Deny access

Deny access

Avira ha rilevato la presenza di un elemento maligno, TR/Killav28714 Trojan:

In due schermatine diverse mi chiede se spostarlo in voult oppure se fare il deny access. Che mi conviene fare? Grazie

Deny access sarebbe meglio

Per un controllo di routine,scaricati Hijackthis

-Clicca su "do a system scan and save logfile".

-Aspetta la scansione,quando finisce ti uscira un log.

-Copia|incollalo qui e controlliamo

[quote name='tecnico24']Deny access sarebbe meglio

Per un controllo di routine,scaricati Hijackthis

-Clicca su "do a system scan and save logfile".

-Aspetta la scansione,quando finisce ti uscira un log.

-Copia|incollalo qui e controlliamo [/quote]







Grazie tecnico24 per la risposta. Ho spostato il trojan in deny, anche se non ho assolutamente capito cos'è... (cos'è?!?). Ora appena avira finisce la scansione interrotta stanotte per il ritrovamento del trojan procedo con Hijackthis e ti incollo il log.

Deny Access sarebbe bloccato...aspetto il log,ciao

[quote name='tecnico24']Deny Access sarebbe bloccato...aspetto il log,ciao [/quote]





Ok! Ecco il log





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13.14.18, on 05/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal



Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

CrogrammiAviraAntiVir PersonalEdition Classicsched.exe

CrogrammiAviraAntiVir PersonalEdition Classicavguard.exe

CrogrammiFile comuniAppleMobile Device SupportbinAppleMobileDeviceService.exe

CrogrammiFile comuniMicrosoft SharedVS7Debugmdm.exe

C:WINDOWSsystem32HPZipm12.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32MsPMSPSv.exe

C:WINDOWSAGRSMMSG.exe

CrogrammiJavajre1.6.0_07binjusched.exe

CrogrammiAviraAntiVir PersonalEdition Classicavgnt.exe

CrogrammiSpybot - Search & DestroyTeaTimer.exe

C:WINDOWSsystem32ctfmon.exe

CrogrammiIoloMacro MagicMacros.exe

CrogrammiKill PopupKillPopup.exe

CrogrammiLogitechSetPointSetPoint.exe

CrogrammiFile comuniLogitechKHALKHALMNPR.EXE

Cocuments and Settingsantonio chinellatoDesktopHijackThis.exe



R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.it/

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti

O1 - Hosts: 69.16.245.38 www.giantsand.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - Crogra~1AdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - CROGRA~1SPYBOT~1SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - CrogrammiJavajre1.6.0_07binssv.dll

O4 - HKLM..Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM..Run: [SunJavaUpdateSched] "CrogrammiJavajre1.6.0_07binjusched.exe"

O4 - HKLM..Run: [avgnt] "CrogrammiAviraAntiVir PersonalEdition Classicavgnt.exe" /min

O4 - HKLM..Run: [QuickTime Task] "CrogrammiK-Lite Codec PackQuickTimeqttask.exe" -atboottime

O4 - HKCU..Run: [SpybotSD TeaTimer] CrogrammiSpybot - Search & DestroyTeaTimer.exe

O4 - HKCU..Run: [Firefox] CrogrammiMozilla Firefoxfirefox.exe

O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe

O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')

O4 - Global Startup: Iolo Macro Magic.lnk = CrogrammiIoloMacro MagicMacros.exe

O4 - Global Startup: Kill Popup.lnk = CrogrammiKill PopupKillPopup.exe

O4 - Global Startup: Logitech SetPoint.lnk = CrogrammiLogitechSetPointSetPoint.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://CROGRA~1MICROS~3OFFICE11EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CrogrammiJavajre1.6.0_07binssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CrogrammiJavajre1.6.0_07binssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - CROGRA~1MICROS~3OFFICE11REFIEBAR.DLL

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - CROGRA~1SPYBOT~1SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - CROGRA~1SPYBOT~1SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CrogrammiMessengermsmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CrogrammiMessengermsmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172364803171

O17 - HKLMSystemCCSServicesTcpip..{BCED09C8-54E4-4208-A34C-37A447459016}: NameServer = 212.216.172.162

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - CrogrammiAviraAntiVir PersonalEdition Classicsched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - CrogrammiAviraAntiVir PersonalEdition Classicavguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - CrogrammiFile comuniAppleMobile Device SupportbinAppleMobileDeviceService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - CrogrammiFile comuniInstallShieldDriver1050Intel 32IDriverT.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - CrogrammiiPodbiniPodService.exe

O23 - Service: NBService - Nero AG - CrogrammiNeroNero 7Nero BackItUpNBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe

O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - CrogrammiFile comuniSonic SharedRoxioUPnPRenderer9.exe

O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - CrogrammiFile comuniSonic SharedRoxioUpnpService9.exe

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - CrogrammiFile comuniRoxio Shared9.0SharedCOMRoxLiveShare9.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - CrogrammiFile comuniRoxio Shared9.0SharedCOMRoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - CrogrammiFile comuniRoxio Shared9.0SharedCOMRoxWatch9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - CrogrammiFile comuniSureThing Sharedstllssvr.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - CrogrammiTuneUp Utilities 2006WinStylerThemeSvc.exe



--

End of file - 7093 bytes

Ti ho inviato il log privatamente per non occupare spazio inutile qui.

Tra le altre cose, vedo nel log la seguente informazione





O1 - Hosts: 69.16.245.38 www.giantsand.com/





proprio in questo sito io sono mesi che non riesco ad entrare... potrebbe essere qui la spiegazione?

[quote name='The Cake']Ti ho inviato il log privatamente per non occupare spazio inutile qui.

Tra le altre cose, vedo nel log la seguente informazione





O1 - Hosts: 69.16.245.38 www.giantsand.com/





proprio in questo sito io sono mesi che non riesco ad entrare... potrebbe essere qui la spiegazione?[/quote]



Ti rammento che qui' i log si mettono zippati,e che quindi non vanno ad occupare nessun 3d, e neanche pagine intere di post, quindi regolati di conseguanza,in quanto vi sono altri qui' che sanno interpretare i log di

hijackThis.





cobra

Ok! Grazie

Ciao questo O1 - Hosts: 69.16.245.38 www.giantsand.com/ e da eliminare!!!!

Fixa queste voci:

Scarica Avenger:

http://swandog46.geekstogo.com/avenger.zip

Nello spazio vuoto inserisci queste righe:



Files to delete:

CrogrammiIoloMacro MagicMacros.exe



Disabilita la voce da scan for rootkit,clicca su execute,vai sempre avanti finchè non si riavvia il pc....al ritorno fammi sapere qualcosa,ciao

[quote name='tecnico24']Fixa queste voci:





Scarica Avenger:

http://swandog46.geekstogo.com/avenger.zip

Nello spazio vuoto inserisci queste righe:



Files to delete:

CrogrammiIoloMacro MagicMacros.exe



Disabilita la voce da scan for rootkit,clicca su execute,vai sempre avanti finchè non si riavvia il pc....al ritorno fammi sapere qualcosa,ciao[/quote]







Tecnico, iolo macromagic è tra i programmi che utilizzo di più... ritieni che sia dannoso? Che vuol dire che le devo fixare? vuol dire che le devo cancellare?

La puoi sia eliminare che no , non succede niente...la sceltà e tua

[quote name='tecnico24']La puoi sia eliminare che no , non succede niente...la sceltà e tua[/quote]



Come sarebbe a dire "La puoi sia eliminare che no",

o e' da eliminare,oppure e' ritenuta una voce sicura e quindi e'

assolutamente da mantenere,vediamo di dare risposte certe per cortesia.





cobra

Elimina la voce.

[quote name='The Cake']Avira ha rilevato la presenza di un elemento maligno, TR/Killav28714 Trojan:

In due schermatine diverse mi chiede se spostarlo in voult oppure se fare il deny access. Che mi conviene fare? Grazie[/QUOTE]

In genere è meglio fare "delete file" (elimina file) piuttosto che deny (blocca), altrimenti blocchi semplicemente l'esecuzione del codice ma lasci il virus sul pc...



Falko