Explorer cerca di collegarsi al 195.225.177.22

[DeCix]

Per quale motivo? io l'ho sempre bloccato, ma cos'è un virus?

[firewall76]

DeCix ha scritto mar, 29 agosto 2006 alle 10:14
Per quale motivo? io l'ho sempre bloccato, ma cos'è un virus?

a dir la verità è msn

[DeCix]

Purtroppo sembra MSN ma non lo è... guarda qua

http://newsgroup.tecnologia.alice.it/new sgroup/message.jspa?messageID=4611686018 451978899&threadStatus=0

[blue_tech]

DeCix ha scritto mar, 29 agosto 2006 alle 10:41
Purtroppo sembra MSN ma non lo è... guarda qua

http://newsgroup.tecnologia.alice.it/new sgroup/message.jspa?messageID=4611686018 451978899&threadStatus=0

scarica questo -> http://www.trendmicro.com/cwshredder/ e fai una scansione scegliendo "fix"

poi posta un log con hijackthis:
-> http://www.hijackthis.de/it

[DeCix]

Questo è il log con Hijackthis

http://www.hijackthis.de/logfiles/446e74 b64efffd32ecdf7c0293723baf.html

E questo quello con cw shredder

http://www.hijackthis.de/logfiles/737f92 9aa21e813daf334c9d05d2ad2f.html



Posso eliminare le chiavi sospette? So collegate al mio problema???

[blue_tech]

i due link di sopra, AntiVir me li segnala come exploit

ho già segnalato la cosa così nel caso li rimuovono...

aspettate ad aprirli...

[DeCix]

Cioè? ma cos'è sta cosa? E come mai avast non mi riconosce sta specie di virus. Chi mi spiega in cosa diavolo mi son imbattuto. Ho gestione risorse che cerca di collegarsi in continuazione ad un sito.

E che cos'è l'exploit?

Comunque ho fatto tutto in buonafede, ho semplicente linkato i report dal sito, non ne sapevo nulla!

[blue_tech]

DeCix ha scritto mar, 29 agosto 2006 alle 20:29
Cioè? ma cos'è sta cosa? E come mai avast non mi riconosce sta specie di virus. Chi mi spiega in cosa diavolo mi son imbattuto. Ho gestione risorse che cerca di collegarsi in continuazione ad un sito.

E che cos'è l'exploit?

Comunque ho fatto tutto in buonafede, ho semplicente linkato i report dal sito, non ne sapevo nulla!

non volevo dire che tu fossi in malafede
ho solo segnalato il problema visto che sono stato il primo a rilevarlo

[DeCix]

Si tranquillo

Mi spieghi cosa sta succedendo e cosa posso fare?

[firewall76]

DeCix ha scritto mer, 30 agosto 2006 alle 08:24
Si tranquillo

Mi spieghi cosa sta succedendo e cosa posso fare?

http://it.wikipedia.org/wiki/Exploit
al momento non ho rilevato minacce pur avendo avast e avg a disposizione. Sono in attesa di altri pareri comunque. Per adesso andiamo pure avanti nel thread.

[DeCix]

Ma come faccio a fare in modo che Esplora Risorse non si colleghi ad internet? Ora mi scarico avg e provo uno scan! Si creano conflitti con avg e avast assieme?

[firewall76]

DeCix ha scritto mer, 30 agosto 2006 alle 09:10
Ma come faccio a fare in modo che Esplora Risorse non si colleghi ad internet? Ora mi scarico avg e provo uno scan! Si creano conflitti con avg e avast assieme?

prova con una scansione on line. Due antivirus insieme si pestano i piedi a vicenda.
Se l'esplora risorse si collega usa un firewall per impedire al processo di farlo.

[DeCix]

L'ho già bloccata con il firewall. Ma se piazzo l'avg sun un'altra partizione con altro sistema operativo l'errore me lo trova lo stesso?

[firewall76]

DeCix ha scritto mer, 30 agosto 2006 alle 09:34
L'ho già bloccata con il firewall. Ma se piazzo l'avg sun un'altra partizione con altro sistema operativo l'errore me lo trova lo stesso?

dovrebbe trovarlo ammesso che lo trovi.

[DeCix]

c:\WINDOWS\Temporary Internet Files\Content.IE5\G9AFG5M7\games4[1].htm è infettato con Adware.Istbar
c:\WINDOWS\Temporary Internet Files\Content.IE5\GTWZCJ8V\frame_home[1] .htm è infettato con Downloader
c:\WINDOWS\Temporary Internet Files\Content.IE5\GTWZCJ8V\seriall[1] è infettato con Adware.Istbar
c:\WINDOWS\Temporary Internet Files\Content.IE5\GTWZCJ8V\seriall[1] è infettato con Adware.CDT
c:\WINDOWS\Temporary Internet Files\Content.IE5\GTWZCJ8V\painter[1].dl l è infettato con Dialer.XLite
c:\WINDOWS\Temporary Internet Files\Content.IE5\VB9J7LGW\main[1].chm è infettato con Downloader.Trojan
c:\WINDOWS\Temporary Internet Files\Content.IE5\A8YTJLGS\raw-mods-arch ive[1].htm è infettato con Adware.Windupdates
c:\WINDOWS\Downloaded Program Files\painter.dll è infettato con Dialer.XLite

Questo è il responso dell'antivirus online Symantec. Ho cancellato tutti i file tranne l'ultimo che non ho trovato nella suddetta directory. Ora il problema sembra non ripetersi. ma perchè avast non trova sta roba????? Secondo voi sono a posto ora?

[firewall76]

prova anche sul sito della trend micro per scrupolo

[DeCix]

Come non detto, il problema continua!

[firewall76]

DeCix ha scritto mer, 30 agosto 2006 alle 14:01
Come non detto, il problema continua!

hai provato con la scansione on line della trend micro?
posta anche uno screenshot da msconfig avvio

[DeCix]

firewall76 ha scritto mer, 30 agosto 2006 alle 14:43

DeCix ha scritto mer, 30 agosto 2006 alle 14:01
Come non detto, il problema continua!

hai provato con la scansione on line della trend micro?
posta anche uno screenshot da msconfig avvio

E' impossibile la scansione via 56k con trend mico, è troppo lenta, mi ci vanno 5 ore!!!!!

Non ne conosci un altro valido?

Ecco lo sceen

[firewall76]

prova bitdefense online
togli il segno di spunta a
quick time task
mosearch
loadqm.
E vediamo come va

[DeCix]

Guarda quanta roba avevo ancora

C:\WINDOWS\SYSTEM\ocaa.dll
Infected with: Trojan.Stresid.D

C:\WINDOWS\SYSTEM\ocaa.dll
Disinfection failed

C:\WINDOWS\SYSTEM\ocaa.dll
Deleted

C:\WINDOWS\TEMP\1114.TMP
Infected with: Trojan.Stresid.D

C:\WINDOWS\TEMP\1114.TMP
Disinfection failed

C:\WINDOWS\TEMP\1114.TMP
Deleted

C:\WINDOWS\SYSHOST.DLL
Infected with: Trojan.Clicker.AL

C:\WINDOWS\SYSHOST.DLL
Disinfection failed

C:\WINDOWS\SYSHOST.DLL
Deleted

C:\WINDOWS\Application Data\Identities\{3B3E8380-A53C-44E1-9493 -F145BF2560F2}\Microsoft\Outlook Express\Posta in arrivo.dbx=>(message 283)=>[Subject: Invio in corso posta elettronica: jeje][Date: Wed, 4 May 2005 18:50:02 +0200]=>(MIME part)=>jejeje.zip=>jejeje.exe
Infected with: Trojan.Madcursor.A

C:\WINDOWS\Application Data\Identities\{3B3E8380-A53C-44E1-9493 -F145BF2560F2}\Microsoft\Outlook Express\Posta in arrivo.dbx=>(message 283)=>[Subject: Invio in corso posta elettronica: jeje][Date: Wed, 4 May 2005 18:50:02 +0200]=>(MIME part)=>jejeje.zip=>jejeje.exe
Disinfection failed

C:\WINDOWS\Application Data\Identities\{3B3E8380-A53C-44E1-9493 -F145BF2560F2}\Microsoft\Outlook Express\Posta in arrivo.dbx=>(message 283)=>[Subject: Invio in corso posta elettronica: jeje][Date: Wed, 4 May 2005 18:50:02 +0200]=>(MIME part)=>jejeje.zip=>jejeje.exe
Deleted

C:\WINDOWS\Application Data\Identities\{3B3E8380-A53C-44E1-9493 -F145BF2560F2}\Microsoft\Outlook Express\Posta in arrivo.dbx=>(message 283)=>[Subject: Invio in corso posta elettronica: jeje][Date: Wed, 4 May 2005 18:50:02 +0200]=>(MIME part)=>jejeje.zip
Updated

C:\WINDOWS\Application Data\Identities\{3B3E8380-A53C-44E1-9493 -F145BF2560F2}\Microsoft\Outlook Express\Posta in arrivo.dbx=>(message 283)=>[Subject: Invio in corso posta elettronica: jeje][Date: Wed, 4 May 2005 18:50:02 +0200]=>(MIME part)
Updated

C:\WINDOWS\Application Data\Identities\{3B3E8380-A53C-44E1-9493 -F145BF2560F2}\Microsoft\Outlook Express\Posta in arrivo.dbx=>(message 283)
Updated

C:\WINDOWS\Application Data\Identities\{3B3E8380-A53C-44E1-9493 -F145BF2560F2}\Microsoft\Outlook Express\Posta in arrivo.dbx
Update failed

C:\WINDOWS\1636062174.exe
Infected with: DeepScan:Generic.Malware.Sdld!!g.84CF679 5

C:\WINDOWS\1636062174.exe
Disinfection failed

C:\WINDOWS\1636062174.exe
Deleted

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040644.EXE
Infected with: Trojan.Obfuscator.B

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040644.EXE
Disinfection failed

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040644.EXE
Deleted

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040805.DLL
Infected with: Trojan.Dialer.HK

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040805.DLL
Disinfection failed

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040805.DLL
Deleted

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040838.EXE
Infected with: DeepScan:Generic.Malware.Sdld!!g.84CF679 5

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040838.EXE
Disinfection failed

C:\System Volume Information\_restore{FF90D7E4-6882-44EE- A667-98F60C11D30E}\RP72\A0040838.EXE
Deleted

E continua a connetteri

[Nightmare]

Allora, prova a fare cosi:

- Scarica e installa Nod32 (trial version), CCleaner, RegCleaner e Hijackthis

- Disabilita il ripristino configurazione di sistema

- Riavvia in modalità provvisoria ed effettua una scansione con Nod32, CCleaner (analizza -> avvai cleaner) e RegCleaner (tools -> registry cleanuo -> do them all -> cancella tutte le voce che compaiono)

- Avvia HijackThis dopo aver chiuso tutti i programmi e posta qui il risultato del log

Rimango in attesa,
Nightmare

[DeCix]

Il problema continua

Logfile of HijackThis v1.99.1
Scan saved at 9.48.06, on 01/09/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OWCCardbusTray] ocbtray.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMMI\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Programmi\Eset\nod32krn.exe"
O4 - HKLM\..\RunServicesOnce: [*yD] "C:\PROGRAMMI\FILE COMUNI\SERVICES\BOJ.EXE" PT
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunServices: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DL L
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DL L
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://1 95.225.176.5//d//lnkfhnl//kcglobk//edqco rs//irkqpg//IT//arct.chm::/painter.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} -
O16 - DPF: {11111111-1111-1111-1111-511111113457} -
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://198 .88.20.158/targ305.chm::/win32.exe
O16 - DPF: {F57D27AE-CE57-4BC8-B232-EA57747BE5B7} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmes sengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIn tro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes sengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes sengerStatsClient.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msg rchkr.cab31267.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/cl ients/y/pote_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/cl ients/y/pt3_x.cab
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/cl ients/y/jt0_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/cl ients/y/ywt0_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/games/cl ients/y/dtt1_x.cab
O16 - DPF: {11111111-1111-1111-1111-111111111156} - ms-its:mhtml:file://C:\MAIN.MHT!http://6 6.98.244.107//it//chm//online.chm::/iexp lore.exe
O16 - DPF: Yahoo! Scopa - http://download.games.yahoo.com/games/cl ients/y/sct5_x.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/ as5free/asinst.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Share dContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Share dContent/vc/bin9x/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resource s/scan8/oscan8.cab

[firewall76]

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\RunServicesOnce: [*yD] "C:\PROGRAMMI\FILE COMUNI\SERVICES\BOJ.EXE" PT
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://1 95.225.176.5//d//lnkfhnl//kcglobk//edqco rs//irkqpg//IT//arct.chm::/painter.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} -

O16 - DPF: {11111111-1111-1111-1111-511111113457} -

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://198 .88.20.158/targ305.chm::/win32.exe
016 DPF: {F57D27AE-CE57-4BC8-B232-EA57747BE5B7} -
O16 - DPF: {11111111-1111-1111-1111-111111111156} - ms-its:mhtml:file://C:\MAIN.MHT!http://6 6.98.244.107//it//chm//online.chm::/iexp lore.exe

fixa queste voci

[firewall76]

magari lo hai già scritto ma che antivirus e firewall utilizzi?