Trojan horse Dialer.HXO
L'ho beccato 2 volte di seguito stamattina
di due dimensioni (kb) diverse (?)
fortunatamente l'AVg l'ha beccato, loì'ho messo in Vault e poi ho fatto Heal.
risultano ancora entrambi in Vault
Cosa devo fare?
ho dato una passata anche di Spybot aggiornato ma non ha trovato nulla.
Grazie @.
"Chi se ne frega, disse il mago alla strega, ora vado nel bosco e mi faccio una s...passeggiata."
------------------------
Antipatichi!
Due volte nello stesso giorno è probabile che vi sia già un file maligno che fa riferimento ad un link esterno e lo scarica
Prova a postare un log di HiJack This (non so dove siano le istruzioni per scaricarlo-eseguirlo, controlla nelle info principali dei primi topic dei moderatori)
Sono Löstinö, è sufficiente"Volito vivos per ora virum"
Eccolo:
Logfile of HijackThis v1.99.1
Scan saved at 15.56.27, on 15/07/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MDSETSPW.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE
C:\PROGRAMMI\STOPDIALERS\STOPDIALER.EXE
C:\PROGRAMMI\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\PROGRAMMI\WEB ACCELERATOR\COMPONENTS\NOWIMAGING.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Promemoria del Calendario di Microsoft Works.lnk = C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programmi\web accelerator\sliplsp.dll' missing
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/ACTIVEX...N/NSMP2INF.CAB
Vedete qcosa di infetto?
Posso fare Wipe in AVG?
Strani questi:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programmi\web accelerator\sliplsp.dll' missing
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) -
non uso nè MSN nè WMP...(?)
Thx
"Chi se ne frega, disse il mago alla strega, ora vado nel bosco e mi faccio una s...passeggiata."
------------------------
Antipatichi!
E' incredibile come tanti ottusi (per non usare parole peggiori) infestino il sito di HiJack inserendo i commenti piu disparati senza sapere una S.., confondendo poi e facendo perdere un sacco di tempo chi deve fare ricerca sui file.
Ad ogni modo il log dovrebbe essere a posto .(Non conosco win98 per cui preferisco non dare certezze)
Per quanto concerne le righe su cui hai dubbi sono piu sicure di tutte le altre
.................
Fai una ripulita generale (temp, cestino, cookie etc) .Se capita ancora prendi nota del nome completo del file e lo stato in cui sei con le pagine (se sei su particolari siti)
Altro al momento non c'è
Ciao
Sono Löstinö, è sufficiente
i file infetti erano questi:
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\UPCNYBYD\11769-23[1].EXE
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\W9URCLUV\11769-23[1].EXE
ho dato una ripulita come consigliato.
ti ringrazio e mi scusi se ho fatto commenti inutili, sono una profana...
grazie ancora
ciao
"Chi se ne frega, disse il mago alla strega, ora vado nel bosco e mi faccio una s...passeggiata."
------------------------
Antipatichi!
Ciao no non fraintendere per carità !
Alludevo ad altre persone, prima e per quanto riguarda i tuoi commenti inoltre citando una frase che ho letto la domanda piu stupida è quella che non abbianmo mai fatto (o qualcosa del genere)
A voler dire che nessun commento , domanda, supposizione è inutile !! Se non ci si interrogasse su un perchè la nostra conoscenza sarebbe zero e nello specifico hai fatto bene a chiedere di quelle righe, potevano essere benissimo BHO (oggetti del browser) installati da qualche malware
Ciao
Sono Löstinö, è sufficiente
ma figurati.
apprezzo molto la tua disponibilità.
sai che l'ho già ripreso?
stamattina accendo il pc mi parte automaticamente lo Scan pc di AVG e tac!
eccolo di nuovo.
stavolta il file è
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\JA862UFQ\11769-23[1].EXE
ora ho anche un
Virus found Startpage (?)
qui:
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\Y9KVEBMB\%73%68%65%2e%6a%73[1]
ho già ripulito temp, cestino, cookie etc
aspetto fine scan per muovere nel Vault
decisamente lo prendo con IE
la Startpage è yahoo.com
poi sono andata su forum.html.it
e su Google.it
cosa ne pensi? a parte che è meglio che suo solo FF
ciao Lorena
"Chi se ne frega, disse il mago alla strega, ora vado nel bosco e mi faccio una s...passeggiata."
------------------------
Antipatichi!
rieccomi.
allora, l'automatic healing di AVG ha eliminato questo
Virus found Startpge
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\Y9KVEBMB\%73%68%65%2e%6a%73[1]
ma non è riuscito con questo
Trojan horse Dialer.HXO
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\JA862UFQ\11769-23[1].EXE
(mi dà file error)
che è stato messo in Vault (quarantena)
dò un'altra passata con Spybot.
ma col Trojan in Vault cosa devo fare?
grz
"Chi se ne frega, disse il mago alla strega, ora vado nel bosco e mi faccio una s...passeggiata."
------------------------
Antipatichi!
Intanto posto il nuovo LogFile:
Logfile of HijackThis v1.99.1
Scan saved at 8.49.09, on 16/07/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MDSETSPW.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\STOPDIALERS\STOPDIALER.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMI\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGVV.EXE
C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\PROGRAMMI\WEB ACCELERATOR\COMPONENTS\NOWIMAGING.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Promemoria del Calendario di Microsoft Works.lnk = C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programmi\web accelerator\sliplsp.dll' missing
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/ACTIVEX...N/NSMP2INF.CAB
grz
"Chi se ne frega, disse il mago alla strega, ora vado nel bosco e mi faccio una s...passeggiata."
------------------------
Antipatichi!
spybot dice che sono pulita.
che ne dici di questo?
http://www.tuttogratis.it/software_g...rd/66117/6124/
il mio trojan parrebbe legato alla Startpage no?
"Chi se ne frega, disse il mago alla strega, ora vado nel bosco e mi faccio una s...passeggiata."
------------------------
Antipatichi!
Permessi di invio
Rispondi quotando