Icannews

[Guest lucass]

e che ci fai già sono state controllate tutte le schede avvio e esecuzione ma non con msconfig ma tramite le chiavi di registro

[astormilan]

Ciao,non so più che pensare tutte dll strane che se vuoi devi far controllare

C:\WINDOWS\SYSTEM32\cxbcatq.dll   

C:\WINDOWS\SYSTEM32\ifwphbk.dll     

C:\WINDOWS\SYSTEM32\iwwphbk.dll     

C:\WINDOWS\SYSTEM32\islzma.dll       

C:\WINDOWS\SYSTEM32\cdnns.dll         

C:\WINDOWS\SYSTEM32\winsusrm.dll     

C:\WINDOWS\SYSTEM32\mscms.dll         

C:\WINDOWS\SYSTEM32\sntupapi.dll     

C:\WINDOWS\SYSTEM32\icm32.dll         

C:\WINDOWS\SYSTEM32\atl71.dll         

C:\WINDOWS\SYSTEM32\mfc71.dll       

PS:Dammi un po di tempo per visualizzare gli altri file      

86857[/snapback]

Analizzati.

Trovato infezioni in

iwwphbk.dll cdnns.dll sntupapi.dll ----> deletati

i file cxbcatq.dll e ifwphbk.dll non me li ha caricati in quanto in uso

In allegato le dll in uso sotto controllo del rundll32

Procexp.txt

[Guest lucass]

ciao,mi servirebbe anche il nome del malware da cui sono infetti!! fatto la ricerca nel modo in cui ti ho messo sopra?

Ricordati di visualizzare i file e le cartelle nascoste(opzioni cartelle)

Ricordati che quando cerchi devi cercare in tutto il sistema,quindi prima di cercare c'è un pannellino "Altre opzioni avanzate di ricerca"cliccaci e metti le spunte nelle caselle

"Cerca nelle sottocartelle"

"Cerca nei file di sistema

"Cerca nei file e cartelle nascoste"

ed reinizia la ricerca dei file

casclient.exe

cassetup.exe

casstub.exe

cmappclient.exe

casmf.dll

dist001.exe

casstub.exe

Fatto la scansione on-line?abbi pazienza che risolviamo

NB:Aggiorna ad-ware,avvia in modalita provvisoria fai in modo che scansioni tutti i file

Vai su impostazioni(l'ingranaggio)

Modificato September 6, 2005 da lucass

[astormilan]

ciao,mi servirebbe anche il nome del malware da cui sono infetti!! fatto la ricerca nel modo in cui ti ho messo sopra?

Fatto la scansione on-line?abbi pazienza che risolviamo          

NB:Aggiorna ad-ware,avvia in modalita provvisoria fai in modo che scansioni tutti i file

Vai su impostazioni(l'ingranaggio)

86926[/snapback]

da dove lo scarico questo spy sweeper??

[astormilan]

Ciao,non vedo niente di strano fai una cosa:

Ricordati di visualizzare i file e le cartelle nascoste(opzioni cartelle)

Ricordati che quando cerchi devi cercare in tutto il sistema,quindi prima di cercare c'è un pannellino "Altre opzioni avanzate di ricerca"cliccaci e metti le spunte nelle caselle

"Cerca nelle sottocartelle"

"Cerca nei file di sistema

"Cerca nei file e cartelle nascoste"

ed reinizia la ricerca dei file

casclient.exe

cassetup.exe

casstub.exe

cmappclient.exe

casmf.dll

dist001.exe

casstub.exe

Poi fai una scansione on-line con Panda

Trovato niente.

Fatto ancora scan con panda.

In allegato il risultato

http://www.pandasoftware.com/products/acti...n_principal.htm

Fammi sapere         

PS:Qualcosa di quei file ci deve essere se l'adware è ancora presente

86912[/snapback]

Activescan.txt

[astormilan]

Secondo le mie conoscenze ...l'adware si chiama "icannews".

[Guest lucass]

OK,allora scaricati questo programma

http://securityresponse.symantec.com/avcenter/FxSpL2Me.exe

Disattiva il ripristino di configurazione di sistema

Avvia in modalità provvisoria

Avvia quel programma che hai scaricato

Svuota il cestino

-------------------------------------------------

Riavvia in modalita normale e fai analizzare questi 2 file

nei siti di ieri

http://www.virustotal.com/flash/index_en.html

http://virusscan.jotti.org/

C:\FOUND.003\FILE0021.CHK

C:\FOUND.003\ FILE0022.CHK

PS:Fammi sapere se quel programma ti trova l' Adware/Look2Me

Modificato September 6, 2005 da lucass

[astormilan]

OK,allora scaricati questo programma

http://securityresponse.symantec.com/avcenter/FxSpL2Me.exe

Disattiva il ripristino di configurazione di sistema

Avvia in modalità provvisoria

Avvia quel programma che hai scaricato

Svuota il cestino

-------------------------------------------------

Riavvia in modalita normale e fai analizzare questi 2 file

nei siti di ieri

http://www.virustotal.com/flash/index_en.html

http://virusscan.jotti.org/

C:\FOUND.003\FILE0021.CHK 

C:\FOUND.003\ FILE0022.CHK

         

     

PS:Fammi sapere se quel programma ti trova l' Adware/Look2Me

86941[/snapback]

Fatto...non ha trovato niente.

Approfittando della modalità provvisoria, ho fatto uno scan con Regblock e con Webroot (hard copy in allegato) che ha dato risultati diversi. Ho messo i 4 files in Killbox.

Ho fatto ancora il reboot........ma icannnews resiste ancora.

Sono sicuro che se rifaccio lo scan ho risulati diversi.

I look2me che ogni tanto compaiono non mi preoccupano più di tanto poichè è noto che icannnews scarica automaticamente puttanate (anche senza l'explorer aperto) che vengono per la maggior parte filtrate dai miei svariati antispy...ma qualcuno ne passa.

L'avevo detto che sto problema è supertosto!!!

Se riusciamo a risolverlo....per natale ti mando una bottiglia di champagne...

icannews.ppt

[Guest lucass]

Ma la cosa mi sembra molto ma molto strana,non so più cosa fare e pensare,provami a postare un log di hijack,ma comunque ci deve essere per forza quell'adware

Allora scarica questo programma e fallo andare

http://www.spywareinfo.com/~merijn/files/kill2me.zip

poi

salva questa pagina,lascia l'estensione com'è e finito quella scansione doppio click

http://www.pchell.com/downloads/removel2me.vbs

rifai la scansione on-line con panda e vedi se te lo trova ancora

http://www.pandasoftware.com/products/acti...n_principal.htm

[astormilan]

Ma la cosa mi sembra molto ma molto strana,non so più cosa fare e pensare,provami a postare un log di hijack,ma comunque ci deve essere per forza quell'adware

Allora scarica questo programma e fallo andare

http://www.spywareinfo.com/~merijn/files/kill2me.zip

poi

salva questa pagina,lascia l'estensione com'è e finito quella scansione doppio click

http://www.pchell.com/downloads/removel2me.vbs

rifai la scansione on-line con panda e vedi se te lo trova ancora

http://www.pandasoftware.com/products/acti...n_principal.htm

   

86985[/snapback]

Eccoti il log di hijack... e mi accingo a seguire gli altri tuoi suggerimenti

hijackthis.log

[astormilan]

Ma la cosa mi sembra molto ma molto strana,non so più cosa fare e pensare,provami a postare un log di hijack,ma comunque ci deve essere per forza quell'adware

Allora scarica questo programma e fallo andare

http://www.spywareinfo.com/~merijn/files/kill2me.zip

poi

salva questa pagina,lascia l'estensione com'è e finito quella scansione doppio click

http://www.pchell.com/downloads/removel2me.vbs

rifai la scansione on-line con panda e vedi se te lo trova ancora

http://www.pandasoftware.com/products/acti...n_principal.htm

   

86985[/snapback]

I primi 2 non hanno dato risultati...ora sta andando il panda.

Se spostassimo il "pensiero" sui registri???

[Steve Fox]

Ciao, trova questo file nel computer "Alaunch" e fallo analizzare qui: QUI

Dal log seguendo le procedure precedenti di lucass togli questo:

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

Per il resto è oc :P

[Guest lucass]

Si ma forse steve a quello che hai detto tu ci manca .exe partendo da quello penso che sia leggittimo,per piacere fai analizzare questi file

C:\WINDOWS\system32\UStorSrv.exe

C:\acer\epm\epm-dm.exe

C:\Windows\System32\Check.exe

C:\WINDOWS\system32\cxbcatq.dll

Almeno uno secondo me è infetto

Se spostassimo il "pensiero" sui registri???

Fino ad adesso ti ho controllato i registri

Comunque proviamo con un altra cosa

crea una nuova cartella sul desktop chiamala per esempio LUCAS e salva al suo interno questo file(file>salva pagina)

http://www.silentrunners.org/Silent%20Runners.vbs

senza essere connesso e con tutte le applicazioni chiuse, apri il file la scansione dura pochi secondi, ti si apre una finestra che ti dice percorso dove è stato salvato il file.

Clicca su Ok

Apri il file di testo che dovrebbe chiamarsi "Startup Programs_nome della tua macchina_data" e allega il risultato

Trattandosi di uno script il tuo antivirus potrebbe individuarlo come dannoso,disattiva momentaneamente il blocco degli script o dai l'ok all'esecuzione dello script

PS:Sono umano(per adesso) :andy: :andy: :andy: :andy:

Modificato September 6, 2005 da lucass

[astormilan]

Ciao, trova questo file nel computer "Alaunch" e fallo analizzare qui: QUI

Dal log seguendo le procedure precedenti di lucass togli questo:

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

Per il resto è oc :P

87004[/snapback]

Alaunch è pulito.....

Ho eliminato solidconverterpdf con hijack.

But......nothing has changed!!!

Grazie cmq per il consiglio

[Steve Fox]

Si ma forse steve a quello che hai detto tu ci manca .exe partendo da quello penso che sia leggittimo,per piacere fai analizzare questi file

C:\WINDOWS\system32\UStorSrv.exe

C:\acer\epm\epm-dm.exe

C:\Windows\System32\Check.exe

C:\WINDOWS\system32\cxbcatq.dll

Almeno uno secondo me è infetto

Fino ad adesso ti ho controllato i registri    

Comunque proviamo con un altra cosa

crea una nuova cartella sul desktop chiamala per esempio LUCAS e salva al suo interno questo file(file>salva pagina)

http://www.silentrunners.org/Silent%20Runners.vbs

senza essere connesso e con tutte le applicazioni chiuse, apri il file la scansione dura pochi secondi, ti si  apre una finestra che ti dice  percorso dove è stato salvato il file.

Clicca su Ok

Apri il file di testo che dovrebbe chiamarsi "Startup Programs_nome della tua macchina_data" e allega il risultato

Trattandosi di uno script il tuo antivirus potrebbe individuarlo come dannoso,disattiva momentaneamente il blocco degli script o dai l'ok all'esecuzione dello script

PS:Sono umano(per adesso) :andy:  :andy:  :andy:  :andy:

87008[/snapback]

[astormilan]

Si ma forse steve a quello che hai detto tu ci manca .exe partendo da quello penso che sia leggittimo,per piacere fai analizzare questi file

C:\WINDOWS\system32\UStorSrv.exe

C:\acer\epm\epm-dm.exe

C:\Windows\System32\Check.exe

C:\WINDOWS\system32\cxbcatq.dll

Almeno uno secondo me è infetto

Fino ad adesso ti ho controllato i registri    

Comunque proviamo con un altra cosa

crea una nuova cartella sul desktop chiamala per esempio LUCAS e salva al suo interno questo file(file>salva pagina)

http://www.silentrunners.org/Silent%20Runners.vbs

senza essere connesso e con tutte le applicazioni chiuse, apri il file la scansione dura pochi secondi, ti si  apre una finestra che ti dice  percorso dove è stato salvato il file.

Clicca su Ok

Apri il file di testo che dovrebbe chiamarsi "Startup Programs_nome della tua macchina_data" e allega il risultato

Trattandosi di uno script il tuo antivirus potrebbe individuarlo come dannoso,disattiva momentaneamente il blocco degli script o dai l'ok all'esecuzione dello script

PS:Sono umano(per adesso) :andy:  :andy:  :andy:  :andy:

87008[/snapback]

il file cxbcatq è sicuramente infetto...rilevato anche da ewido security....ma non riesco a deletarlo in quando "attivo"....il problema è sapere chi lo sta usando... e cmq jotti non me lo fa caricare. L'ho inserito in killbox...provo a fare il reboot.

[Guest lucass]

Aspetta che prendo la sfera e lo vedo :andy: :andy: :andy: se è in esecuzione,basta che apri il task manager o process explorer,selezioni ogni processo e selezioni l'opzione "vai al processo"ricordati di visualizzare le cartelle nascoste!!fammi sapere che mi sto impazzendo

PS:Hai provato in modalita provvisoria?scaricati autoruns e dimmi cosa c'è in avvio automatico

http://www.sysinternals.com/utilities/autoruns.html

Modificato September 6, 2005 da lucass

[Kuma]

[ot]

PS:Sono umano(per adesso)

siiiii... a chi vuoi raccontarla :andy: [ot] :spam:

[astormilan]

Si ma forse steve a quello che hai detto tu ci manca .exe partendo da quello penso che sia leggittimo,per piacere fai analizzare questi file

C:\WINDOWS\system32\UStorSrv.exe

C:\acer\epm\epm-dm.exe

C:\Windows\System32\Check.exe

C:\WINDOWS\system32\cxbcatq.dll

Almeno uno secondo me è infetto

Fino ad adesso ti ho controllato i registri    

Comunque proviamo con un altra cosa

crea una nuova cartella sul desktop chiamala per esempio LUCAS e salva al suo interno questo file(file>salva pagina)

http://www.silentrunners.org/Silent%20Runners.vbs

senza essere connesso e con tutte le applicazioni chiuse, apri il file la scansione dura pochi secondi, ti si  apre una finestra che ti dice  percorso dove è stato salvato il file.

Clicca su Ok

Apri il file di testo che dovrebbe chiamarsi "Startup Programs_nome della tua macchina_data" e allega il risultato

Trattandosi di uno script il tuo antivirus potrebbe individuarlo come dannoso,disattiva momentaneamente il blocco degli script o dai l'ok all'esecuzione dello script

PS:Sono umano(per adesso) :andy:  :andy:  :andy:  :andy:

87008[/snapback]

Ecco in allegato il risultato.

Startup_Programs__ACER_CB9F620F35__2005_09_06_18.23.27.txt

[astormilan]

Aspetta che prendo la sfera e lo vedo :andy:  :andy:  :andy:  se è in esecuzione,basta che apri il task manager o process explorer,selezioni ogni processo e selezioni l'opzione "vai al processo"ricordati di visualizzare le cartelle nascoste!!fammi sapere che mi sto impazzendo          

PS:Hai provato in modalita provvisoria?scaricati autoruns e dimmi cosa c'è in avvio automatico

http://www.sysinternals.com/utilities/autoruns.html

87018[/snapback]

Eccoti il risultato dell'autoruns.

AutoRuns.txt

[Guest lucass]

Analizzare se riesci in quei due siti

C:\WINDOWS\system32\MHRDO20.DLL

C:\WINDOWS\system32\cxbcatq.dll

Trova questo file Scrnsave.exe segnati il percorso e se puoi fallo analizzare

Modificato September 6, 2005 da lucass

[astormilan]

Analizzare se riesci in quei due siti    

C:\WINDOWS\system32\MHRDO20.DLL

C:\WINDOWS\system32\cxbcatq.dll

Trova questo file Scrnsave.exe segnati il percorso e se puoi fallo analizzare

87030[/snapback]

MHRDO20.DLL non esiste più...cancellato

cxbcatq.dll esiste ancora nonostante l'abbia messo in killbox e abbia dopo fatto il reboot; non mi fa fare l'upload in quanto 0kb...quindi non lo posso far analizzare da nessuno.

Come già detto, l'antispay "ewido security suite" l'ha evidenziato come infetto,, ma non riesce ad eliminarlo neanche lui: forse è un sottoprogramma lanciato da qualcosa d'altro. Non compare neanche nei processi come .dll

[astormilan]

Scrnsave.exe non esiste.

[Guest lucass]

Si,ok ho capito il problema l'unica cosa che possimo fare è questa:

Andare in modalita provvisoria aprire il task manager o process explorer e vedere quali processi girano,provare l'eliminazione dei processi fino a quando non se ne va quel file,l'unico modo è questo killare un processo alla volta fino a quando non si trova quello che lo crea!!ciao ciao

PS:Scaricati http://www.dr-hoiby.com/WhoLockMe/WhoLockMe104.zip

Il file compresso, non contiene un SetUp di installazione, ma una serie di file. Per installare il programma ed averlo quindi a portata di mano nel menu contestuale, procedere così:

Scompattate tutti i file in una cartella (consigliato NON usare il desktop... usate magari la cartella Documenti, ma ogni cartella va comunque bene...)

Cliccate a questo punto sul file "Install.bat" ed il programma e la relativa voce nel menu contestuale sarà installata.

BY

KUMA

poi cerchi quel file,tasto destro del mouse,selezioni il tasto WhoLockMe ti dovrebbe dire quale processo lo occupa vedi se lo riesce a killare

Modificato September 6, 2005 da lucass

[astormilan]

Si,ok ho capito il problema l'unica cosa che possimo fare è questa:

Andare in modalita provvisoria aprire il task manager o process explorer e vedere quali processi girano,provare l'eliminazione dei processi fino a quando non se ne va quel file,l'unico modo è questo killare un processo alla volta fino a quando non si trova quello che lo crea!!ciao ciao

87063[/snapback]

Adesso provo!