Strumenti haking

[Sergiotubo]

Ciao a tutti ,ho fatto una scansione on line con panda e mi dice che ci sono 2 strumenti haking sul mio pc ma non li rimuove allego quello che mi fa vedere io non ci capisco una mazza,Incidente Stato Percorso

Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\Tubo\Cookies\tubo@atdmt[1].txt
Strumenti indesiderati:Application/Psshutdown.A Non Disinfettato C:\Documents and Settings\Tubo\Impostazioni locali\Temp\shutdown.exe
Strumenti indesiderati:Application/Pskill.H che si fa che devo fare grazie

Strumenti indesiderati:Application/Pskill.H Non Disinfettato C:\Documents and Settings\Tubo\Impostazioni locali\Temp\upd.exe
Sospetto processi in esecuzione. (upd.exe)
Adult content based screen saver where after Uninstall can be any number
Processo pericoloso! Premete Fix in HijackThis e provate a cancellarlo manualmente!

Strumenti indesiderati:Application/Psshutdown.A Non Disinfettato C:\Documents and Settings\Tubo\Impostazioni locali\Temp\shutdown.exe che significa ,non ci sto capendo piu nulla,eppure uso ad aware kaerpeski ,spybot ,ewido,ma allora a che servono a niente.

[BluIce]

Ciao a tutti ,ho fatto una scansione on line con panda e mi dice che ci sono 2 strumenti haking sul mio pc ma non li rimuove allego quello che mi fa vedere io non ci capisco una mazza,Incidente Stato Percorso

Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\Tubo\Cookies\tubo@atdmt[1].txt
Strumenti indesiderati:Application/Psshutdown.A Non Disinfettato C:\Documents and Settings\Tubo\Impostazioni locali\Temp\shutdown.exe
Strumenti indesiderati:Application/Pskill.H che si fa che devo fare grazie

Strumenti indesiderati:Application/Pskill.H Non Disinfettato C:\Documents and Settings\Tubo\Impostazioni locali\Temp\upd.exe
Sospetto processi in esecuzione. (upd.exe)
Adult content based screen saver where after Uninstall can be any number
Processo pericoloso! Premete Fix in HijackThis e provate a cancellarlo manualmente!

Strumenti indesiderati:Application/Psshutdown.A Non Disinfettato C:\Documents and Settings\Tubo\Impostazioni locali\Temp\shutdown.exe che significa ,non ci sto capendo piu nulla,eppure uso ad aware kaerpeski ,spybot ,ewido,ma allora a che servono a niente.

Risk Tool.Win32.PsKill.h mi sa che e un trojan ma non ti so dire aspetta qualcuno piu esperto

[Sergiotubo]

Lo penso anchio,ho fatto ben 13 scansione on line ed e sempre lo stesso ,ma aspettiamo gli esperti,intanto l'anti trojan non mi rivela niente ,strano ,aspettiamo.Il problema e che ogni tanto mi si apre il lettore quello sencondario da solo senza motivo non vorrei che fosse colpa di qualche demente Haker che se li beccherei io gli farei aprire il lettore con i denti .

[iLLiDaN]

Lo penso anchio,ho fatto ben 13 scansione on line ed e sempre lo stesso ,ma aspettiamo gli esperti,intanto l'anti trojan non mi rivela niente ,strano ,aspettiamo.Il problema e che ogni tanto mi si apre il lettore quello sencondario da solo senza motivo non vorrei che fosse colpa di qualche demente Haker che se li beccherei io gli farei aprire il lettore con i denti .

Ma il problema del lettore cd non l'avevamo già risolto tempo fa?
Avevamo stabilito che poteva essere qualcosa tipo BackOrifice o Subseven..
Se il Panda non li rimuove prova con altri software: Spybot,Ad-Aware,Tauscan...intanto che ci siamo con spybot almeno facciamo pulizia di tutte le varie schifezze
Fai anche una scansione con HijackThis e vedi che ti dice

[Sergiotubo]

Ciao Illidan il problema del lettore lo avevamo risolto ma ora e ricomparso,la scansione con i vari programmi lo fatta ,e anche con HijackThis ma non so usarlo mi servirebbe una mano .

[Ramòn]

Devi lanciare hijackthis fargli fare un file di LOG che incolli qui
http://www.hijackthis.de/index.php
vedi cosa ti dice, dopodichè fixi quei processi che risultano pericolosi

[Sergiotubo]

Fatto l'unico file sospetto e questo . O17 - HKLM\System\CCS\Services\Tcpip\..\{2242B531-26CA-4F85-9038-D40F739DADA1}: NameServer = 85.37.17.39 85.38.28.71
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix).
Conoscete l'indirizzo IP o il Dominio '85.37.17.39 85.38.28.71'? Se no, eliminate questo oggetto

[Toby]

Soliti problemi...
Soliti consigli...

http://www.tomshw.it/forum/showthread.php?t=18702

[Sergiotubo]

Logfile of HijackThis v1.99.1
Scan saved at 20.15.44, on 03/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Tubo\IMPOST~1\Temp\Rar$EX00.812\Hijack This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\system32\FirstReboot.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2242B531-26CA-4F85-9038-D40F739DADA1}: NameServer = 85.37.17.39 85.38.28.71
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Che devo fare ora che si fa

[Toby]

Fatto l'unico file sospetto e questo . O17 - HKLM\System\CCS\Services\Tcpip\..\{2242B531-26CA-4F85-9038-D40F739DADA1}: NameServer = 85.37.17.39 85.38.28.71
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix).
Conoscete l'indirizzo IP o il Dominio '85.37.17.39 85.38.28.71'? Se no, eliminate questo oggetto

Potrebbe essere il tuo gestore ADSL....
Per ora lascialo perdere.

Può essere controproducente fixarlo...

[iLLiDaN]

Fai come ti ha consigliato Ramòn,vai sul sito e incolli il contenuto del file di log..poi ti dirà lui le cose sospette e le cose che vanno bene.
Per eliminarle basta che spunti le caselline e fai "fix checked"

[Sergiotubo]

lo fatto lo incollato ed analizzato tutto ok tranne questo O17 - HKLM\System\CCS\Services\Tcpip\..\{2242B531-26CA-4F85-9038-D40F739DADA1}: NameServer = 85.37.17.39 85.38.28.71
come faccio a capire se e la mia adsl telecom,

Ho anche controllato tutti i server di Emule ma nessuno porta quel codice anche se ci si avvicinano molto .

[Bricchino]

Il problema e che ogni tanto mi si apre il lettore quello sencondario da solo senza motivo non vorrei che fosse colpa di qualche demente Haker che se li beccherei io gli farei aprire il lettore con i denti .

Prima di tutto gli Hacker, non sono assolutamente persone dementi, come li definisci tu. Molto probabilmente ti stai confondendo col termine Cracker o Lamer, che non hanno nulla a che fare con gli Hacker. Gli Hacker sono persone con ottime conoscenze informatiche e delle reti, nonché esperti di programmazione. Non sono pirati informatici, come erroneamente la gente li etichetta. E molto spesso gli Hacker, lavorano per le aziende nel campo della sicurezza informatica. E comunque non si divertono a "violare" il tuo computer per fargli aprire lo sportellino del lettore.
Magari sul desktop ti sarà anche apparsa la scritta "HACKED" (violato) :
Molto probabilmente ti si sarà installato un Joke Program.
I Programmi Joke sono considerati relativamente innocui e la loro funzione si limita generalmente a infastidire o a farsi beffe degli utenti. Non infettano i file, non causano danni e non si diffondono ad altri sistemi.
Molti programmi Joke sono progettati per causare panico immotivato, specie quelli che agiscono sui computer facendoli funzionare come se avessero subito un danno. Tra i vari comportamenti anomali dei sistemi colpiti dai programmi Joke si annoverano la chiusura e l'apertura del vassoio del CD-ROM e/o la visualizzazione di un numero esorbitante di finestre di messaggi.
Riguardo gli indirizzi ip che hai scritto, sono tutti e due relativi alla Telecom.

[Sergiotubo]

Azz che precisione ,scusami ma sentendo tramite gli telegiornali che dicono sempre attenzione agli haker ,scoperta truffa ecc,mica e colpa mia se sono considerati pericolosi,ok ci saranno anche quelli buoni ma la maggior parte no ,io demente lo dico a quel haker che si diverte solo a far danno sul pc di qualcuno ,non in generale,anche mio cugino e un haker ma ti assicuro che lui e molto buono anzi troppo ,ciao,e comunque se te la sei sentita scusami ok .

[iLLiDaN]

Molto probabilmente ti stai confondendo col termine Cracker o Lamer

Io toglierei anche Cracker e lascerei solo Lamer