La minaccia dei trojan horse


Rispondi
    Rispondi citando

La minaccia dei trojan horse

Fedeporcus » Sab Set 22, 2007 1:40 pm

Salve, vorrei fare una domanda a tutti gli utenti. Ieri sera ho fatto una scansione del sistema con Norton Internet Security (il mio sistema operativo e' Windows Vista) e ho rilevato un trojan horse ad alta pericolosita' che non puo' essere rimosso perché il mio antivirus non ne ha la possibilita'. Ho provato a metterlo in quarantena trascrivendo la posizione, la cartella e il nome del file nel campo del nome file perché non sono in grado di trovarlo con l'opzione Sfoglia. Purtroppo non riesco a completatre l'operazione. Cosa mi consigliate di fare?

Fedeporcus
Moderatore
Moderatore
 
Messaggi: 203
Registrato: 22/09/07 13:21
    Invia messaggio privato Profilo  

    Rispondi citando

Re: La minaccia dei trojan horse

Wolf Otakar » Sab Set 22, 2007 10:04 pm

Fedeporcus ha scritto: Cosa mi consigliate di fare?


Ciao Fedeporcus,

effettua una scansione con hijackthis e posta il risultato di scansione nella sezione adeguata!

Ciao! Wink

_________________
Segui WolfOtakar su Twitter Smile

Vacanze in Calabria

Wolf Otakar
Admin
Admin
 
Messaggi: 2842
Registrato: 12/02/07 22:49
Residenza: Regedit
    Invia messaggio privato Profilo  

    Rispondi citando

Re: La minaccia dei trojan horse

francois007 » Dom Set 23, 2007 2:39 am

Un trojan, una volta eseguito, diventa una piaga difficile da debellare... Se hai un software antivirus effettua una scansione... e vedi un pò che risultati ti dà.

Di solito i trojan si annidano in programmi da installare... o in file compressi... e molti antivirus non hanno la funzione di scansione all'interno di questi archivi compressi.

Solo una volta eseguiti, o decompressi, questi maledetti trojan vengono immediatamente scovati dai software di sicurezza, sempre che siano attivi in modalità background.

La piaga maggiore è che, una volta installati, i trojan (che possono contenere ogni sorta di virus al proprio interno), lasciano una traccia all'interno del registro di sistema... il cuore del sistema operativo.

Quindi non basta solo cancellare il file dannoso, ma andrebbero cancellate anche le relative chiavi... che permettono al virus di replicarsi nuovamente al successivo riavvio del sistema operativo. Lavoro che fanno quasi egregiamente un pò tutti gli antivirus, commerciali e gratuiti.

Posta pure il nome del file che ti sta dando rogne... oltre a seguire il pezioso consiglio di Capitan Wolf.

Dimmi che antivirus hai installato... e se è aggiornato con le ultime defininizioni dei virus conosciuti.

A presto.

_________________
Computer Assemblati, Netbook, Notebook, Vendita PC

francois007
SuperMod
SuperMod
 
Messaggi: 856
Registrato: 01/03/07 00:29
Residenza: LINUX KERNEL
    Invia messaggio privato Profilo [ Nascosto ] HomePage MSN

    Rispondi citando

Intrusi

Fedeporcus » Dom Set 23, 2007 1:01 pm

Prima di tutto volevo ringraziare entrambi i collaboratori del forum che hanno prontamenta risposto alle mie domande. Prima di tutto specifichero' il mio antivirus: Norton Internet Security (quest'ultimo è dotato di un potente firewall che ho sostituito a quello del sistema operativo, che è windows Vista Home Premium) e ho effettuato tutti gli aggiornamenti. Il nome file di questo trojan è( vorrei sottolineare che l'amministratore del computer è Kid Bu):
[eik.exe] e il percorso è[C:\users\kid bu\appdata\local\microsoft\temporary internet files\low\content.ie5\t2btry8g\liemovies[1].cab]
Quello qui sotto è il risultato della scansione con Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 13.47.04, on 23/09/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Windows\System32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Program Files\MarkAny\ContentSafer\MaAgent.exe
C:\Program Files\cFosSpeed\cfosspeed.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATIBKE.EXE
C:\Windows\ehome\ehtray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\RedStrike\UltraWipe\Launcher.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\KIDBU~1\AppData\Local\Temp\Rar$EX01.216\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ycomp/defaults/sp/*http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Program Files\Multi_Media_Italy\tbMult.dll
R3 - URLSearchHook: Online_TV toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Program Files\Online_TV\tbOnli.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Program Files\Multi_Media_Italy\tbMult.dll
O2 - BHO: Online_TV toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Program Files\Online_TV\tbOnli.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Program Files\Multi_Media_Italy\tbMult.dll
O3 - Toolbar: Online_TV toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Program Files\Online_TV\tbOnli.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [EPSON Product Si rammenta di effettuare la registrazione] C:\Windows\Temp\RegModule.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALuNotify.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [EPSON Stylus DX7000F Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBKE.EXE /FU "C:\Windows\TEMP\E_SC457.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: Personal Player.lnk = C:\Program Files\Web Hottest Videos Personal Player\Dragon Ball Z Budokai Tenkaichi 3 ps2 Web hottest videos personal player.exe
O4 - Startup: Registration Prince of Persia Spirito Guerriero.LNK = Kid Bu\Saved Games\Prince of Persia Spirito Guerriero\Support\Register\RegistrationReminder.exe
O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Register\schedule.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Ultra Wipe Launcher.lnk = C:\Program Files\RedStrike\UltraWipe\Launcher.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-a1ff23c8436733e7.spaces.live.com/PhotoUpload/VistaMsnPUpldit-it.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CA32278-B005-4F14-83B2-917B7C8FB2F2}: NameServer = 85.37.17.16 85.38.28.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Fedeporcus
Moderatore
Moderatore
 
Messaggi: 203
Registrato: 22/09/07 13:21
    Invia messaggio privato Profilo  

    Rispondi citando

Re: Intrusi

francois007 » Dom Set 23, 2007 2:30 pm

Fixa subito questa chiave

O4 - Global Startup: Ultra Wipe Launcher.lnk = C:\Program Files\RedStrike\UltraWipe\Launcher.exe


... fai in seguito una scansione del sistema col tuo antivirus...

In tutta sincerità tanto di cappello per il caro vecchio Norton... ma, secondo me, è di gran lunga superiore Free Avast for Home Edition... fidati da chi di software ne ha testati... perdendoci intere giornate e soprattutto nottare.

Fammi sapere al più presto.

Ciao bello.

_________________
Computer Assemblati, Netbook, Notebook, Vendita PC

francois007
SuperMod
SuperMod
 
Messaggi: 856
Registrato: 01/03/07 00:29
Residenza: LINUX KERNEL
    Invia messaggio privato Profilo [ Nascosto ] HomePage MSN

    Rispondi citando

Fedeporcus » Dom Set 23, 2007 3:42 pm

Grazie! Purtroppo ho un piccolo problema. Quando, dopo aver selezionato al chiave, clicco sul tasto Fix checked mi compare il seguente messaggio:
Unable to delete the file:
04-Global Startup: Ultra Wipe Launcher.ink= C:\Program Files\RedStrike\UltraWipe\Launcher.exe

The file may be in use. Use Task Manager to shutdown the program and run HijackThis again to delete the file.
Che devo fare?
Comunque, riguardo a Norton stavo giusto aspettando la fine dell'abbonamento per sostituirlo ad AVG o a Avast! Wink
Grazie ancora.

Fedeporcus
Moderatore
Moderatore
 
Messaggi: 203
Registrato: 22/09/07 13:21
    Invia messaggio privato Profilo  

    Rispondi citando

Wolf Otakar » Dom Set 23, 2007 8:30 pm

Fedeporcus ha scritto:04-Global Startup: Ultra Wipe Launcher.ink= C:\Program Files\RedStrike\UltraWipe\Launcher.exe
Che devo fare?


Ciao Federico,
prima di fixare alcune voci sospette, tra cui:

O4 - Global Startup: Ultra Wipe Launcher.lnk = C:\Program Files\RedStrike\UltraWipe\Launcher.exe


ti consiglio di scaricare il trial Virit Antivirus; aggiornalo ed effettua una scansione "meglio in modalita' provvisoria", disattivando momentaneamente il tuo antivirus!

Al termine della scansione, posta il risultato qui nel forum!

A presto...ciao!

_________________
Segui WolfOtakar su Twitter Smile

Vacanze in Calabria

Wolf Otakar
Admin
Admin
 
Messaggi: 2842
Registrato: 12/02/07 22:49
Residenza: Regedit
    Invia messaggio privato Profilo  

    Rispondi citando

Fedeporcus » Lun Set 24, 2007 2:24 pm

Ecco i risultati della scansione con VirIt: un giorno riusciro' a capirci qualcosa anch'io....
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
24/09/2007 - 14:40:07

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 0.
Files Totali: 0.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
[Hidden Services]
eeCtrl - Symantec Eraser Control driver - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys
IDSvix86 - Symantec Intrusion Prevention Driver - \??\C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20070921.001\IDSvix86.sys
SPBBCDrv - SPBBCDrv - \??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys
SRTSPX - SRTSPX - System32\Drivers\SRTSPX.SYS
SYMTDI - SYMTDI - \SystemRoot\System32\Drivers\SYMTDI.SYS
comHost - COM Host - "C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe"
EraserUtilRebootDrv - EraserUtilRebootDrv - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
ISPwdSvc - Convalida password di Symantec IS - "C:\Program Files\Norton Internet Security\isPwdSvc.exe"
LiveUpdate - LiveUpdate - "C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"
SRTSP - SRTSP - System32\Drivers\SRTSP.SYS
SRTSPL - SRTSPL - System32\Drivers\SRTSPL.SYS
Symantec Core LC - Symantec Core LC - "C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe"
SYMDNS - \SystemRoot\System32\Drivers\SYMDNS.SYS
SymEvent - \??\C:\Windows\system32\Drivers\SYMEVENT.SYS
SYMFW - \SystemRoot\System32\Drivers\SYMFW.SYS
SYMIDS - \SystemRoot\System32\Drivers\SYMIDS.SYS
SYMNDISV - \SystemRoot\System32\Drivers\SYMNDISV.SYS
SYMREDRV - \SystemRoot\System32\Drivers\SYMREDRV.SYS

OK
[SCANSIONE DELLA MEMORIA]
[Hidden Services]
eeCtrl - Symantec Eraser Control driver - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys
IDSvix86 - Symantec Intrusion Prevention Driver - \??\C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20070921.001\IDSvix86.sys
SPBBCDrv - SPBBCDrv - \??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys
SRTSPX - SRTSPX - System32\Drivers\SRTSPX.SYS
SYMTDI - SYMTDI - \SystemRoot\System32\Drivers\SYMTDI.SYS
comHost - COM Host - "C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe"
EraserUtilRebootDrv - EraserUtilRebootDrv - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
ISPwdSvc - Convalida password di Symantec IS - "C:\Program Files\Norton Internet Security\isPwdSvc.exe"
LiveUpdate - LiveUpdate - "C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"
SRTSP - SRTSP - System32\Drivers\SRTSP.SYS
SRTSPL - SRTSPL - System32\Drivers\SRTSPL.SYS
Symantec Core LC - Symantec Core LC - "C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe"
SYMDNS - \SystemRoot\System32\Drivers\SYMDNS.SYS
SymEvent - \??\C:\Windows\system32\Drivers\SYMEVENT.SYS
SYMFW - \SystemRoot\System32\Drivers\SYMFW.SYS
SYMIDS - \SystemRoot\System32\Drivers\SYMIDS.SYS
SYMNDISV - \SystemRoot\System32\Drivers\SYMNDISV.SYS
SYMREDRV - \SystemRoot\System32\Drivers\SYMREDRV.SYS

OK
--------------------------------------------------------
24/09/2007 - 14:55:36

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: Non analizzato, mancano i privilegi di amministratore
BOOT SECTOR: Non analizzato, mancano i privilegi di amministratore

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
24/09/2007 - 14:40:07

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 0.
Files Totali: 0.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
[Hidden Services]
eeCtrl - Symantec Eraser Control driver - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys
IDSvix86 - Symantec Intrusion Prevention Driver - \??\C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20070921.001\IDSvix86.sys
SPBBCDrv - SPBBCDrv - \??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys
SRTSPX - SRTSPX - System32\Drivers\SRTSPX.SYS
SYMTDI - SYMTDI - \SystemRoot\System32\Drivers\SYMTDI.SYS
comHost - COM Host - "C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe"
EraserUtilRebootDrv - EraserUtilRebootDrv - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
ISPwdSvc - Convalida password di Symantec IS - "C:\Program Files\Norton Internet Security\isPwdSvc.exe"
LiveUpdate - LiveUpdate - "C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"
SRTSP - SRTSP - System32\Drivers\SRTSP.SYS
SRTSPL - SRTSPL - System32\Drivers\SRTSPL.SYS
Symantec Core LC - Symantec Core LC - "C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe"
SYMDNS - \SystemRoot\System32\Drivers\SYMDNS.SYS
SymEvent - \??\C:\Windows\system32\Drivers\SYMEVENT.SYS
SYMFW - \SystemRoot\System32\Drivers\SYMFW.SYS
SYMIDS - \SystemRoot\System32\Drivers\SYMIDS.SYS
SYMNDISV - \SystemRoot\System32\Drivers\SYMNDISV.SYS
SYMREDRV - \SystemRoot\System32\Drivers\SYMREDRV.SYS

OK
[SCANSIONE DELLA MEMORIA]
[Hidden Services]
eeCtrl - Symantec Eraser Control driver - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys
IDSvix86 - Symantec Intrusion Prevention Driver - \??\C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20070921.001\IDSvix86.sys
SPBBCDrv - SPBBCDrv - \??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys
SRTSPX - SRTSPX - System32\Drivers\SRTSPX.SYS
SYMTDI - SYMTDI - \SystemRoot\System32\Drivers\SYMTDI.SYS
comHost - COM Host - "C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe"
EraserUtilRebootDrv - EraserUtilRebootDrv - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
ISPwdSvc - Convalida password di Symantec IS - "C:\Program Files\Norton Internet Security\isPwdSvc.exe"
LiveUpdate - LiveUpdate - "C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"
SRTSP - SRTSP - System32\Drivers\SRTSP.SYS
SRTSPL - SRTSPL - System32\Drivers\SRTSPL.SYS
Symantec Core LC - Symantec Core LC - "C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe"
SYMDNS - \SystemRoot\System32\Drivers\SYMDNS.SYS
SymEvent - \??\C:\Windows\system32\Drivers\SYMEVENT.SYS
SYMFW - \SystemRoot\System32\Drivers\SYMFW.SYS
SYMIDS - \SystemRoot\System32\Drivers\SYMIDS.SYS
SYMNDISV - \SystemRoot\System32\Drivers\SYMNDISV.SYS
SYMREDRV - \SystemRoot\System32\Drivers\SYMREDRV.SYS

OK
--------------------------------------------------------
24/09/2007 - 14:55:36

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: Non analizzato, mancano i privilegi di amministratore
BOOT SECTOR: Non analizzato, mancano i privilegi di amministratore

C:\Users\Kid Bu\AppData\Local\Temp\ShoppingReport.dll Infetto da BHO.Shopper.D
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 111756.
Files Totali: 111756.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.

Fedeporcus
Moderatore
Moderatore
 
Messaggi: 203
Registrato: 22/09/07 13:21
    Invia messaggio privato Profilo  

    Rispondi citando

Wolf Otakar » Lun Set 24, 2007 2:48 pm

Ciao,

virit ha rimosso questo: BHO.Shopper.D Wink

Fedeporcus ha scritto:C:\Users\Kid Bu\AppData\Local\Temp\ShoppingReport.dll Infetto da BHO.Shopper.D
* * * RIMOSSO * * *

Files Infetti: 1.
Virus Rimossi: 1.



Ora, posta un log con hijackthis, nella sua nella sezione adeguata!!

_________________
Segui WolfOtakar su Twitter Smile

Vacanze in Calabria

Wolf Otakar
Admin
Admin
 
Messaggi: 2842
Registrato: 12/02/07 22:49
Residenza: Regedit
    Invia messaggio privato Profilo  


Rispondi

Sicurezza Informatica

Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi