Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7
  1. 12-04-2006, 17:50 #1
    mattiav
    mattiav non è in linea
    Utente di HTML.it
    Registrato dal
    Mar 2006
    Messaggi
    11

    AIUTO: Goldun non vuole morire!

    Salve,
    vi scrivo dopo averle tentate tutte...
    Premetto che ho seguito alla lettera i passi indicati da Habanero riguardo la rimozione dei malware.
    Ormai ho il pc zeppo di antivirus e anti malware vari.
    Dopo varie scansioni, sia in modalità normale che in modalità provvisoria (e senza essere collegato alla rete) ho eliminato tutti i malware segnalati.
    La maggior parte sono stati segnalati dal Kaspersky, di cui, dopo avere fatto la scansione on line, ho installato ed eseguito la versione di prova (Expolit.Java.ByteVerify, Trojan.Java.ClassLoader.ai, Trojan.Downloader.Win32.Zlob.jm, Trojan.Downloader.Win32.Small.bta, Trojan.Proxy.Agent.jo, Packed.Win32.Tibs)
    Fatto tutto ciò, SpyBot Search & Destroy continua a trovare "Goldun".
    Ora, non so quanto esso possa essere dannoso.
    Posso, secondo voi, navigare tranquillo?
    Anche in siti di e-commerce o e-banking?
    Apparentemente non ci sono comportamenti strani, tipo reindirizzamenti, comparsa di pop up o rallentamenti.
    L'unica cosa strana è che ci sono un paio di siti che non riesco più a vedere.
    Cioè: la pagina viene apparenemete caricata (clessidra e progress bar in funzione) ma viene visualizzata completamente bianca.

    A questo punto chiedo il vostro aiuto, pertanto vi allego il log di HiJak...


    Logfile of HijackThis v1.99.1
    Scan saved at 17.27.43, on 12/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Apache Group\Apache2\bin\Apache.exe
    C:\Programmi\Symantec AntiVirus\DefWatch.exe
    C:\Programmi\ewido anti-malware\ewidoctrl.exe
    C:\Programmi\ewido anti-malware\ewidoguard.exe
    C:\Programmi\Apache Group\Apache2\bin\Apache.exe
    C:\Programmi\Firebird\Firebird_1_5\bin\fbguard.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
    C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
    C:\Programmi\Symantec AntiVirus\Rtvscan.exe
    C:\Programmi\Firebird\Firebird_1_5\bin\fbserver.ex e
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\igfxtray.exe
    C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
    C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~2\VPTray.exe
    C:\Programmi\Windows Defender\MSASCui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
    C:\program files\InterMute\SpySubtract\SpySub.exe
    C:\Programmi\OpenOffice.org1.1.0\program\soffice.e xe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\HiJack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O1 - Hosts: 81.115.187.146 arasar
    O1 - Hosts: 81.115.187.146 ara400
    O1 - Hosts: 81.115.187.146 aras400
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
    O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
    O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
    O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programmi\OpenOffice.org1.1.0\program\quickstar t.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
    O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
    O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O12 - Plugin for .bmp: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .tif: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .wav: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {FFFF0027-0001-101A-A3C9-08002B2F49FB} - http://www.ilmeteo.it/39A002.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{61102125-EF54-47F0-A2A1-38C0BA5497B7}: NameServer = 212.131.30.42,212.131.30.43
    O20 - Winlogon Notify: extxerox - C:\WINDOWS\SYSTEM32\extxerox.dll
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
    O20 - Winlogon Notify: WB - C:\PROGRA~1\OBJECT~1\WINDOW~1\fastload.dll
    O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
    O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programmi\Firebird\Firebird_1_5\bin\fbguard.exe
    O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programmi\Firebird\Firebird_1_5\bin\fbserver.ex e
    O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
    O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe

    Spero di risolvere, nel frattempo vi ringrazio in anticipo.
    Vi leggerò domani.
    Ciao.

    Rispondi quotando Rispondi quotando
  2. 12-04-2006, 18:46 #2
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Ciao, questo è un dialer che ti permette di accedere a contenuti a pagamento del sito ilmeteo.it al costo di 1,86 euro/min per massimo 7 minuti. Vedi tu se ti serve o vuoi disinstallarlo. Nel caso questa voce è da eliminare.
    O16 - DPF: {FFFF0027-0001-101A-A3C9-08002B2F49FB} - http://www.ilmeteo.it/39A002.exe
    Poi c'è un tool di amministrazione remota sul tuo PC, che se non è installato dalla tua azienda (è un computer aziendale vero?) devi eliminare. La voce è questa:
    O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
    Però il tuo vero problema è la dll extxerox.dll (Win32.Goldun.ih) che potrebbe essere collegata a qualche rootkit. Se è così troveremo anche socket573.sys o similare nascosto alle API di Windows...
    Però Ewido dovrebbe riconoscerlo. Sei sicuro di averlo aggiornato online prima di usarlo? Se non l'hai fatto provvedi subito ad aggiornarlo.

    Proviamo così:

    Per favore, metti in un file zip il file extxerox.dll (C:\WINDOWS\SYSTEM32) e invialo a Suspectfile. Per trovarlo abilita se necessario la visualizzazione dei file nascosti/sistema:
    - apri gestione risorse
    - dal menu selezona strumenti\opzioni cartella
    - seleziona il tab visualizzazione
    - metti la spunta alla casella "visualizza file e cartelle nascoste"
    - togli la spunta alla casella "nascondi file di sistema (consigliato)"
    - clicca "Si", poi "Applica", poi "OK".
    scarica ATFCleaner da Atribune e salvalo sul desktop

    scaricati Blacklite e salvalo sul desktop. Avvialo e cancella tutto quello che trova e salva il log della scansione.

    Disabilita il ripristino di configurazione: clicca con il tasto destro sull'icona del Desktop "risorse del computer", dal menù a tendina scegli "proprietà". Metti il flag alla voce "Disabilita ripristino configurazione di sistema" e premi "OK"

    Riavvia in modalità provvisoria: premi F8 al Boot e dal menu che seleziona "modalità Provvisoria" (safe mode)

    Eventualmente usa ancora Ewido se non l'avevi usato prima dalla provvisoria o se l'hai appena aggiornato. Cancella tutto quello che trova.

    Avvia HijackThis dal link sul desktop. Quando è aperto chiudi le finestre di Gestione risorse e non aprire alcuna applicazione. Clicca "Do a System Scan only", metti un segno di spunta sulla casella accanto a queste voci e al temine premi "Fix chacked"
    O20 - Winlogon Notify: extxerox - C:\WINDOWS\SYSTEM32\extxerox.dll

    NOTA: eventualmente aggiungi anche le altre 2 voci che ti segnalavo se lo ritieni opportuno
    Cerca, se ancora esistente, il file extxerox.dll ed eventualmente eliminalo. Cerca anche il file socket573.sys e eliminalo se lo trovi.

    Avvia ATF cleaner clicca sul menu "main" e poi seleziona la casella "Select All". Se usi Firefox o Opera fai la stessa cosa premendo rispettivamente anche su Firefox e Opera e poi su "Select All" (se vuoi mantenere le password deseleziona la rispettiva casella). Premi "Empty selected"

    Riavvia in modalità normale e scaricati RootlitRevelear. Poi avvialo, e salva il risultato della scansione.

    Posta ora i risultati della scansione:
    - di Blacklite
    - di RootlitRevelear
    - un nuovo log di Hijackthis


    Ciao
    Pensi di avere un file infetto? Invialo a SuspectFile
    Rispondi quotando Rispondi quotando
  3. 13-04-2006, 12:16 #3
    mattiav
    mattiav non è in linea
    Utente di HTML.it
    Registrato dal
    Mar 2006
    Messaggi
    11

    Rieccomi...

    Intanto grazie per il tempo dedicatomi.
    Ho seguito i tuoi consigli, spero di avere risolto.
    Ti allego il contenuto dei files di log.

    Blacklight: (ho proceduto col rename dei due files segnalati)
    ---------------------------------------------------------------
    04/13/06 10:22:43 [Info]: BlackLight Engine 1.0.35 initialized
    04/13/06 10:22:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    04/13/06 10:22:43 [Note]: 7019 4
    04/13/06 10:22:43 [Note]: 7005 0
    04/13/06 10:22:53 [Note]: 7006 0
    04/13/06 10:22:58 [Note]: 7011 3604
    04/13/06 10:22:58 [Note]: 7026 0
    04/13/06 10:22:58 [Note]: 7026 0
    04/13/06 10:22:58 [Note]: 7015 1900
    04/13/06 10:22:58 [Note]: 7015 5
    04/13/06 10:22:58 [Note]: 7015 2432
    04/13/06 10:22:58 [Note]: 7015 5
    04/13/06 10:22:58 [Note]: 7015 3796
    04/13/06 10:22:58 [Note]: 7015 5
    04/13/06 10:22:59 [Note]: FSRAW library version 1.7.1015
    04/13/06 10:24:00 [Info]: Hidden file: C:\WINDOWS\system32\extxerox.dll
    04/13/06 10:24:00 [Note]: 10002 1
    04/13/06 10:24:02 [Info]: Hidden file: C:\WINDOWS\system32\socket573.sys
    04/13/06 10:24:02 [Note]: 10002 1
    04/13/06 10:26:14 [Note]: 7007 0
    ---------------------------------------------------------------

    RootlitRevealer (ti faccio vedere solo qualche riga di esempio perchè mi ha segnalato 112.951 files VVoVe: la cosa strana è che tutti hanno, dopo l'estensione, la stringa :KAVICHS, che mi sa tanto di Kaspersky Anti Virus... o no?; per tutti viene riportata la dcicitura "Hidden from Windows API)

    C:\10x15\3Giulie.jpg:KAVICHS 13/04/2006 11.22 36 bytes Hidden from Windows API.
    C:\10x15\3Giulie2.jpg:KAVICHS 13/04/2006 11.22 36 bytes Hidden from Windows API.
    C:\10x15\AAA021.JPG:KAVICHS 13/04/2006 11.22 36 bytes Hidden from Windows API.
    C:\10x15\AAA021_bis.jpg:KAVICHS 13/04/2006 11.22 36 bytes Hidden from Windows API.
    C:\10x15\AAA027.JPG:KAVICHS 13/04/2006 11.22 36 bytes Hidden from Windows API.
    C:\10x15\AAA039.JPG:KAVICHS 13/04/2006 11.22 36 bytes Hidden from Windows API.

    ---------------------------------------------------------------

    HijackThis

    Logfile of HijackThis v1.99.1
    Scan saved at 12.03.12, on 13/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Apache Group\Apache2\bin\Apache.exe
    C:\Programmi\Symantec AntiVirus\DefWatch.exe
    C:\Programmi\ewido anti-malware\ewidoctrl.exe
    C:\Programmi\ewido anti-malware\ewidoguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Apache Group\Apache2\bin\Apache.exe
    C:\Programmi\Firebird\Firebird_1_5\bin\fbguard.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
    C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~2\VPTray.exe
    C:\Programmi\Windows Defender\MSASCui.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\NMSSvc.exe
    C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
    C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
    C:\Programmi\Symantec AntiVirus\Rtvscan.exe
    C:\program files\InterMute\SpySubtract\SpySub.exe
    C:\Programmi\Firebird\Firebird_1_5\bin\fbserver.ex e
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Software_Download\RootkitRevealer\RootkitReveal er.exe
    C:\Software_Download\RootkitRevealer\RootkitReveal er.exe
    C:\HiJack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O1 - Hosts: 81.115.187.146 arasar
    O1 - Hosts: 81.115.187.146 ara400
    O1 - Hosts: 81.115.187.146 aras400
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
    O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
    O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
    O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programmi\OpenOffice.org1.1.0\program\quickstar t.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
    O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
    O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O12 - Plugin for .bmp: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .tif: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .wav: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O17 - HKLM\System\CCS\Services\Tcpip\..\{61102125-EF54-47F0-A2A1-38C0BA5497B7}: NameServer = 212.131.30.42,212.131.30.43
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
    O20 - Winlogon Notify: WB - C:\PROGRA~1\OBJECT~1\WINDOW~1\fastload.dll
    O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
    O23 - Service: EUBIMF - Sysinternals - www.sysinternals.com - C:\DOCUME~1\mattia\IMPOST~1\Temp\EUBIMF.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
    O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programmi\Firebird\Firebird_1_5\bin\fbguard.exe
    O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programmi\Firebird\Firebird_1_5\bin\fbserver.ex e
    O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
    ----------------------------------------------------------------

    Che mi dici?
    Trovo una bella sorpresa nell'uovo di Pasqua?
    Rispondi quotando Rispondi quotando
  4. 13-04-2006, 12:42 #4
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Io dico che la sorpresa sarà piacevole


    Dunque, mi sembra che hai fatto un buon lavoro. Hai mandato i file che hai rinominato a Suspectfile? Dopo puoi anche cancellarli: inutile tenerli ancora sul PC...

    Vedo che hai cancellato anche il tool di amministrazione remota del tuo Computer. Ricordati di cancellare allora anche il file PLSRemote.exe (in C:\windows\system32) se lo trovi. Comunque mi confermi che è aziendale no? Il dominio 81.115.187.146 (Aras, Ara400, Arasar) appartiene alla tua azienda giusto?


    Veniamo agli oltre 1000 file che ti trova Rootkitrevelear (a proposito potevi anche chiuderlo quando hai fatto la scansione con HijackThis). La voce KAVICHS si riferisce infatti a informazioni di servizio che Kaspersky inserisce negli ADS dei file. Non ti curar di loro, a meno che tu non voglia disinstallare Kaspersky, nel qual caso ti può essere utile il Kit apposito di Kaspersky per l'eliminazione dei suoi alternate data streams.

    Oppure li puoi cancellare manualmente anche con HijackThis:
    http://www.zeusnews.it/index.php3?ar=stampa&cod=4696


    Ciao
    Pensi di avere un file infetto? Invialo a SuspectFile
    Rispondi quotando Rispondi quotando
  5. 13-04-2006, 13:34 #5
    mattiav
    mattiav non è in linea
    Utente di HTML.it
    Registrato dal
    Mar 2006
    Messaggi
    11
    Ciao.
    I domini HOST (Aras etc.) sono della mia azienda.
    Mentre non è aziendale il controllo remoto del PC... devo preoccuparmi molto o poco? (ho comunque cancellato PLSRemote.exe).
    Non ho mandato i due files al SuspectFile xchè in quel momento ero ancora in alto mare e con le connessioni a rischio: è davvero necessario farlo? Mi sa che uno dei due è già stato rilevato e cancellato da Kaspersky...
    Riguardo gli oltre CENTOMILA , non MILLE filea :KAVICHS, forse mi dovrò curar di loro quando sarà scaduto il periodo di prova del Kaspersky AV?
    A proposito di AV: ormani ne ho tanti sul PC e credo che ne dovrò disinstallare (o disattivare) qualcuno. Temo che vadano in conflitto l'uno con l'altro, in particolare riguardo alla scansione in tempo reale: ho notato che se ci sono in contemporanea il Kaspersky e il Symantec il computer è praticamente piantato.
    Tenendo conto che il Symantec è regolarmente acquistato, sarà il caso di disinstallare subito Kaspersky? (e anche Ewido, SpySubtract etc.)

    THKS
    Rispondi quotando Rispondi quotando
  6. 13-04-2006, 13:55 #6
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    PLSRemote.exe è un tool utilizzato anche dai malware per controllare da remoto un computer. Quindi hai fatto bene ad eliminarlo, dato che non era un prog. aziendale.

    Per i vari AV io ti consiglio di mantenerne solo uno in scansione real-time, altrimenti vanno in conflitto. Poi ne puoi tenere anche un altro da usare all'occorrenza o puoi sfruttare la scansione online (Kaspersky, Panda e TrendMicro)

    Per gli antispyware puoi anche tenerli. Ewido ha la scansione in tempo reale, ma scaduti i 30 giorni sarà disattivata. Potrai però usarlo ogni tanto in manuale dato che sarà aggiornabile comunque. Tieni conto che è sempre meglio averne più di uno e Ewido è comunque (al momento) tra quelli al top.

    Quando disinstalli Kaspersky puoi usare il suo tool per gli ADS (la rimozione di 100.000 voci manualmente mi sembra un po' faticosa )

    Ciao


    PS: Suspectfile si occupa di inviare i file infetti alle aziende AV che non li riconoscono. Pazienza se non li hai mandati.
    Pensi di avere un file infetto? Invialo a SuspectFile
    Rispondi quotando Rispondi quotando
  7. 13-04-2006, 14:04 #7
    mattiav
    mattiav non è in linea
    Utente di HTML.it
    Registrato dal
    Mar 2006
    Messaggi
    11
    Ok, grazie ancora e buona Pasqua
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.