

- avvia il tool con un doppio click

- Accetta il contratto di licenza

- Clicca su Start per avviare lo scan

- Rispondi Yes all'avviso e attendi la fine

Posta il contenuto del log FixLinkopt.txt

* Ritorna in modalità normale e posta i log dei tool e di Virit

* Posta un log di Hijackthis.

[fragola2]

Ciao!

allora la prima cosa l'ho fatta: mi esce "utenti debugger;administrators".

è giusto?

[$angelique!?]

si è giusto

ora fai cosi:

Preleva l'ultima versione di VirIT.

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi avvia in modalità provvisoria e fai la scansione completa del sistema (salva il log e postalo)

posta anche un log di Hijackthis.

[fragola2]

Ciao angelique!

allora ho una brutta notizia...mi è riapparso instant access.....ho eliminato la connessione inattiva in pannello di controllo/connessioni e l'icona sul desktop è diventata a forma di finestrella.

quello di linkoptimizer posso non farlo?tanto norton me l'ha eliminato...

virit l'ho fatto. ecco il log.

Rootkit non va...l'ho avviato mi ha detto che non c'erano root e ho riavviato il pc adesso sta scansionando ma non dice nulla.ah no ecco

Scanning: C:\Programmi\File comuni

Scanning Scanning Temporary files...

Trojan.Gromozon does not exist on the system.

Scan finished normally

For a detailed log, please refer to \gromozon_removal.log

Windows Directory...

Removal tool loaded into memory

Gromozon rootkit component not detected - searching for other components

Scanning: C:\WINDOWS

Scanning: C:\Programmi\File comuni

Trojan.Gromozon does not exist - your system is clean.

QUESTO è VIRIT.

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

06/05/2007 - 20:44:09

[sCANSIONE DEL REGISTRO]

OK

[A:]

BOOT SECTOR: OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\OXAZW1QB\drf1178469427[1].htm.exe Infetto da Trojan.Win32.Dialer.IT

C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\TS635KJ3\drf1178439524[1].htm.exe Infetto da Trojan.Win32.Dialer.IT

C:\Programmi\File comuni\Real\Update_OB\realsched.exe Infetto da Trojan.Win32.Agent.AMG

C:\WINDOWS\system32\tmp12.tmp.dll Infetto da BHO.Agent.EF

[D:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[E:]

[F:]

Chiavi Registro infette: 0.

Files Infetti: 4.

Files Sospetti: 0.

Files Analizzati: 26166.

Files Totali: 26166.

Modificato May 6, 2007 da fragola2

[$angelique!?]

allora ho una brutta notizia...mi è riapparso instant access.....ho eliminato la connessione inattiva in pannello di controllo/connessioni e l'icona sul desktop è diventata a forma di finestrella.

quello di linkoptimizer posso non farlo?tanto norton me l'ha eliminato...

allora la procedura la conosci

Per eseguire FindAWF

(potete scaricarlo anche da questo sito ... in allegato al secondo messaggio)

- Dopo averlo scaricato. eseguire il file e si aprirà una finestra dos

- premere invio e attendere l'apertura di una pagina del bloc notes (log)

incolla il risultato.

al termine log di Hijackthis.

[fragola2]

find awf l'ho fatto ma non trova ne cartelle ne file bak.

con virit cosa faccio?faccio una scansione e faccio eliminare i virus o i file?

Modificato May 6, 2007 da fragola2

[$angelique!?]

Se find awf non trova nulla allora non docìvrebbe esserci Instant access

mi posti un log di Hijackthis?

[fragola2]

eccolo!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 22.28.52, on 06/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programmi\Norton AntiVirus\navapsvc.exe

C:\VEXPLITE\viritsvc.exe

C:\WINDOWS\system32\carpserv.exe

C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe

C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe

C:\Programmi\File comuni\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe

C:\VEXPLITE\MONLITE.EXE

C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Messenger\msmsgs.exe

C:\PROGRA~1\WinZip\winzip32.exe

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp12.tmp.dll

O2 - BHO: (no name) - {f8e9cc21-1ae2-4efc-a0ec-95e8bf682553} - C:\WINDOWS\system32\mdmblr.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [DataLayer] C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe

O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095687283297

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://www.mariatv.it/SOPCORE.CAB

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{300F155B-A0FE-4268-91F0-85B72ABF4FB8}: NameServer = 151.99.0.100

O17 - HKLM\System\CCS\Services\Tcpip\..\{D15C7449-0659-45CE-A239-262A54DF781E}: NameServer = 85.37.17.4 85.38.28.70

O20 - AppInit_DLLs:

O20 - Winlogon Notify: mdmblr - mdmblr.dll (file missing)

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)

O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--

End of file - 7358 bytes