Laptop Hacker,

[neon]

Aiuto, il laptop è sotto attacco ieri sera ci ha disconnessi da internet un computer remoto ma non è in rete o nulla del genere

In pratica credo sia stato hackerato.....inoltre c'è il mcafee che non si disinstalla, posto anche un log di Malwarebytesantimalware e sllego log di HJT

Malwarebytes' Anti-Malware 1.17

Versione del database: 846

11.16.31 20/06/2008

mbam-log-6-20-2008 (11-15-55).txt

Tipo di scansione: Scansione rapida

Elementi scansionati: 42546

Tempo trascorso: 9 minute(s), 56 second(s)

Processi delle memoria infetti: 3

Moduli della memoria infetti: 0

Chiavi di registro infette: 2

Valori di registro infetti: 2

Elementi dato del registro infetti: 0

Cartelle infette: 6

File infetti: 51

Processi delle memoria infetti:

C:\WINDOWS\system32\spoolw.exe (Trojan.Downloader) -> No action taken.

C:\WINDOWS\system32\igfxsvc.exe (Trojan.Downloader) -> No action taken.

C:\WINDOWS\system32\igfxsvc.exe (Trojan.Downloader) -> No action taken.

Moduli della memoria infetti:

(Nessun elemento malevolo rilevato)

Chiavi di registro infette:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (Trojan.Downloader) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (Trojan.Downloader) -> No action taken.

Valori di registro infetti:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\spoolw (Trojan.Downloader) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\igfxsvc (Trojan.Downloader) -> No action taken.

Elementi dato del registro infetti:

(Nessun elemento malevolo rilevato)

Cartelle infette:

C:\Programmi\dynamic toolbar (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2 (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache (Adware.2020search) -> No action taken.

C:\Programmi\WinBudget (Adware.AdMedia) -> No action taken.

C:\Programmi\WinBudget\bin (Adware.AdMedia) -> No action taken.

File infetti:

C:\Programmi\dynamic toolbar\batch.bat (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\unins000.dat (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\unins000.exe (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\go.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\home.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\logo_pb.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\parent_off.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\parent_on.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\pbitv2tb0200.cfg (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\popup_off.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\popup_on.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\search.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\services.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\skin.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\skin1.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\skin2.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\skin3.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\skin4.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\skin5.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\store.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\style.css (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\support.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\Cache\ticker.xml (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\ErrorLog.txt (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\go.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\home.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\logo_pb.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\parent_off.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\parent_on.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\pbitv2tb0200.cfg (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\popup_off.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\popup_on.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\search.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\services.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\skin.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\skin1.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\skin2.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\skin3.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\skin4.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\skin5.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\store.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\style.css (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\support.bmp (Adware.2020search) -> No action taken.

C:\Programmi\dynamic toolbar\PBITV2\Cache\ticker.xml (Adware.2020search) -> No action taken.

C:\Programmi\WinBudget\bin\matrix.dll (Adware.AdMedia) -> No action taken.

C:\Programmi\WinBudget\bin\tempzor (Adware.AdMedia) -> No action taken.

C:\WINDOWS\iexplore_32.exe (Trojan.Downloader) -> No action taken.

C:\WINDOWS\w32dbg.exe (Trojan.Downloader) -> No action taken.

C:\WINDOWS\system32\spoolw.exe (Trojan.Downloader) -> No action taken.

C:\WINDOWS\system32\igfxsvc.exe (Trojan.Downloader) -> No action taken.

C:\Documents and Settings\gio\Impostazioni locali\Temp\us0105.exe (Trojan.Agent) -> No action taken.

Ah e intanto li ho fatti cancellare dal mbam,

e ora che fare??

GRZ ShapeS

hijackthis.log

[neon]

Ah e il comp si impalla a manetta

[Luke57]

Ciao, ci credo che s'impalli, sei molto infetto, scarica silentrunners da qui.

http://www.silentrunners.org/Silent%20Runners.vbs

mettilo in una cartella, avia il file .vbs, attendi il termine della scansione (ti avviserà con un messaggio), allega il report rilasciato (è un file di testo).

[neon]

Ciao Luke

grazie

e immaginavo, oggi nell'attesa mi sono un pò messo a smanettarci, e ho scoperto che ha un file autorun.ini che si rigenera e poi ci sono dei file sospetti creati il giorno in cui è comparso sto SNNECCI.vbs

ho aperto sto vbs come testo e c'è scritto che è una modifica di un trojan....

comunque ora scarico quel programma che mi hai indicato e procedo, ti farò sapere domani penso, se non riesco a connettermi prima.

Intanto Ciao

Shapes

[Steve75]

comincia co l'eliminare quanto trovato da malwarebytes... e poi evita di aprire post ovunque altrimenti crei solo confusione...

[neon]

comincia co l'eliminare quanto trovato da malwarebytes... e poi evita di aprire post ovunque altrimenti crei solo confusione...

Scusa steve hai ragione sbaglio mio.(troppi topic)

Bene(anzi male) silent runners non va. si blocca appena lo avvio

e parla di Wscript.vbs in windows/system32

In più il file SNNECCI.vbs in C:, e il file PC001.vbs sempre in C:, rislutano creati in data 28 maggio, e se li cancello ricompaiono li. quando li apro come testo,ci sono i comandi per cambiare nome e per scrivere in alto sulla barra di explorer, hacked by SNNECCI.

????che faccio????? (sarei tentato di formattare, ma è quasi una sfida riuscire a toglierlo.......

Grazie per l'aiuto

Ciao

[Steve75]

hai eliminato quanto trovato da MBA ? mi posti il log?

Poi portati nel registro, selezione risorse del computer (sempre nel registro)

premi F3 sulla tua tastiera, digita nel box bianco PC001.vbs e dai l'invio

elimina quanto trovato e premi sempre F3 fin quando non ottieni il messaggio che la ricerca é terminata

ripeti l'operazione con SNNECCI.vbs 

poi con OtMoveIt come spiegato qui

http://www.steven.altervista.org/files/tools1.html#tools5

elimina;

C:\SNNECCI.vbs 

C:\PC001.vbs

Alla fine scarica Virit

Installalo/aggiornalo e fai uno scan completo del sistema

[Luke57]

Ciao, silentrunners si blocca perchè hai questo malware:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Apri il registro di sistema (start>esegui>regedit (lo digiti nello spazio)>OK

Aperto l'editor cliccando sul segno + segui questo percorso:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, clicca sulla voce iexplore.exe e riporta che cosa trovi sulla destra della finestra (esattamente)

clicca sulla voce explorer.exe e riporta che cosa trovi sulla parte destra (esattamente)

ci dovrebbero essere dei richiami a files.

[Steve75]

ciao Luke...

grazie del tuo aiuto , ma evitiamo di dare mille procedure (che tra l'altro portano allo stesso risultato) altrimenti si rischia di confondere l'utente... 

[neon]

salve ragazzi,

eccomi quà....dunque,

durante il fine settimana prima di poter connettermi e vedere ciò che mi avete scritto....mi sono messo a tabanare, e alla fine, poichè avevo (per lo meno credo) individuato i file dannosi, con freefixer ho cancellato quei hkey local machine , che trovavo sospetti inoltre usavo CCLEANER e vedendo percorsi cercavo i file poi con Malware Bytes, c'e una pagina dove c'è fileassassin e ho cancellato PC001.vbs e SNNECCI.vbs, Ora non ricordo forse anche l'autorun.ini. comunque da li è andato tutto a posto e non sono più ricomparsi insomma la connessione funziona e non hanno più avuto problemi , gli ultimi due giorni.

Volevo comunque allegare l'ultimo log di HJT, ma purtroppo non son riuscito a portarmelo via. Comunque appena posso lo posto, così vediamo se è tutto ok...? che ne dite?....Grazie intanto.

Grazie Steve sei bravissimo a tener tutto sotto controllo!! tranquillo comunque ogni informazione mi fa capire un pò di più quello che faccio e a come muovermi nel sitema. Quindi grazie anche a Luke :-) :-)

P.S.

Questi due già non c'erano più quando li ho cercati, devo averli eliminati in qualche modo, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

GRAZIE GRAZIE A PRESTO!!!

[Luke57]

Ciao, te li ha fatti fuori malwarebyte's, il fatto che non ti funzionasse silentrunners mi aveva fatto pensare che ci fossero ancora, ma meglio così