Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 6 su 6
  1. 04-01-2010, 22:21 #1
    namberone non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2010
    Messaggi
    3

    win32/Olmarik trojan horse impossibile da disinfettare

    Salve a tutti....questo trojan mi sta facendo impazzire su un Asus EeePC con windows XP Home.

    win32/Olmarik trojan horse impossibile da disinfettare.

    Cosa mi consigliate?

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20.11.38, on 04/01/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Programmi\File comuni\InterVideo\RegMgr\iviRegMgr.exe
    C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Elantech\ETDCtrl.exe
    C:\Programmi\Elantech\ETDDect.exe
    C:\Programmi\EeePC\ACPI\AsTray.exe
    C:\Programmi\EeePC\ACPI\AsAcpiSvr.exe
    C:\Programmi\EeePC\ACPI\AsEPCMon.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
    C:\WINDOWS\system32\igfxext.exe
    C:\Programmi\Skype\Phone\Skype.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\Programmi\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
    C:\Programmi\Sun\StarOffice 8\program\soffice.exe
    C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\Programmi\Sun\StarOffice 8\program\soffice.BIN
    C:\Programmi\Skype\Plugin Manager\skypePM.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

    O4 - HKLM\..\Run: [ETDWare] C:\Programmi\Elantech\ETDCtrl.exe
    O4 - HKLM\..\Run: [ETDWareDetect] C:\Programmi\Elantech\ETDDect.exe
    O4 - HKLM\..\Run: [AsusTray] C:\Programmi\EeePC\ACPI\AsTray.exe
    O4 - HKLM\..\Run: [AsusACPIServer] C:\Programmi\EeePC\ACPI\AsAcpiSvr.exe
    O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programmi\EeePC\ACPI\AsEPCMon.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [Mobile Partner] "C:\Programmi\Alice MOBILE EM770\Alice MOBILE.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: StarOffice 8.lnk = C:\Programmi\Sun\StarOffice 8\program\quickstart.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: SuperHybridEngine.lnk = ?
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: ESET Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: IviRegMgr - InterVideo - C:\Programmi\File comuni\InterVideo\RegMgr\iviRegMgr.exe

    --
    End of file - 4172 bytes
    Rispondi quotando Rispondi quotando
  2. 04-01-2010, 23:00 #2
    Conetti non è in linea
    Utente di HTML.it L'avatar di Conetti
    Registrato dal
    Feb 2009
    Messaggi
    2,323
    Il log di HiJackThis è pulito.
    Riesci a postare un elenco delle applicazioni installate sul Pc (Start --> Pannello Di Controllo --> Installazione Applicazioni)?
    Ho il sospetto che il Trojan abbia installato un falso software anti-malware.
    Grazie
    Rispondi quotando Rispondi quotando
  3. 04-01-2010, 23:29 #3
    namberone non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2010
    Messaggi
    3
    Originariamente inviato da Conetti
    Il log di HiJackThis è pulito.
    Riesci a postare un elenco delle applicazioni installate sul Pc (Start --> Pannello Di Controllo --> Installazione Applicazioni)?
    Ho il sospetto che il Trojan abbia installato un falso software anti-malware.
    Grazie
    Intanto grazie...eccole

    01.JPG

    02.JPG

    03.JPG
    Rispondi quotando Rispondi quotando
  4. 05-01-2010, 15:18 #4
    Conetti non è in linea
    Utente di HTML.it L'avatar di Conetti
    Registrato dal
    Feb 2009
    Messaggi
    2,323
    Ciao, dagli screen-shots non rilevo software malevoli.
    La scansione, quando ti avvisa della presenza del virus, segnala anche il file infetto?
    Esegui una scansione con HiJackThis, però in Modalità Provvisoria.
    Per entrare in Modalità Provvisoria premi ripetutamente, dopo il caricamento del bios, il tasto F8 e seleziona la relativa opzione.
    Rispondi quotando Rispondi quotando
  5. 05-01-2010, 15:41 #5
    namberone non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2010
    Messaggi
    3
    Purtroppo ESET quando lo lancio, mi dice solo che trova quel trojan nella memoria, ma non indica nessun file o nessun processo purtroppo.

    ti allego il log eseguito da modalita' provvisoria....

    inoltre aggiungo che provando a fare una scansione con CUREIT, su un processo in memoria c:\windows\system32\svchost.exe:416 viene segnalata la presenza di una BackDoor.Tdss.565, ma come azione c'e' scritto Eradicato e non si puo' pulire o cancellare.

    Aiutooooo

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14.35.35, on 05/01/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O4 - HKLM\..\Run: [AsusTray] C:\Programmi\EeePC\ACPI\AsTray.exe
    O4 - HKLM\..\Run: [AsusACPIServer] C:\Programmi\EeePC\ACPI\AsAcpiSvr.exe
    O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programmi\EeePC\ACPI\AsEPCMon.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [Mobile Partner] "C:\Programmi\Alice MOBILE EM770\Alice MOBILE.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: StarOffice 8.lnk = C:\Programmi\Sun\StarOffice 8\program\quickstart.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: SuperHybridEngine.lnk = ?
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: ESET Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: IviRegMgr - InterVideo - C:\Programmi\File comuni\InterVideo\RegMgr\iviRegMgr.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

    --
    End of file - 3762 bytes
    Rispondi quotando Rispondi quotando
  6. 06-01-2010, 14:10 #6
    Conetti non è in linea
    Utente di HTML.it L'avatar di Conetti
    Registrato dal
    Feb 2009
    Messaggi
    2,323
    Il log di HiJackThis è pulito.
    Dalla Modalità Normale prova a scansionare mediante Malwarebytes' Anti-Malware.
    Prima di effettuare la scansione, disconnettiti da Internet/LAN e chiudi eventuali programmi aperti (compreso l'anti-virus): non eliminare niente, perchè i file segnalati potrebbero essere dei falsi-positivi, ma posta il log generato a fine analisi.
    Fammi sapere
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.