Qualcuno sa qualcosa sul troyan phel.l??

[Drakar]

aggiungo che se qualcuno di voi è così gentile da chiamarmi in msn per aiutarmi in questa cosa quando ha un po di tempo gliene sarei veramente grato

fizbanilfavoloso@hotmail.it

PS. volendo ho anche il microfono per parlare...

[Nikon]

Drakar fai cosi:
Start\Esegui adesso copia-incola questo:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC
OK
Adesso apri file HOSTS con Blooco note e dimmi che cosa c'è scrito dentro.

[Drakar]

Drakar fai cosi:
Start\Esegui adesso copia-incola questo:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC
OK
Adesso apri file HOSTS con Blooco note e dimmi che cosa c'è scrito dentro.

ce ne sono due, quello "file iCalendar" non lo riesco ad aprire.
Intanto puo darsi che sia questo e te lo posto


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost

[Drakar]

ecco l'altro ora ci son riuscito

# Copyright (c) 1993-2001 Microsoft Corp.
#
# This file has been automatically generated for use by Microsoft Internet
# Connection Sharing. It contains the mappings of IP addresses to host names
# for the home network. Please do not make changes to the HOSTS.ICS file.
# Any changes may result in a loss of connectivity between machines on the
# local network.
#

192.168.1.33 armando1.mshome.net # 2011 2 2 1 13 14 29 93

[Drakar]

cosa mi dici? quei due indirizzi dovrebbero essere quelli che imposta il router per la connessione... vero?

[Nikon]

Verissimo,ma sono puliti.non c'è niente di strano.
Adesso quarda.
Scarica questo programma:
http://www.downloads.subratam.org/l2mfix.exe
Estrai in una sua cartela in Documenti (come che hai fato con Hijackhits)
dai nome che vuoi (consiglio 12mfix)
Dopo apri la cartella e clicca sul (leggi bene)
cosi si vede : 12mfix
File batch MS-DOS
8kb
Fai doppio click sul questo,si apre una finestra
premi Invio
poi premmi 1
INVIO
quando finisce mi mandi REPORT qua.(come con Hijackhits)

[Heba]

In breve:dllhost.exe
Il worm Welchia sfrutta la stessa vulnerabilità del worm Blaster (DCOM RPC) e, nel caso il server da colpire fosse dotato di un server Web, anche una vulnerabilità di Internet Information Services 5.0 (WebDav). Il worm tenta di eliminare dal PC infetto il worm Blaster, sfruttandone gli stessi canali di trasmissione. Se attivato nel 2004 il worm Welchia si autodisinstalla.
Il worm esamina secondo un ordine stabilito o casuale i computer sulla rete Internet tentando di verificare se sono attaccabili secondo una delle due vulnerabilità descritte sopra. Se lo sono, il worm esegue sulla macchina attaccata le istruzioni per scaricare, dalla stessa macchina attaccante, il codice del Worm attraverso un server FTP.
Una volta attivato, il worm cancella i riferimenti al worm Blaster, scarica dal sito Microsoft le patch aggiornate di Windows . Il worm crea anche due servizi di rete supplementari (RpcTftpd e RpcPatch) e installa un nuovo file sotto la directory \Wins\Dllhost.exe sotto la directory di sistema di Windows.
Allora adesso funziona tutto bene.
Ciao.

ehm...welchia non funziona così, non che io sappia almeno... ...comunque, quello è un file utile al sistema che carica molti programmi e che serve al server IIS che è il server che ha Drakar, il file che tu hai detto sarebbe imputabile a welchia solo se si troverebbe sia nella sezione dei file di sistema, sia nella sezione della R ed in quella delle O, come capitato a molti altri che lo avevano e che sono passati da questo forum, vedi altri topic, questo perchè welchia è un w32 e i w32 creano copie dei files di sistema, però il log di hijackthis lo avrebbe rilevato come lo ha rilevato sempre nei casi scorsi. Quindi non penso sia questo il problema, anche perchè il welchia non fa cadere le connessioni, non che io sappia...
Poi senza offesa, so di essere cieca...ma dove lo hai trovato quel file io non lo leggo nei log che ha postato drakar...

[Heba]

poi aggiungo, ma ftp non è un server...

[Drakar]

Verissimo,ma sono puliti.non c'è niente di strano.
Adesso quarda.
Scarica questo programma:
http://www.downloads.subratam.org/l2mfix.exe
Estrai in una sua cartela in Documenti (come che hai fato con Hijackhits)
dai nome che vuoi (consiglio 12mfix)
Dopo apri la cartella e clicca sul (leggi bene)
cosi si vede : 12mfix
File batch MS-DOS
8kb
Fai doppio click sul questo,si apre una finestra
premi Invio
poi premmi 1
INVIO
quando finisce mi mandi REPORT qua.(come con Hijackhits)

eccolo, speriamo che esce il problema


L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{5a61f7a0-cde1-11cf-9113-00aa00425c62}"="IIS Shell Extension"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
bassmod.dll Tue 31 Jan 2006 13.10.36 A.... 15.360 15,00 K
browseui.dll Thu 24 Nov 2005 1.14.46 A.... 1.022.464 998,50 K
danim.dll Sat 5 Nov 2005 4.16.58 A.... 1.056.256 1,00 M
gdi32.dll Thu 29 Dec 2005 3.55.46 A.... 280.064 273,50 K
imon.dll Sat 28 Jan 2006 18.22.04 A.... 270.336 264,00 K
mshtml.dll Thu 24 Nov 2005 1.14.46 A.... 3.013.632 2,87 M
shdocvw.dll Thu 1 Dec 2005 4.31.04 A.... 1.492.992 1,42 M
sirenacm.dll Wed 14 Dec 2005 9.24.42 A.... 118.784 116,00 K
urlmon.dll Sat 5 Nov 2005 4.17.02 A.... 605.184 591,00 K
vsdata.dll Tue 15 Nov 2005 0.50.30 A.... 83.720 81,76 K
vsinit.dll Tue 15 Nov 2005 0.50.42 A.... 141.064 137,76 K
vsmonapi.dll Tue 15 Nov 2005 0.50.52 A.... 104.208 101,77 K
vspubapi.dll Tue 15 Nov 2005 0.50.56 A.... 227.088 221,77 K
vsregexp.dll Tue 15 Nov 2005 0.51.00 A.... 71.440 69,77 K
vsutil.dll Tue 15 Nov 2005 0.51.12 A.... 382.728 373,76 K
vsxml.dll Tue 15 Nov 2005 0.51.20 A.... 100.104 97,76 K
zlcomm.dll Tue 15 Nov 2005 0.51.40 A.... 79.624 77,76 K
zlcommdb.dll Tue 15 Nov 2005 0.51.44 A.... 71.440 69,77 K

18 items found: 18 files, 0 directories.
Total of file sizes: 9.136.488 bytes 8,71 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 48F9-B1FE

Directory di C:\WINDOWS\System32

02/02/2006 11.28 <DIR> dllcache
12/12/2005 12.46 <DIR> Microsoft
0 File 0 byte
2 Directory 95.884.120.064 byte disponibili

[Heba]

scusa, nikon, sarò un po' stordita, ma non ho capito il perchè gli hai fatto fare tutta sta roba se gli bastava leggere l'event viewer per avere gli stessi risultati e con meno fatica a dire il vero...

[Nikon]

Non è completo il report!!!!!!!!!!!!!
Mancano queste cose:
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Propriet… dei file Multimedia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestore scanner ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Pagina di protezione NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Pagina di propriet… di Docfile OLE"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Estensioni shell per la condivisione"
Tutto log devi postare.

[Nikon]

Drakar adesso continuiamo privato,ti ho mandato email.
ciao.

[Heba]

perchè continuate in privato? non ci fate sapere cosa è esattamente, io sono molto curiosa...

e non mi rispondi alla domanda, devo rimanere ignorante per forza?...

[Nikon]

Ciao.
Non bastava leggere l'event viewer per vedere che cosa c'è.
Puoi anche fare con Hijackthis,ma qua c'è qualcosa nascosto per bene.
Con questo programa facciamo anche eliminazione come per esempio questo:Agent\Post Platform]
"SV1"=""
Ma lui non ha postato tutto il log,cosi non vediamo tutto.
ciao.

[Drakar]

Ciao.
Non bastava leggere l'event viewer per vedere che cosa c'è.
Puoi anche fare con Hijackthis,ma qua c'è qualcosa nascosto per bene.
Con questo programa facciamo anche eliminazione come per esempio questo:Agent\Post Platform]
"SV1"=""
Ma lui non ha postato tutto il log,cosi non vediamo tutto.
ciao.

io il log te l'ho postato tutto, non sarò una cima però copia incolla lo so fare ancora...

cmq dobbiamo continuare qua o in privato? ti ho anche mandato e-mail, basta che continuiamo da una parte sola

[Luke57]

@ Nikon
Ciao Nikon, hai pensato anche a silentrunners?
@ Drakar
No, esigo che continuiate nel forum!
Ovviamente scherzo però per accrescere la nostra conoscenza, sarebbe meglio continuare la discussione

[Nikon]

Hai raggione Luke 57,meglio continuare qua,per altri utenti,cosi se impara qualcosa.Tu sai io non ho segreti,ma forse Heba (chi è non lo so??)ha
qualcosa contra da dire non lo so.
come secondo,Drakar ha problemi,cosi ho fatto screenshot che lui devi fare
e mandato via email privato.Se lui vole continuare qua nel forum,sono dacordo.
Ciao.

[fabrizius]

Nikon qua c'è gente molto preparata quindi se ti danno un consiglio o la vedono diversamente da te come "Heba"in questo caso,non prenderla come una persecuzione

[Nikon]

Come sono preparati io non lo so,ma ho pensato forse è vietato
fare cosi lungo post,perciò ho detto facciamo in privato.
Secondo,non preocupare non faccio più qua assistenza,non ho tempo.

[fabrizius]

nessuno di noi ha tempo,ma si cerca di fare il meglio....
visto che poi ci sono anche tante cose da imparare su un forum come questo,e di sicuro non sarà tempo perso