Condividi:        

scansione mail impazzita

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

scansione mail impazzita

Postdi laura » 10/04/04 10:41

Salve a tutti!
Ho un grave problema con il norton antivirus 2004.
Quando sono in internet dopo un po' mi parte in basso a destra la scansione delle mail.
Il fatto è che in quel momento non solo non sto inviando email, o ricevendo mail, ma a voler essere precisi non ho nemmeno nessun account di posta elettronicam, in quanto verifico le mail on line.
Il problema è che in pochi secondi si aprono in sequenza numerosissime scansioni di mail verso indirizzi sconosciuti e mi da il messaggio di errore "che non è stato possibile inviare il messaggio, perchè il server ha rifiutato il messaggio".
Davvero non so cosa fare, anche perchè tutto lo schermo viene invaso da questi messaggi (122 in pochissmi secondi).
Nella finestra di errore mi fornisce anche l'oggetto di questi messaggi e quasi tutti hanno a che fare con il "Viagra" o roba simile.
Il norton non mi rileva nessun virus (ho fatto anche una scansione online, negativa anche quella), e provando Adware ho scoperto di avere CoolWebSearch. potrebbe dipendere da questo?

Inoltre ho riscontrato uno strano programma all'avvio.
Infatti controllando in msconfig ho trovato il seguente programma :
System32:iklcxsm
e il suo comando è rundll32 C:\WINDOWS\System32:iklcxsm.dll, Init 1
Non ho davvero idea di cosa sia ... e non ho anocra avuto il coraggio di provare a disabilitarlo.

Spero qualcuno mi sappia aiutare.
Grazie
Laura
laura
Utente Junior
 
Post: 27
Iscritto il: 10/04/04 10:32

Sponsor
 

Postdi dado » 10/04/04 11:22

Tu cancella tranquillamente ciò che ti viene rilevato da Ad-aware (tra l'altro, l'hai aggiornato, vero?). Se vuoi fare la 'prova del nove', scaricati anche spy-bot dalla nostra sezione download e dai una passata con quello.

Altra cosa: per caso usi messenger?

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Re: scansione mail impazzita

Postdi Sergio1983 » 10/04/04 13:22

laura ha scritto:Nella finestra di errore mi fornisce anche l'oggetto di questi messaggi e quasi tutti hanno a che fare con il "Viagra" o roba simile.


Ho come l'impressione che il tuo PC sia diventato una stazione di spamming alla mercé di qualcuno.

laura ha scritto:e il suo comando è rundll32 C:\WINDOWS\System32:iklcxsm.dll, Init 1
Non ho davvero idea di cosa sia ... e non ho anocra avuto il coraggio di provare a disabilitarlo.


Devi disabilitare subito quella riga, e solo dopo passare Ad-Aware, SpyBot e l'antivirus aggiornatissimi, magari in modalità provvisoria se non riescono a rimuovere qualche voce.
E' meglio aver amato e perduto, piuttosto che non aver amato mai. (A. Tennyson)
Sergio1983
Utente Senior
 
Post: 2584
Iscritto il: 09/10/03 13:47
Località: Basso Piemonte

spyboot...

Postdi laura » 10/04/04 13:28

No non uso messenger.
Adware tutte le volte mi rileva CoolWebSearch, ma non lo rimuove, benchè io gli dica di farlo. alla successiva scansione è sempre lì'.
Con Spyboot (non rileva CoolWebSearch) ho eliminato alcuni spyware, ma non so come devo comportarmi riguardo a 7 file che mi rileva.
2 sono di windows Media player
5 su una falla di sicurezza di Internet Explorer
Cosa devo fare? glieli devo far correggere?

Il problema con il norton però è sempre lì!
grazie
laura
Utente Junior
 
Post: 27
Iscritto il: 10/04/04 10:32

Re: scansione mail impazzita

Postdi Sergio1983 » 10/04/04 13:35

Sergio1983 ha scritto:Devi disabilitare subito quella riga, e solo dopo passare Ad-Aware, SpyBot e l'antivirus aggiornatissimi, magari in modalità provvisoria se non riescono a rimuovere qualche voce.


L'hai fatto?
1) Disabilita quella voce sospetta.
2) Esegui antispywares ed antivirus in Modalità Provvisoria.
3) Aggiorna Windows attraverso Windows Update.
E' meglio aver amato e perduto, piuttosto che non aver amato mai. (A. Tennyson)
Sergio1983
Utente Senior
 
Post: 2584
Iscritto il: 09/10/03 13:47
Località: Basso Piemonte

Postdi laura » 10/04/04 14:29

Allora ho aperto in modalità diagnostica e ho fatto i vari scan.
Spyboot mi ha trovato 5 file (quelli relativi alla falla di sicurezza di internet explorer)
Adware invece mi ha trovato 17 file tutti legati a CoolWebsearch
Il norton non ha trovato proprio nulla.
La cosa singolare è che nessun programma era caricato in quella modalità tranne quello incriminato System32:iklcxsm.
Ad ogni avvio è sempre lì.
Sapete per caso che cos'è?

Laura
laura
Utente Junior
 
Post: 27
Iscritto il: 10/04/04 10:32

Postdi Dylan666 » 10/04/04 15:00

Andiamo con ordine: che l'antivirus non trovi gli spyware è normale. l'AD-aware non è che non rimuove il malware, è che c'è un qualcosa (script, exe o dll) che ricrea il valori a ogni avvio.

Evidentemente non hai pulito roprio tutto dall'MSCONFIG.

Prova questo tool apposito per il tuo problema:

http://www.siena.edu/antivirus/Spyware/CWS.htm

o aiutati nella rimozione e ricerca della chiave con questa guida:

http://www.pc-facile.com/guide.php?t=111274
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi MrOZ » 10/04/04 16:26

x rimuovere CoolWebSearch od una delle sue numerose varianti, utilizza il tool appostito x la sua rimozione CWShredder : scarica da qui la ver aggiornata, chiudi tutte le finestre del browser e lancialo.
http://www.zerosrealm.com/downloads/CWShredder.zip

Ciao.
MrOZ
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 19:50

Postdi MrOZ » 10/04/04 16:32

PS: ho visto solo ora ke anke Dylan666 giustamente in questo link http://www.siena.edu/antivirus/Spyware/CWS.htm ti aveva già suggerito di usare CWShredder , xò in quel sito la versione disponibile non è la + aggiornata. L'ultima ver di CWShredder è la 1.56.1, ke trovi al link che ti ho dato io.

Ciao.
MrOZ
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 19:50

startup manager .....

Postdi laura » 10/04/04 17:17

CoolWebSearch dovrebbe essere risolto. Grazie x l'aiuto !!!!!!!
Però il problema con Norton persiste, come persiste quello strano programma che ad ogni avvio si ricarica.
Ho provato Startup monitor nella speranza di monitorare il suo avvio e di bloccarlo, nulla.
Quando lo disattivo da msconfig, startup mi dice
The program iklcxsm has registrered the executable rundll32 C:\WINDOWS\System32:iklcxsm.dll, Init 1 to run at system startup.
Do you wish to allow this change ?
e io allora scelgo yes , ma il programma si ricarica tutte le volte.
Se rispondo no continua a comparirmi ogni 10 secondi la finestra di startup con la comunicazione che ho scritto sopra.
Non so + davvero dove sbattere la testa!
Comunque davvero grazie x la vostra pazienza e soprattutto x il vostro aiuto! .
Laura
laura
Utente Junior
 
Post: 27
Iscritto il: 10/04/04 10:32

Postdi Dylan666 » 11/04/04 10:48

Evidentemente ci deve essere un'altra voce che carica quella dll. Dovrai disattivare anche quella se vuoi evitare che la cosa si ripeta a ogni avvio
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi MrOZ » 11/04/04 15:05

Scarica hijackthis, fai uno scan, salva il log e fai un copia-incolla qui.
MrOZ
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 19:50

log

Postdi laura » 11/04/04 16:29

Ecco qui il log.
N.B. HO provato a Fix i 2 file incriminati con quel nome, alla scansione successiva sono sempre lì.
Se cancello le chiavi dal registro (con Regseeker) con quel nome idem.


Logfile of HijackThis v1.97.7
Scan saved at 17.26.19, on 11/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\GIANT Company Software\Spam Inspector\siService.exe
C:\Programmi\GIANT Company Software\Spam Inspector\siMailProxyServer.exe
C:\Programmi\GIANT Company Software\Spam Inspector\siSpamFilterEngine.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Zone alarm\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Hotmail Spam Filter - {58A83E4F-477A-4A3F-BF9B-B65BC2BD5598} - C:\Programmi\GIANT Company Software\Spam Inspector\siClientUIHotmail.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\Programmi\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [Zone Labs Client] "C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe"
O4 - HKLM\..\Run: [iklcxsm] rundll32 C:\WINDOWS\System32:iklcxsm.dll,Init 1
O4 - HKLM\..\RunOnce: [*iklcxsm] rundll32 C:\WINDOWS\System32:iklcxsm.dll,Init 1
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 0340046296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8191D77D-51AB-4172-A6C3-206A00401370}: NameServer = 62.211.69.150 212.48.4.15

Grazie a tutto !
Laura
laura
Utente Junior
 
Post: 27
Iscritto il: 10/04/04 10:32

Postdi Dylan666 » 11/04/04 19:10

Per favore, lo chiedo anche agli altri... Non incoraggiate queste trascrizioni di log chilometrici che sono difficoltosi da leggere! Per trascrivere queste liste si devono fare almeno 2 cose:

1) Chiudere tutti i programmi (antivirus, Zone Alarm, icone del modem, MSN) in modo da eliminare tutti i processi conosciuti.

2) Lanciare la modalità provvisoria, vedere se il problema si verifica lo stesso e se è così in quella modalità lanciare il programma: anche in questo caso il log viene quasi dimezzato.

Comunque da una analisi approssimativa (quale può essere una senza gli accorgimenti di cui sopra) incrimenerei i seguenti processi:

Codice: Seleziona tutto
O4 - HKLM\..\Run: [iklcxsm] rundll32 C:\WINDOWS\System32:iklcxsm.dll,Init 1
O4 - HKLM\..\RunOnce: [*iklcxsm] rundll32 C:\WINDOWS\System32:iklcxsm.dll,Init 1


Li avevi già tolti ENTRAMBI?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi laura » 13/04/04 12:07

chiedo scusa per il log.

Mi hanno indicato che il mio problema potrebbe essere il virus Troj/CoreFloo-C.
Le uniche informazione sul virus sono nel sito : http://www.sophos.com/virusinfo/analyse ... flooc.html

Ma l'utility per rimuovere il virus non riesce a finire la scansione perchè mi da un errore. e termina il programma. e così sono di nuovo al punto di partenza.

Laura
laura
Utente Junior
 
Post: 27
Iscritto il: 10/04/04 10:32

Postdi Dylan666 » 13/04/04 13:41

Non ti preoccupare per il log ;) ;)
Come sei arrivata alla conclusione del trojan?
Hai provato a disattivare entrambe le chiavi che dicevo prima?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi laura » 13/04/04 18:08

Si ho provato a disattivarle, a cancellarle, di tutto.
Chiudo e sono di nuovo tutte lì.
Su un altro forum mi hanno indicato che potrebbe essere quel trojan.
Così, dalla descrizione potrebbe proprio essere lui e poi il tool del sito sophos trova qualcosa, solo che non riesce a finire lo scan perchè parte l'errore.
Così sono sempre al punto di partenza....
laura
Utente Junior
 
Post: 27
Iscritto il: 10/04/04 10:32

Postdi Dylan666 » 13/04/04 19:27

Usa il tool in modalità provvisoria
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi MrOZ » 17/04/04 19:22

Prova ad installare ed utilizzare un prog specifico contro i trojan ad es. TrojanHunter http://www.misec.net/trojanhunter/ (è una ver trial).

Altri prog altrimenti sono TDS-3 o i freeware a2 ed ewido.
MrOZ
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 19:50


Torna a Sicurezza e Privacy


Topic correlati a "scansione mail impazzita":


Chi c’è in linea

Visitano il forum: Nessuno e 37 ospiti