trojan horse lop.ah

[DoR33N]

bisogna vedere se riesce ad prire le pagine in questione

infatti non me le apre

abbiam postato insieme

[firewall76]

ci serve la tua mail allora, ma stai navigando con i.e?
perché altrimenti basterebbe navigare con ff o opera.

[DoR33N]

ci serve la tua mail allora, ma stai navigando con i.e?
perché altrimenti basterebbe navigare con ff o opera.

si sto usando i.e non ho ff :( mando anche a te la mail

grazie ancora

[firewall76]

di nulla

[blue_tech]

allora ricapitoliamo:
hai provato sia il tool della symantec che quello di prevx senza successo giusto?

hai già provato il tool del NOD32? -> http://www.nod32.it/home/home.htm
è in home page...

[blue_tech]

si sto usando i.e non ho ff :( mando anche a te la mail

grazie ancora

bene così è un passo avanti

[firewall76]

bene così è un passo avanti

è lo stesso che gli ho spedito io: ll'ultimo tool della eset.

[DoR33N]

allora ricapitoliamo:
hai provato sia il tool della symantec che quello di prevx senza successo giusto?

hai già provato il tool del NOD32? -> http://www.nod32.it/home/home.htm
è in home page...

per scaricare il file mi chiede la password

EDIT mi è arrivata la mail con il tool

[firewall76]

strano sono gratuiti

[blue_tech]

per scaricare il file mi chiede la password

EDIT mi è arrivata la mail con il tool

io sto cercando di mandarti il primo che ha segnalato firewall quello di suspectfile ma non me la invia
adesso riprovo tu intanto usa quello che ti è arrivato

[DoR33N]

allora firewall, con il programma che mi hai mandato a quanto pare mi permette di selezionare il file infetto e eliminarlo.. che faccio? cancello?

[blue_tech]

ok inviato
cmq usa prima quello della eset

[DoR33N]

il file infetto è c:\windows\enhlu1.dll

ah mi è arrivata la tua mail blue ora guardo

[DoR33N]

il file infetto è c:\windows\enhlu1.dll

ah mi è arrivata la tua mail blue ora guardo

non risolve blue :(

[blue_tech]

non risolve blue :(

quello della eset?

[DoR33N]

quello della eset?

boh, quello che mi hai inviato tu

[blue_tech]

boh, quello che mi hai inviato tu

ah e con quello che ti ha mandato firewall sei riuscita a cancellare il file infetto di prima?

e poi una seconda domanda il tool di prevx non trova il virus o proprio non riesci a lanciarlo?

[DoR33N]

ma 'sto enhlu1.dll è un file fondamentale? se no cerco di eliminarlo direttamente..

provo a postarvi anche il log di hijack this

Logfile of HijackThis v1.99.1
Scan saved at 15.52.42, on 25/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Doreen\Programmi\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\TEMP\vjwu1.exe
D:\Doreen\PROGRA~1\AVGFRE~1\avgamsvr.exe
D:\Doreen\Programmi\Daemon Tool\daemon.exe
D:\Doreen\PROGRA~1\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Doreen\PROGRA~1\AVGFRE~1\avgupsvc.exe
D:\Doreen\PROGRA~1\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
D:\Doreen\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {8CC095E0-76AF-5BB4-71C2-C0ACBCB20C5D} - C:\WINDOWS\enhlu1.dll (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [vjwu1.exe] C:\WINDOWS\TEMP\vjwu1.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Doreen\Programmi\Daemon Tool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] D:\Doreen\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "D:\Doreen\Programmi\p2p\Bit Torrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B08B1AAD-83AF-4530-9F7E-A900BD4F666D}: NameServer = 85.37.17.7 85.38.28.95
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Doreen\Programmi\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\Doreen\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\Doreen\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\Doreen\PROGRA~1\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

ci capite qualcosa?

[DoR33N]

ah e con quello che ti ha mandato firewall sei riuscita a cancellare il file infetto di prima?

non ho provato.. posso cancellarlo? non fa danni?

e poi una seconda domanda il tool di prevx non trova il virus o proprio non riesci a lanciarlo?

ho installato così tanti tool che adesso non so qual'è quello di prevx

[blue_tech]

fixa le seguenti voci:
-> C:\WINDOWS\service32.exe
-> O2 - BHO: Class - {8CC095E0-76AF-5BB4-71C2-C0ACBCB20C5D} - C:\WINDOWS\enhlu1.dll (file missing)
-> O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
-> O4 - HKLM\..\Run: [vjwu1.exe] C:\WINDOWS\TEMP\vjwu1.exe
-> C:\WINDOWS\TEMP\vjwu1.exe

il tool di prevx è quello che si chiama FixGrom.exe

[DoR33N]

fixa le seguenti voci:
-> C:\WINDOWS\service32.exe
-> O2 - BHO: Class - {8CC095E0-76AF-5BB4-71C2-C0ACBCB20C5D} - C:\WINDOWS\enhlu1.dll (file missing)
-> O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
-> O4 - HKLM\..\Run: [vjwu1.exe] C:\WINDOWS\TEMP\vjwu1.exe
-> C:\WINDOWS\TEMP\vjwu1.exe

e come le fixo?

il tool di prevx è quello che si chiama FixGrom.exe

ah ok, clicco, mi si apre la finestrella, faccio esegui, e poi il nulla..

[blue_tech]

a te una finestra così non si è mai aperta lanciando uno dei tools?



per fixare le voci le selezioni con una spunta nell'elenco che appare e poi scegli "fix"

[DoR33N]

ma è normale avere la cpu occupata al 100% senza far nulla?
dal task manager mi esce che il file svchost.exe mi occupa il 39%
e il file vjwu1.exe mi occupa il 60%... ma che è sto file?

[DoR33N]

a te una finestra così non si è mai aperta lanciando uno dei tools?

mmmh.. no

per fixare le voci le selezioni con una spunta nell'elenco che appare e poi scegli "fix"

sempre da hijack this? non è che poi incasino qualcosa?



EDIT: e se cancello direttamente il file incriminato?
EDIT2: non lo trovo neanche col programma che mi ha mandato firewall

[blue_tech]

direttamente non credo tu riesca ad eliminarlo;
il file che ti occupa il 60% di cpu è tra le voci da fixare con hijackthis...

prima prova a fare così:
1) rinomina il file FixGrom.exe in rootkit.exe (o in qualsiasialtracosa.exe) e rilancialo dovrebbe partire mostrandoti la finestra che ti ho messo sopra a quel punto segui le istruzioni
2) se non riesci fixa le voci che ho indicato e poi riprova

se riesci poi bisogna solo togliere un paio di schifezze...