ANCORA ATTACCHI ROOTKIT O TROJAN

Spazio dove è possibile discutere di problemi riscontrati con il proprio software o hardware. Notizie ed esperienze su virus ed antivirus da scambiare con gli altri utenti.
Rispondi
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4

Avendo subito altri attacchi da tutta la schifezza che immettono nel web (senza bisogno di entrare in siti porno o simili!!), avendo "preso" quindi altri rootkit o Trojan, ed essendo riuscito per l'ennesima volta ad eliminare il tutto :lol: :roll: :cool: senza bisogno di formattare, volevo elencare i file che potete cercare nel vostro PC per verificare se avete dentro qualche brutta bestia.

Oltre a quanto già citato nel mio altro topic "Tyur1.exe", cercate questi file:

ctfmon32.dll
ctfmon.exe
hide_evr2.sys
sys32exploer.oll (scritto così, non ho fatto errori di battitura)
u3shlpdr.sys
service32.exe
"numerivari".exe (ad esempio 982516.exe)
checkers5.exe

L'ultimo è un rootkit (nell'altro topic ho già spiegato di cosa si tratta - brutta bestia).
In genere sono piazzati nella directory WINNT/sistem32 o direttamente in WINNT.
Attenzione a non confonderli con file di sistema. Dovete muovervi con molta attenzione per non fare guai al sistema operativo. Prima di cancellare, fatevi una copia dei file trovati, su un floppy.
Il service32.exe è un eseguibile ed è nascosto tra i processi attivi. Non facile da trovare.
Utilizzate i programmi che avevo menzionato nel predetto topic per scovarlo.
Se trovate qualcosa fatemelo sapere che cercherò di darvi una mano on line.

:cry: :cry: :cry: :-D
Top
Avatar utente
vitara95
MODERATORE
MODERATORE
Messaggi: 3914
Iscritto il: 7 giugno 2006, 8:43
Località: Alcamo
Contatta:
Contatta vitara95

Ciao, spybot mi segnala tra i processi attivi il ctfmon.exe e mi dice che è un virus o comunque qualcosa da eliminare., cosa che ho fatto più volte senza risultati in quanto ricompare! Cercando su internet ho letto che in alcuni casi è un file di sistema, ma che in altri è un virus, come faccio per capirlo e per eliminarlo? Nel caso si tratti di un virus, che danni crea?
Ti ringrazio anticioatamente per la risposta.
Top
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4

Ciao Vitara.
Il primo consiglio è quello di copiarti il file ctfmon.exe su un dischetto.......non si sa mai. Sicuramente lo trovi nella cartella WINNT oppure WINNT/system32.
PS: non lo confondere con il file CTNotify.exe

Scaricati il programma "Hijackthis" che trovi a questo link
http://www.reboots.net/forum/index.php?showtopic=3605
e lancialo sul tuo computer. Il forum di "Reboot" spiega anche cosa cercare con la sua guida.
Stai certo che il predetto programma ti troverà il file incriminato permettendoti di "fixarlo", cioè di renderlo ineseguibile al prossimo avvio, mettendolo in quarantena.

Fai una cosa: quando scannerizzi il tuo computer con Hijackthis, esso creerà un log, cioè un recoconto di quello che ha trovato. Postami questo log, eventualmente anche in privato, così ti dico se vedo qualcosa di strano.

Poi bisognerà vedere se esistono altri file generatori. Fammi sapere.

Ma hai qualche sintomo strano nel computer, tipo rallentamento della CPU, apparizioni di finestre bianche con link che portano a motori di ricerca, oppure "stacchi" dell'ADSL, computer che si riavvia da solo, o altro?
Top
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4


Cercate anche questi file, sospetti rootkit:

C:WINDOWS\system32\gtrack.dll
C:WINDOWS\system32\kaboom.dll
C:WINDOWS\Temp\wmpl.exe
C:WINDOWS\system32\msx.dll
C:WINDOWS\system32\iewatch.exe
C:\WINDOWS\system32\icqchk.exe
C:\WINDOWS\system32\kpsf.exe
C:\WINDOWS\system32\ietool1.exe
C:\WINDOWS\system32\ietool2.exe
C:\WINDOWS\system32\ietool3.exe
C:\WINDOWS\system32\kpsf.sys
C:\WINDOWS\system32\kpsf.ini

8-) 8-) 8-) 8-) 8-) 8-) 8-) 8-) 8-) :cry:
Top
Avatar utente
IL KAMIKAZE
MODERATORE
MODERATORE
Messaggi: 3645
Iscritto il: 9 novembre 2005, 1:17
Località: Yokohama, Japan
Contatta:
Contatta IL KAMIKAZE

Io ho imparato a conviverci con le bestie, ognuno ha il suo spazio all'interno del mio pc, l'importante è non sconfinare!!!! :D :D :D
ex '89 Suzuki Vitara
ex '94 Nissan Terrano II 100cv
ex '93 Nissan Patrol GR Y60 (la perla)
ex '01 Nissan Patrol GR Y61 3.0
ex '99 Nissan Patrol GR Y61 2.8
'92 Mercedes G 320 turbo
'96 Nissan Patrol GR Y60 (terminator)

....tremate......sto tornando.......

Le foto del mio Patrol GR

Predicatore di Patrol nel mondo.........................................e RE degli OT!!!!
Immagine
Patrol member e C.T. of :bastardclub4x4
www.saharaclub4x4ragusa.it
Top
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4

:D :D :D

Però queste bestie sono proprio brutte, perchè non vanno a distruggere il tuo computer per il piacere di farlo (come un classico virus), ma leggono le tue preferenze o i tuoi indirizzi e li sfruttano economicamente................ :cry:
Top
Avatar utente
topalfredo
INTERMEDIATE MEMBER
INTERMEDIATE MEMBER
Messaggi: 537
Iscritto il: 31 marzo 2006, 17:41

non so.....che e' questo messaggio che mi compare di tanto in tanto?
protezione di rete:bloccato"LSASS Exploit (sxp)"-attacco da 36.242.117.109:445/tpc
ho un antivirus avast
Top
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4

E' l'avast che ti blocca il tentativo d'intrusione nel tuo PC da parte di qualcuno con indirizzo 36.242.117.109...........un worm di rete che tenta d'infettarti.

L'importante è che venga bloccato il tentativo............
Top
Avatar utente
topalfredo
INTERMEDIATE MEMBER
INTERMEDIATE MEMBER
Messaggi: 537
Iscritto il: 31 marzo 2006, 17:41

menomale....a proposito di avast...a me sembra funzionare,che ne penzi tu?
Top
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4

Mah, lo uso anch'io; fin'ora non mi ha mai avvisato di niente nonostante i vari attacchi da me subiti..............sicuramente perchè uso una versione antica e non aggiornata (al 2003) che non mi da molto aiuto........... :sad:
Top
Avatar utente
ciccio03
Advanced Member
Advanced Member
Messaggi: 1114
Iscritto il: 24 novembre 2004, 16:55
Località: Catania

Aggiornala....
...:smoker.... :maimoll

:toyota HDJ 100 - KZJ95

EX Mercedes GE300
Top
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4

Visto che oggi non ho niente da fare, ho fatto proprio questo: aggiornamento di Avast.

Ho eseguito il controllo all'avvio e mi dice che è tutto a posto. Vedremo per quanto e, soprattutto, se mi avviserà del prossimo attacco..............

Ehi, non riesco a selezionare il grassetto ed il blu per la scrittura..............
Top
Avatar utente
cusilino
Old member
Old member
Messaggi: 2578
Iscritto il: 5 marzo 2007, 21:28
Località: Catania

IL KAMIKAZE
Inviato: Lun Gen 15, 2007 8:01 pm

Io ho imparato a conviverci con le bestie, ognuno ha il suo spazio all'interno del mio pc, l'importante è non sconfinare!!!!



:D :D :D :D :D :D :D :D
Occhiu vivu e manu o cutieddu
Memento Audere Semper
Se faccio qualcosa alla perfezione, allora quasi necessariamente la faccio di corsa!

Immagine Immagine I miei video sempre in aggiornamento
Top
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4

Riprendo questo argomento perchè purtroppo sempre di moda. Basta leggere in giro sul web gli appositi forum.

Tra l'altro sono stato di nuovo fatto oggetto di un nuovo ed ancora più insidioso Rootkit (leggete i post precedenti per sapere di cosa si tratta) chiamato "PHYSICALDRIVE0".

Il mio Avast (Home e sempre aggiornato) lo ha rilevato, ma non ha potuto far niente per eliminarlo. Tra l'altro, ha si impedito che il bastardo prendesse possesso del mio PC, ma in qualche modo (o l'Avast o il Rootkit) hanno toccato il file Explorer.exe, importantissimo per la gestione delle applicazioni del computer.

Per ovviare, ho proceduto con un "ripristina configurazione di sistema" con CD di Windows XP; ma ci sono riuscito dopo diversi tentativi (il ripristino si bloccava), finendo alle 4.00 di ieri notte.
Rientrato in possesso della gestione del mio PC (con Avast che teneva cmq alla larga il rootkit), visitando appunto diversi forum sull'argomento, ho trovato validissimi suggerimenti e programmi per resistere agli attacchi dei nuovi rootkit.

Tra tutti segnalo il sempre validissimo P2Pforum
http://www.p2pforum.it/forum/showthread.php?t=295688
dal quale ho potuto scaricare un software utilissimo per la rimozione del rootkit: MBR.exe

Se seguite attentamente le istruzioni riportate nel forum riuscite a verificare in pochi secondi se avete un rootkit e come fare eventualmente per eliminarlo (fixarlo).

Tengo a precisare che il rootkit NON l'ho preso con il sito di Lucy (che, sappiamo, ha subito proprio l'altro ieri un attacco hacker).

Quindi mi raccomando............... sempre :occhi :occhi :occhi
Top
Avatar utente
NonnoCarlo 4x4
FAMILY MEMBER
Messaggi: 9211
Iscritto il: 27 aprile 2005, 11:34
Località: Catania
Contatta:
Contatta NonnoCarlo 4x4

Per curiosità: qualcuno di voi ha fatto la prova per vedere se colpito da rootkit?

:-o :-o
Top
Rispondi

Torna a “Problemi software ed hardware”