offroadweb.it

Forum 4x4 - tutto per il fuoristrada
https://forum.offroadweb.it/

ANCORA ATTACCHI ROOTKIT O TROJAN

https://forum.offroadweb.it/viewtopic.php?f=72&t=1070

Pagina 1 di 2

ANCORA ATTACCHI ROOTKIT O TROJAN

Inviato: 31 dicembre 2006, 14:59
da NonnoCarlo 4x4
Avendo subito altri attacchi da tutta la schifezza che immettono nel web (senza bisogno di entrare in siti porno o simili!!), avendo "preso" quindi altri rootkit o Trojan, ed essendo riuscito per l'ennesima volta ad eliminare il tutto :lol: :roll: :cool: senza bisogno di formattare, volevo elencare i file che potete cercare nel vostro PC per verificare se avete dentro qualche brutta bestia.

Oltre a quanto già citato nel mio altro topic "Tyur1.exe", cercate questi file:

ctfmon32.dll
ctfmon.exe
hide_evr2.sys
sys32exploer.oll (scritto così, non ho fatto errori di battitura)
u3shlpdr.sys
service32.exe
"numerivari".exe (ad esempio 982516.exe)
checkers5.exe

L'ultimo è un rootkit (nell'altro topic ho già spiegato di cosa si tratta - brutta bestia).
In genere sono piazzati nella directory WINNT/sistem32 o direttamente in WINNT.
Attenzione a non confonderli con file di sistema. Dovete muovervi con molta attenzione per non fare guai al sistema operativo. Prima di cancellare, fatevi una copia dei file trovati, su un floppy.
Il service32.exe è un eseguibile ed è nascosto tra i processi attivi. Non facile da trovare.
Utilizzate i programmi che avevo menzionato nel predetto topic per scovarlo.
Se trovate qualcosa fatemelo sapere che cercherò di darvi una mano on line.

:cry: :cry: :cry: :-D

Inviato: 12 gennaio 2007, 22:41
da vitara95
Ciao, spybot mi segnala tra i processi attivi il ctfmon.exe e mi dice che è un virus o comunque qualcosa da eliminare., cosa che ho fatto più volte senza risultati in quanto ricompare! Cercando su internet ho letto che in alcuni casi è un file di sistema, ma che in altri è un virus, come faccio per capirlo e per eliminarlo? Nel caso si tratti di un virus, che danni crea?
Ti ringrazio anticioatamente per la risposta.

Inviato: 13 gennaio 2007, 16:22
da NonnoCarlo 4x4
Ciao Vitara.
Il primo consiglio è quello di copiarti il file ctfmon.exe su un dischetto.......non si sa mai. Sicuramente lo trovi nella cartella WINNT oppure WINNT/system32.
PS: non lo confondere con il file CTNotify.exe

Scaricati il programma "Hijackthis" che trovi a questo link
http://www.reboots.net/forum/index.php?showtopic=3605
e lancialo sul tuo computer. Il forum di "Reboot" spiega anche cosa cercare con la sua guida.
Stai certo che il predetto programma ti troverà il file incriminato permettendoti di "fixarlo", cioè di renderlo ineseguibile al prossimo avvio, mettendolo in quarantena.

Fai una cosa: quando scannerizzi il tuo computer con Hijackthis, esso creerà un log, cioè un recoconto di quello che ha trovato. Postami questo log, eventualmente anche in privato, così ti dico se vedo qualcosa di strano.

Poi bisognerà vedere se esistono altri file generatori. Fammi sapere.

Ma hai qualche sintomo strano nel computer, tipo rallentamento della CPU, apparizioni di finestre bianche con link che portano a motori di ricerca, oppure "stacchi" dell'ADSL, computer che si riavvia da solo, o altro?

Inviato: 15 gennaio 2007, 18:43
da NonnoCarlo 4x4

Cercate anche questi file, sospetti rootkit:

C:WINDOWS\system32\gtrack.dll
C:WINDOWS\system32\kaboom.dll
C:WINDOWS\Temp\wmpl.exe
C:WINDOWS\system32\msx.dll
C:WINDOWS\system32\iewatch.exe
C:\WINDOWS\system32\icqchk.exe
C:\WINDOWS\system32\kpsf.exe
C:\WINDOWS\system32\ietool1.exe
C:\WINDOWS\system32\ietool2.exe
C:\WINDOWS\system32\ietool3.exe
C:\WINDOWS\system32\kpsf.sys
C:\WINDOWS\system32\kpsf.ini

8-) 8-) 8-) 8-) 8-) 8-) 8-) 8-) 8-) :cry:

Inviato: 15 gennaio 2007, 20:01
da IL KAMIKAZE
Io ho imparato a conviverci con le bestie, ognuno ha il suo spazio all'interno del mio pc, l'importante è non sconfinare!!!! :D :D :D

Inviato: 15 gennaio 2007, 20:16
da NonnoCarlo 4x4
:D :D :D

Però queste bestie sono proprio brutte, perchè non vanno a distruggere il tuo computer per il piacere di farlo (come un classico virus), ma leggono le tue preferenze o i tuoi indirizzi e li sfruttano economicamente................ :cry:

Inviato: 15 gennaio 2007, 21:24
da topalfredo
non so.....che e' questo messaggio che mi compare di tanto in tanto?
protezione di rete:bloccato"LSASS Exploit (sxp)"-attacco da 36.242.117.109:445/tpc
ho un antivirus avast

Inviato: 15 gennaio 2007, 21:36
da NonnoCarlo 4x4
E' l'avast che ti blocca il tentativo d'intrusione nel tuo PC da parte di qualcuno con indirizzo 36.242.117.109...........un worm di rete che tenta d'infettarti.

L'importante è che venga bloccato il tentativo............

Inviato: 15 gennaio 2007, 22:15
da topalfredo
menomale....a proposito di avast...a me sembra funzionare,che ne penzi tu?

Inviato: 28 gennaio 2007, 12:17
da NonnoCarlo 4x4
Mah, lo uso anch'io; fin'ora non mi ha mai avvisato di niente nonostante i vari attacchi da me subiti..............sicuramente perchè uso una versione antica e non aggiornata (al 2003) che non mi da molto aiuto........... :sad:

Inviato: 28 gennaio 2007, 14:08
da ciccio03
Aggiornala....

Inviato: 28 gennaio 2007, 14:46
da NonnoCarlo 4x4
Visto che oggi non ho niente da fare, ho fatto proprio questo: aggiornamento di Avast.

Ho eseguito il controllo all'avvio e mi dice che è tutto a posto. Vedremo per quanto e, soprattutto, se mi avviserà del prossimo attacco..............

Ehi, non riesco a selezionare il grassetto ed il blu per la scrittura..............

Inviato: 26 giugno 2007, 23:43
da cusilino
IL KAMIKAZE
Inviato: Lun Gen 15, 2007 8:01 pm

Io ho imparato a conviverci con le bestie, ognuno ha il suo spazio all'interno del mio pc, l'importante è non sconfinare!!!!



:D :D :D :D :D :D :D :D

Inviato: 11 aprile 2008, 19:49
da NonnoCarlo 4x4
Riprendo questo argomento perchè purtroppo sempre di moda. Basta leggere in giro sul web gli appositi forum.

Tra l'altro sono stato di nuovo fatto oggetto di un nuovo ed ancora più insidioso Rootkit (leggete i post precedenti per sapere di cosa si tratta) chiamato "PHYSICALDRIVE0".

Il mio Avast (Home e sempre aggiornato) lo ha rilevato, ma non ha potuto far niente per eliminarlo. Tra l'altro, ha si impedito che il bastardo prendesse possesso del mio PC, ma in qualche modo (o l'Avast o il Rootkit) hanno toccato il file Explorer.exe, importantissimo per la gestione delle applicazioni del computer.

Per ovviare, ho proceduto con un "ripristina configurazione di sistema" con CD di Windows XP; ma ci sono riuscito dopo diversi tentativi (il ripristino si bloccava), finendo alle 4.00 di ieri notte.
Rientrato in possesso della gestione del mio PC (con Avast che teneva cmq alla larga il rootkit), visitando appunto diversi forum sull'argomento, ho trovato validissimi suggerimenti e programmi per resistere agli attacchi dei nuovi rootkit.

Tra tutti segnalo il sempre validissimo P2Pforum
http://www.p2pforum.it/forum/showthread.php?t=295688
dal quale ho potuto scaricare un software utilissimo per la rimozione del rootkit: MBR.exe

Se seguite attentamente le istruzioni riportate nel forum riuscite a verificare in pochi secondi se avete un rootkit e come fare eventualmente per eliminarlo (fixarlo).

Tengo a precisare che il rootkit NON l'ho preso con il sito di Lucy (che, sappiamo, ha subito proprio l'altro ieri un attacco hacker).

Quindi mi raccomando............... sempre :occhi :occhi :occhi

Inviato: 13 aprile 2008, 10:51
da NonnoCarlo 4x4
Per curiosità: qualcuno di voi ha fatto la prova per vedere se colpito da rootkit?

:-o :-o
Tutti gli orari sono UTC+02:00
Pagina 1 di 2

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Italia.it