Avendo subito altri attacchi da tutta la schifezza che immettono nel web (senza bisogno di entrare in siti porno o simili!!), avendo "preso" quindi altri rootkit o Trojan, ed essendo riuscito per l'ennesima volta ad eliminare il tutto senza bisogno di formattare, volevo elencare i file che potete cercare nel vostro PC per verificare se avete dentro qualche brutta bestia.
Oltre a quanto già citato nel mio altro topic "Tyur1.exe", cercate questi file:
ctfmon32.dll
ctfmon.exe
hide_evr2.sys
sys32exploer.oll (scritto così, non ho fatto errori di battitura)
u3shlpdr.sys
service32.exe
"numerivari".exe (ad esempio 982516.exe)
checkers5.exe
L'ultimo è un rootkit (nell'altro topic ho già spiegato di cosa si tratta - brutta bestia).
In genere sono piazzati nella directory WINNT/sistem32 o direttamente in WINNT.
Attenzione a non confonderli con file di sistema. Dovete muovervi con molta attenzione per non fare guai al sistema operativo. Prima di cancellare, fatevi una copia dei file trovati, su un floppy.
Il service32.exe è un eseguibile ed è nascosto tra i processi attivi. Non facile da trovare.
Utilizzate i programmi che avevo menzionato nel predetto topic per scovarlo.
Se trovate qualcosa fatemelo sapere che cercherò di darvi una mano on line.
ANCORA ATTACCHI ROOTKIT O TROJAN
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
Ciao, spybot mi segnala tra i processi attivi il ctfmon.exe e mi dice che è un virus o comunque qualcosa da eliminare., cosa che ho fatto più volte senza risultati in quanto ricompare! Cercando su internet ho letto che in alcuni casi è un file di sistema, ma che in altri è un virus, come faccio per capirlo e per eliminarlo? Nel caso si tratti di un virus, che danni crea?
Ti ringrazio anticioatamente per la risposta.
Ti ringrazio anticioatamente per la risposta.
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
Ciao Vitara.
Il primo consiglio è quello di copiarti il file ctfmon.exe su un dischetto.......non si sa mai. Sicuramente lo trovi nella cartella WINNT oppure WINNT/system32.
PS: non lo confondere con il file CTNotify.exe
Scaricati il programma "Hijackthis" che trovi a questo link
http://www.reboots.net/forum/index.php?showtopic=3605
e lancialo sul tuo computer. Il forum di "Reboot" spiega anche cosa cercare con la sua guida.
Stai certo che il predetto programma ti troverà il file incriminato permettendoti di "fixarlo", cioè di renderlo ineseguibile al prossimo avvio, mettendolo in quarantena.
Fai una cosa: quando scannerizzi il tuo computer con Hijackthis, esso creerà un log, cioè un recoconto di quello che ha trovato. Postami questo log, eventualmente anche in privato, così ti dico se vedo qualcosa di strano.
Poi bisognerà vedere se esistono altri file generatori. Fammi sapere.
Ma hai qualche sintomo strano nel computer, tipo rallentamento della CPU, apparizioni di finestre bianche con link che portano a motori di ricerca, oppure "stacchi" dell'ADSL, computer che si riavvia da solo, o altro?
Il primo consiglio è quello di copiarti il file ctfmon.exe su un dischetto.......non si sa mai. Sicuramente lo trovi nella cartella WINNT oppure WINNT/system32.
PS: non lo confondere con il file CTNotify.exe
Scaricati il programma "Hijackthis" che trovi a questo link
http://www.reboots.net/forum/index.php?showtopic=3605
e lancialo sul tuo computer. Il forum di "Reboot" spiega anche cosa cercare con la sua guida.
Stai certo che il predetto programma ti troverà il file incriminato permettendoti di "fixarlo", cioè di renderlo ineseguibile al prossimo avvio, mettendolo in quarantena.
Fai una cosa: quando scannerizzi il tuo computer con Hijackthis, esso creerà un log, cioè un recoconto di quello che ha trovato. Postami questo log, eventualmente anche in privato, così ti dico se vedo qualcosa di strano.
Poi bisognerà vedere se esistono altri file generatori. Fammi sapere.
Ma hai qualche sintomo strano nel computer, tipo rallentamento della CPU, apparizioni di finestre bianche con link che portano a motori di ricerca, oppure "stacchi" dell'ADSL, computer che si riavvia da solo, o altro?
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
Cercate anche questi file, sospetti rootkit:
C:WINDOWS\system32\gtrack.dll
C:WINDOWS\system32\kaboom.dll
C:WINDOWS\Temp\wmpl.exe
C:WINDOWS\system32\msx.dll
C:WINDOWS\system32\iewatch.exe
C:\WINDOWS\system32\icqchk.exe
C:\WINDOWS\system32\kpsf.exe
C:\WINDOWS\system32\ietool1.exe
C:\WINDOWS\system32\ietool2.exe
C:\WINDOWS\system32\ietool3.exe
C:\WINDOWS\system32\kpsf.sys
C:\WINDOWS\system32\kpsf.ini
- IL KAMIKAZE
- MODERATORE
- Messaggi: 3648
- Iscritto il: 9 novembre 2005, 1:17
- Località: Yokohama, Japan
- Contatta:
Io ho imparato a conviverci con le bestie, ognuno ha il suo spazio all'interno del mio pc, l'importante è non sconfinare!!!!
ex '89 Suzuki Vitara
ex '94 Nissan Terrano II 100cv
ex '93 Nissan Patrol GR Y60 (la perla)
ex '01 Nissan Patrol GR Y61 3.0
ex '99 Nissan Patrol GR Y61 2.8
'92 Mercedes G 320 turbo
'96 Nissan Patrol GR Y60 (terminator)
....tremate......sto tornando.......
Le foto del mio Patrol GR
Predicatore di Patrol nel mondo.........................................e RE degli OT!!!!
Patrol member e C.T. of
www.saharaclub4x4ragusa.it
ex '94 Nissan Terrano II 100cv
ex '93 Nissan Patrol GR Y60 (la perla)
ex '01 Nissan Patrol GR Y61 3.0
ex '99 Nissan Patrol GR Y61 2.8
'92 Mercedes G 320 turbo
'96 Nissan Patrol GR Y60 (terminator)
....tremate......sto tornando.......
Le foto del mio Patrol GR
Predicatore di Patrol nel mondo.........................................e RE degli OT!!!!
Patrol member e C.T. of
www.saharaclub4x4ragusa.it
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
Però queste bestie sono proprio brutte, perchè non vanno a distruggere il tuo computer per il piacere di farlo (come un classico virus), ma leggono le tue preferenze o i tuoi indirizzi e li sfruttano economicamente................
- topalfredo
- INTERMEDIATE MEMBER
- Messaggi: 537
- Iscritto il: 31 marzo 2006, 17:41
non so.....che e' questo messaggio che mi compare di tanto in tanto?
protezione di rete:bloccato"LSASS Exploit (sxp)"-attacco da 36.242.117.109:445/tpc
ho un antivirus avast
protezione di rete:bloccato"LSASS Exploit (sxp)"-attacco da 36.242.117.109:445/tpc
ho un antivirus avast
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
E' l'avast che ti blocca il tentativo d'intrusione nel tuo PC da parte di qualcuno con indirizzo 36.242.117.109...........un worm di rete che tenta d'infettarti.
L'importante è che venga bloccato il tentativo............
L'importante è che venga bloccato il tentativo............
- topalfredo
- INTERMEDIATE MEMBER
- Messaggi: 537
- Iscritto il: 31 marzo 2006, 17:41
menomale....a proposito di avast...a me sembra funzionare,che ne penzi tu?
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
Mah, lo uso anch'io; fin'ora non mi ha mai avvisato di niente nonostante i vari attacchi da me subiti..............sicuramente perchè uso una versione antica e non aggiornata (al 2003) che non mi da molto aiuto...........
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
Visto che oggi non ho niente da fare, ho fatto proprio questo: aggiornamento di Avast.
Ho eseguito il controllo all'avvio e mi dice che è tutto a posto. Vedremo per quanto e, soprattutto, se mi avviserà del prossimo attacco..............
Ehi, non riesco a selezionare il grassetto ed il blu per la scrittura..............
Ho eseguito il controllo all'avvio e mi dice che è tutto a posto. Vedremo per quanto e, soprattutto, se mi avviserà del prossimo attacco..............
Ehi, non riesco a selezionare il grassetto ed il blu per la scrittura..............
IL KAMIKAZE
Inviato: Lun Gen 15, 2007 8:01 pm
Io ho imparato a conviverci con le bestie, ognuno ha il suo spazio all'interno del mio pc, l'importante è non sconfinare!!!!
Occhiu vivu e manu o cutieddu
Memento Audere Semper
Se faccio qualcosa alla perfezione, allora quasi necessariamente la faccio di corsa!
I miei video sempre in aggiornamento
Memento Audere Semper
Se faccio qualcosa alla perfezione, allora quasi necessariamente la faccio di corsa!
I miei video sempre in aggiornamento
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
Riprendo questo argomento perchè purtroppo sempre di moda. Basta leggere in giro sul web gli appositi forum.
Tra l'altro sono stato di nuovo fatto oggetto di un nuovo ed ancora più insidioso Rootkit (leggete i post precedenti per sapere di cosa si tratta) chiamato "PHYSICALDRIVE0".
Il mio Avast (Home e sempre aggiornato) lo ha rilevato, ma non ha potuto far niente per eliminarlo. Tra l'altro, ha si impedito che il bastardo prendesse possesso del mio PC, ma in qualche modo (o l'Avast o il Rootkit) hanno toccato il file Explorer.exe, importantissimo per la gestione delle applicazioni del computer.
Per ovviare, ho proceduto con un "ripristina configurazione di sistema" con CD di Windows XP; ma ci sono riuscito dopo diversi tentativi (il ripristino si bloccava), finendo alle 4.00 di ieri notte.
Rientrato in possesso della gestione del mio PC (con Avast che teneva cmq alla larga il rootkit), visitando appunto diversi forum sull'argomento, ho trovato validissimi suggerimenti e programmi per resistere agli attacchi dei nuovi rootkit.
Tra tutti segnalo il sempre validissimo P2Pforum
http://www.p2pforum.it/forum/showthread.php?t=295688
dal quale ho potuto scaricare un software utilissimo per la rimozione del rootkit: MBR.exe
Se seguite attentamente le istruzioni riportate nel forum riuscite a verificare in pochi secondi se avete un rootkit e come fare eventualmente per eliminarlo (fixarlo).
Tengo a precisare che il rootkit NON l'ho preso con il sito di Lucy (che, sappiamo, ha subito proprio l'altro ieri un attacco hacker).
Quindi mi raccomando............... sempre
Tra l'altro sono stato di nuovo fatto oggetto di un nuovo ed ancora più insidioso Rootkit (leggete i post precedenti per sapere di cosa si tratta) chiamato "PHYSICALDRIVE0".
Il mio Avast (Home e sempre aggiornato) lo ha rilevato, ma non ha potuto far niente per eliminarlo. Tra l'altro, ha si impedito che il bastardo prendesse possesso del mio PC, ma in qualche modo (o l'Avast o il Rootkit) hanno toccato il file Explorer.exe, importantissimo per la gestione delle applicazioni del computer.
Per ovviare, ho proceduto con un "ripristina configurazione di sistema" con CD di Windows XP; ma ci sono riuscito dopo diversi tentativi (il ripristino si bloccava), finendo alle 4.00 di ieri notte.
Rientrato in possesso della gestione del mio PC (con Avast che teneva cmq alla larga il rootkit), visitando appunto diversi forum sull'argomento, ho trovato validissimi suggerimenti e programmi per resistere agli attacchi dei nuovi rootkit.
Tra tutti segnalo il sempre validissimo P2Pforum
http://www.p2pforum.it/forum/showthread.php?t=295688
dal quale ho potuto scaricare un software utilissimo per la rimozione del rootkit: MBR.exe
Se seguite attentamente le istruzioni riportate nel forum riuscite a verificare in pochi secondi se avete un rootkit e come fare eventualmente per eliminarlo (fixarlo).
Tengo a precisare che il rootkit NON l'ho preso con il sito di Lucy (che, sappiamo, ha subito proprio l'altro ieri un attacco hacker).
Quindi mi raccomando............... sempre
- NonnoCarlo 4x4
- FAMILY MEMBER
- Messaggi: 9246
- Iscritto il: 27 aprile 2005, 11:34
- Località: Catania
- Contatta:
Per curiosità: qualcuno di voi ha fatto la prova per vedere se colpito da rootkit?