Accedi per seguire   
Seguaci 0
frapippi

Trojan Win32

20 messaggi in questa discussione

ciao ragazzi, ho un problema che mi assilla da un po' di tempo..

innanzitutto un paio d'anni fa ho ripristinato il sistema a causa di un'infezione da trojan

in quest'occasione mi sono trovata nella sezione documents and setting più proprietari, nel senso che ho Proprietario, proprietario.francesca e proprietario.francesca001.

I primi due risulterebbero cartelle vuote, cliccandoci sopra mi dice accesso negato.

facendo una scansione con avast però, risulta che ci sono dei files all'interno e sistematicamente mi ritrovo un trojan.

Non riesco ad accedere alle cartelle in nessun modo che io conosca e fra l'altro sono convinta che all'interno ci siamo ancora tutti i dati che purtroppo ho perso col ripristino.

Qualcuno è in grado di dirmi come posso fare?

grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

purtroppo la scansione con kaspersky nn riesco a farla in quanto ho installato spyware doctor e mi dice di eliminare il programma per incompatibilità...

per quanto riguarda il log eccolo qui:

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

il log é pulito

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

immaginavo...

secondo me, come ho detto sopra, il problema sta nel fatto che nn ho l'accesso a quelle due cartelle proprietario, infatti controllandole singolarmente trovano WIN32:small -S ma nn riescono ad eliminarlo, nè a spostarlo nel cestino.

A parte il virus, a questo punto mi piacerebbe sapere se posso riuscire a recuperare i dati contenuti, perchè oltrettutto mi appessantiscono parecchio...

ciaoo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Virit ha trovato questo:

post-3886-1211035791_thumb.jpg

mentre per quanto riguarda combofix nn riesco ad aprirlo, cioè..l'ho salvato ma mi nega l'accesso :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

prima di eseguire combofix chiudi gli altri programmmi di sicurezza...

io ti consiglierei anche di disinstallare Avast e sostitirlo con Antivir

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

questo è il log di combofix...

ComboFix 08-05-15.3 - Proprietario 2008-05-17 22.07.44.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1040.18.390 [GMT 2:00]

Eseguito da: C:\Documents and Settings\Proprietario.FRANCESCA.001\Desktop\download\ComboFix.exe

* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

ADS - svchost.exe: deleted 36 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Edoardo.FRANCESCA\Impostazioni locali\Dati applicazioni\Microsoft\Windows Media\10.0\WMSDKNSD.XML

C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\AntispywareBot

C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\AntispywareBot\Log\2008 May 17 - 05_35_09 PM_843.log

C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\AntispywareBot\Log\2008 May 17 - 07_54_17 AM_171.log

C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\AntispywareBot\Log\2008 May 17 - 12_24_29 PM_156.log

C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\AntispywareBot\rs.dat

C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\AntispywareBot\Settings\IgnoreList.stg

C:\Programmi\Hotbar

C:\WINDOWS\Downloaded Program Files\eypa9iz

C:\WINDOWS\Downloaded Program Files\oc99ggk

C:\WINDOWS\Downloaded Program Files\oc99ggk\eey1ah3u.jar

C:\WINDOWS\Downloaded Program Files\Quarantine

C:\WINDOWS\Downloaded Program Files\setup.inf

C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

D:\Autorun.inf

.

((((((((((((((((((((((((( Files Creati Da 2008-04-17 al 2008-05-17 )))))))))))))))))))))))))))))))))))

.

2008-05-17 17:08 . 2008-05-17 17:19 <DIR> d-------- C:\WINDOWS\system32\NtmsData

2008-05-17 15:18 . 2008-03-17 19:23 39,808 --a------ C:\WINDOWS\system32\drivers\VIRAGTLT.SYS

2008-05-07 07:31 . 2008-05-07 07:31 <DIR> d-------- C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\Apple Computer

2008-04-28 07:50 . 2008-04-28 07:50 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Installations

2008-04-27 14:34 . 2008-05-10 16:24 <DIR> d-------- C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\Nokia

2008-04-18 13:52 . 2008-04-18 13:52 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Office Genuine Advantage

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-17 16:00 --------- d---a-w C:\Documents and Settings\All Users\Dati applicazioni\TEMP

2008-05-16 11:47 --------- d-----w C:\Programmi\Spyware Doctor

2008-05-16 06:20 --------- d---a-w C:\Programmi\File comuni\Adobe

2008-05-16 06:15 --------- d-----w C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\AdobeUM

2008-05-10 16:54 --------- d-----w C:\Programmi\iPod

2008-05-04 08:14 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard

2008-05-04 08:07 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy

2008-04-16 10:02 --------- d-----w C:\Programmi\NoAdware4

2008-04-09 05:48 --------- d-----w C:\Programmi\Windows Live

2008-04-09 05:31 --------- dcsh--w C:\Programmi\File comuni\WindowsLiveInstaller

2008-04-09 05:19 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\WLInstaller

2008-04-08 10:16 693,792 ----a-w C:\WINDOWS\system32\OGACheckControl.dll

2008-04-08 10:16 560,672 ----a-w C:\WINDOWS\system32\OGAAddin.dll

2008-04-08 10:16 504,864 ----a-w C:\WINDOWS\system32\OGAVerify.exe

2008-04-06 14:30 --------- d-----w C:\Programmi\Scadenzario Pro 1.0 Demo

2008-04-06 14:14 --------- d-----w C:\Programmi\Microsoft Silverlight

2008-04-06 14:06 --------- d-----w C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\Template

2008-04-05 17:43 --------- d-----w C:\Programmi\Safari

2008-04-05 17:30 --------- d-----w C:\Programmi\iTunes

2008-04-05 17:24 --------- d-----w C:\Programmi\QuickTime

2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51 183,072 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-20 08:06 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2007-12-22 18:36 92,064 ----a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\mqdmmdm.sys

2007-12-22 18:36 9,232 ----a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\mqdmmdfl.sys

2007-12-22 18:36 79,328 ----a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\mqdmserd.sys

2007-12-22 18:36 66,656 ----a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\mqdmbus.sys

2007-12-22 18:36 6,208 ----a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\mqdmcmnt.sys

2007-12-22 18:36 5,936 ----a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\mqdmwhnt.sys

2007-12-22 18:36 4,048 ----a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\mqdmcr.sys

2007-12-22 18:36 25,600 -c--a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\usbsermptxp.sys

2007-12-22 18:36 22,768 -c--a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\usbsermpt.sys

2006-11-24 11:29 30,816 -c--a-w C:\Documents and Settings\Proprietario.FRANCESCA.001\Dati applicazioni\GDIPFONTCACHEV1.DAT

2005-08-22 20:26 5,083,140 ----a-w C:\Programmi\zg602std.exe

2004-03-14 18:05 29,984 -c--a-w C:\WINDOWS\system32\config\systemprofile\Dati applicazioni\GDIPFONTCACHEV1.DAT

2004-03-14 18:05 29,984 ----a-w C:\Documents and Settings\edoardo\Dati applicazioni\GDIPFONTCACHEV1.DAT

2004-03-14 18:05 29,984 ----a-w C:\Documents and Settings\Edoardo.FRANCESCA\Dati applicazioni\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4f3ed5cd-0726-42a9-87f5-d13f3d2976ac}]

2007-12-17 11:12 56360 --a------ C:\Programmi\Windows Live\Family Safety\fssbho.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="C:\Programmi\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:39 15360]

"PC Suite Tray"="C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 11:12 695808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-08 00:04 52736]

"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2002-10-16 14:05 114688]

"StorageGuard"="C:\Programmi\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 15:01 155648]

"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2002-09-14 05:42 212992]

"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-08-11 21:43 7630848]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-08-11 21:43 86016]

"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40 2577632]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"Windows Defender"="C:\Programmi\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]

"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 17:44 61440]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

"QuickTime Task"="C:\Programmi\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]

"iTunesHelper"="C:\Programmi\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Nokia.PCSync"="C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 18:35 1294336]

"DWQueuedReporting"="C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 16:38 39264]

C:\Documents and Settings\Proprietario.FRANCESCA.001\Menu Avvio\Programmi\Esecuzione automatica\

Internet Explorer.lnk - C:\Programmi\Internet Explorer\iexplore.exe [2003-01-04 21:12:56 625664]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\

Adobe Reader Speed Launch.lnk - C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\StartupFaster

Adobe Reader Speed Launch.lnk - C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office10\OSA.EXE [2001-02-13 17:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.HFYU"= huffyuv.dll

"vidc.i263"= i263_32.drv

"vidc.yv12"= yv12vfw.dll

"msacm.l3fhg"= mp3fhg.acm

"msacm.imc"= imc32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programmi\\hp center\\137903\\Program\\BackWeb-137903.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\WINDOWS\\system32\\ftp.exe"=

"C:\\Programmi\\Internet Explorer\\iexplore.exe"=

"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Programmi\\iTunes\\iTunes.exe"=

R0 PzWDM;PzWDM;C:\WINDOWS\system32\Drivers\PzWDM.sys [2007-08-28 13:54]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R2 fssfltr;FssFltr;C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 13:53]

R2 fsssvc;Windows Live OneCare Family Safety;"C:\Programmi\Windows Live\Family Safety\fsssvc.exe" [2007-12-17 11:13]

R3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]

R3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 08:08]

S3 motccgp;Motorola USB Composite Device Driver;C:\WINDOWS\system32\DRIVERS\motccgp.sys [2007-06-20 15:57]

S3 motccgpfl;MotCcgpFlService;C:\WINDOWS\system32\DRIVERS\motccgpfl.sys [2007-01-23 21:03]

S3 MotDev;Motorola Inc. USB Device;C:\WINDOWS\system32\DRIVERS\motodrv.sys [2007-05-07 16:11]

*Newly Created Service* - CATCHME

.

Contenuto della cartella 'Scheduled Tasks'

"2008-05-06 20:37:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Programmi\Apple Software Update\SoftwareUpdate.exe

"2008-05-17 15:38:05 C:\WINDOWS\Tasks\MP Scheduled Scan.job"

- C:\Programmi\Windows Defender\MpCmdRun.exe

"2006-03-13 17:06:36 C:\WINDOWS\Tasks\XoftSpy.job"

- C:\Programmi\XoftSpy\XoftSpy.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-17 22:13:02

Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vsdatant]

"ImagePath"=""

.

Ora fine scansione: 2008-05-17 22.16.50

ComboFix-quarantined-files.txt 2008-05-17 20:15:44

22 Directory 11,760,631,808 byte disponibili

28 Directory 13,222,596,608 byte disponibili

164 --- E O F --- 2008-05-16 17:39:36

poi domani disinstallo avast, ma nn è proprio possibile accedere a quelle cartelle?

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

fai cosi ;

vai su start / esegui ,digita;

control userpasswords2

dai l'ok e dimmi quali utenti vedi...e soprattutto quali di loro non hai creato tu

Disinstalla NoAdware4

disattiva SpywareDoctor e fai uno scan online Kaspersky

ciao

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

allora, gli utenti che vedo:

administrator - administrators

edoardo - users

prorietario -administrators

li ho creati tutti io, nn vedo però proprietario.francesca e proprietario.francesca001, che facciano parte del proprietario presente?

per quanto riguarda kaspersky, eccolo qui:

http://www.wikifortio.com/616005/kasp.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

il log é irrangiungibile....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

nn sono riuscita ad aprirlo nemmeno io, devo rifarlo?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

se vogliamo contrallarlo si.... :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

nn so proprio come fare..

nn riesco ad aprirlo, ho fatto altre due scansione, ma è lo stesso..

mi da 5 virus e 12 oggetti infetti.

penso, nella mia ignoranza in materia, se si potesse accedere a quella cartella proprietario eppoi fare una scansione da lì?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

quella cartella é sul disco quindi viene scansionata .... devi solo postarmi il log dello scan

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

allora lo salvo come txt eppoi lo allego..è l'unica

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

devi salvarlo in html...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

in html nn riesco proprio a visualizzarlo..

provo a scannerizzare solo la cartella proprietario, vediamo che succede..

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

volevo dire che sono riuscita a risolvere il problema andando in modalità provvisoria ed accedendo come amministratore.

sono diventata proprietaria delle cartelle incriminate, ho eliminato il virus definitivamente e l'ultima scansione con kaspersky era negativa!

se a qualcuno può interessare come si fa a diventare proprietario di un file o una cartella io l'ho preso da qui:

http://support.microsoft.com/?kbid=308421

ciaoo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0