PDA

Visualizza la versione completa : Trojan horse Dialer.HXO


 
@rgo1
15-07-2007, 12:42
Trojan horse Dialer.HXO

L'ho beccato 2 volte di seguito stamattina
di due dimensioni (kb) diverse (?)

fortunatamente l'AVg l'ha beccato, loė'ho messo in Vault e poi ho fatto Heal.

risultano ancora entrambi in Vault

Cosa devo fare?

ho dato una passata anche di Spybot aggiornato ma non ha trovato nulla.

Grazie @.

windino
15-07-2007, 12:49
Due volte nello stesso giorno č probabile che vi sia giā un file maligno che fa riferimento ad un link esterno e lo scarica
Prova a postare un log di HiJack This (non so dove siano le istruzioni per scaricarlo-eseguirlo, controlla nelle info principali dei primi topic dei moderatori)

@rgo1
15-07-2007, 17:00
Eccolo:

Logfile of HijackThis v1.99.1
Scan saved at 15.56.27, on 15/07/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MDSETSPW.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE
C:\PROGRAMMI\STOPDIALERS\STOPDIALER.EXE
C:\PROGRAMMI\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\PROGRAMMI\WEB ACCELERATOR\COMPONENTS\NOWIMAGING.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Promemoria del Calendario di Microsoft Works.lnk = C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programmi\web accelerator\sliplsp.dll' missing
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/ACTIVEX/CONTROLS/MPLAYER/EN/NSMP2INF.CAB

Vedete qcosa di infetto?

Posso fare Wipe in AVG?


Strani questi:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programmi\web accelerator\sliplsp.dll' missing
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) -

non uso nč MSN nč WMP...(?)

Thx

windino
15-07-2007, 17:36
E' incredibile come tanti ottusi (per non usare parole peggiori) infestino il sito di HiJack inserendo i commenti piu disparati senza sapere una S.., confondendo poi e facendo perdere un sacco di tempo chi deve fare ricerca sui file.
Ad ogni modo il log dovrebbe essere a posto .(Non conosco win98 per cui preferisco non dare certezze)
Per quanto concerne le righe su cui hai dubbi sono piu sicure di tutte le altre :) quantomeno sono note. Il fatto che non usi messenger o winPlayer (quella stringa č riferita alla versione 6.4) non vuol dire che non siano installati e quindi accessibili da I Explorer (Messenger)
.................

Fai una ripulita generale (temp, cestino, cookie etc) .Se capita ancora prendi nota del nome completo del file e lo stato in cui sei con le pagine (se sei su particolari siti)
Altro al momento non c'č
Ciao :)

@rgo1
15-07-2007, 20:43
i file infetti erano questi:

C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\UPCNYBYD\11769-23[1].EXE
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\W9URCLUV\11769-23[1].EXE

ho dato una ripulita come consigliato.

ti ringrazio e mi scusi se ho fatto commenti inutili, sono una profana...

grazie ancora

ciao :)

windino
15-07-2007, 21:21
Ciao no non fraintendere per caritā ! :)
Alludevo ad altre persone, prima e per quanto riguarda i tuoi commenti inoltre citando una frase che ho letto la domanda piu stupida č quella che non abbianmo mai fatto (o qualcosa del genere)
A voler dire che nessun commento , domanda, supposizione č inutile !! Se non ci si interrogasse su un perchč la nostra conoscenza sarebbe zero e nello specifico hai fatto bene a chiedere di quelle righe, potevano essere benissimo BHO (oggetti del browser) installati da qualche malware

Ciao :)

@rgo1
16-07-2007, 09:35
ma figurati.
apprezzo molto la tua disponibilitā.

sai che l'ho giā ripreso?
stamattina accendo il pc mi parte automaticamente lo Scan pc di AVG e tac!
eccolo di nuovo.

stavolta il file č

C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\JA862UFQ\11769-23[1].EXE

ora ho anche un

Virus found Startpage (?)

qui:

C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\Y9KVEBMB\%73%68%65%2e%6a%73[1]

ho giā ripulito temp, cestino, cookie etc

aspetto fine scan per muovere nel Vault

decisamente lo prendo con IE
la Startpage č yahoo.com

poi sono andata su forum.html.it

e su Google.it

cosa ne pensi? a parte che č meglio che suo solo FF :)

ciao Lorena

@rgo1
16-07-2007, 09:50
rieccomi.

allora, l'automatic healing di AVG ha eliminato questo

Virus found Startpge
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\Y9KVEBMB\%73%68%65%2e%6a%73[1]

ma non č riuscito con questo

Trojan horse Dialer.HXO
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\JA862UFQ\11769-23[1].EXE

(mi dā file error)

che č stato messo in Vault (quarantena)

dō un'altra passata con Spybot.

ma col Trojan in Vault cosa devo fare?

grz

@rgo1
16-07-2007, 09:53
Intanto posto il nuovo LogFile:


Logfile of HijackThis v1.99.1
Scan saved at 8.49.09, on 16/07/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MDSETSPW.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\STOPDIALERS\STOPDIALER.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMI\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGVV.EXE
C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\PROGRAMMI\WEB ACCELERATOR\COMPONENTS\NOWIMAGING.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Promemoria del Calendario di Microsoft Works.lnk = C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programmi\web accelerator\sliplsp.dll' missing
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/ACTIVEX/CONTROLS/MPLAYER/EN/NSMP2INF.CAB

grz

@rgo1
16-07-2007, 10:11
spybot dice che sono pulita.

che ne dici di questo?

http://www.tuttogratis.it/software_gratis/scheda/start_page_guard/66117/6124/

il mio trojan parrebbe legato alla Startpage no?

Loading