Condividi:        

sono infestato da spyware adware e altra robaccia AIUTOOOO!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

sono infestato da spyware adware e altra robaccia AIUTOOOO!!

Postdi doc » 26/04/05 13:47

:aaah

Cari amici
Sono infestato da spyware e quant'altro...e il computer è impazzito...
Ho fatto una scansione con HijackThis ma non mi azzardo a rimuovere nulla finchè un'esperto non mi dice cosa eliminare e cosa invece non devo assolutamente toccare.
Vi incollo qui di sotto il risultato della scansione.
Vi ringrazio tutti, un caro saluto e a presto
DOC

Logfile of HijackThis v1.97.7
Scan saved at 14.43.47, on 26/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\sdkyz32.exe
E:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\NWTRAY.EXE
E:\Program Files\Real\RealPlayer\RealPlay.exe
E:\Program Files\Media Access\MediaAccK.exe
E:\Program Files\Media Access\MediaAccess.exe
E:\temp\salm.exe
E:\WINDOWS\mfcbr.exe
E:\WINDOWS\System32\ap9h4qmo.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
E:\Documents and Settings\ap\Application Data\ctoh.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\WINDOWS\system32\?hkdsk.exe
E:\Program Files\Eudora\eudora.exe
E:\Ripristino programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS\dtetf.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\dtetf.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS\dtetf.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\dtetf.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS\dtetf.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS\dtetf.dll/sp.html#10001
O2 - BHO: (no name) - {3C71515D-BD4E-2600-3366-5E88EB58BB2D} - E:\WINDOWS\apiux32.dll
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] E:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Access Security] E:\WINDOWS\System32\egacopy.exe
O4 - HKLM\..\Run: [Update Internet] E:\WINDOWS\System32\egacopy.exe
O4 - HKLM\..\Run: [Media Access] E:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] e:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "E:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [checkrun] E:\windows\system32\elitewor32.exe
O4 - HKLM\..\Run: [mfcbr.exe] E:\WINDOWS\mfcbr.exe
O4 - HKLM\..\Run: [ap9h4qmo] E:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Ruta] E:\Documents and Settings\ap\Application Data\ctoh.exe
O4 - HKCU\..\Run: [Egkcj] E:\WINDOWS\System32\?hkdsk.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] E:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] E:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... ge-c18.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTickets ... refid=4746
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76634F41-FFFF-4FC1-8726-3304E20AA62D}: NameServer = 147.162.146.17,147.162.1.2
doc
Utente Junior
 
Post: 20
Iscritto il: 26/04/05 12:26

Sponsor
 

Postdi Dylan666 » 26/04/05 14:03

Incolla qui e divertiti:
http://hijackthis.de/index.php?langselect=italian

I rossi via e sui gialli documentati.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi fenolo » 26/04/05 14:12

fai una scansione con adware......
Avatar utente
fenolo
Utente Senior
 
Post: 707
Iscritto il: 22/01/05 20:13
Località: O:={oeO|io <=> sto a casa}

Postdi LUPO21 » 26/04/05 14:27

Ho provato a fare io la sua analisi,e mi dice che la versione del software è molto vecchia e non l'accetta! :lol: :lol: :lol:
LA VITA E' COME UNA PARTITA DI CALCIO: SI RICORDA CHI HA FATTO IL GOL NON CHI HA FATTO L'ASSIST!
LUPO21
Utente Senior
 
Post: 1145
Iscritto il: 03/01/05 17:45
Località: Castelli Romani

Postdi Dylan666 » 26/04/05 14:56

Scarica una versione più recente o NON incollare questa riga:

Logfile of HijackThis v1.97.7
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

ho ancora problemi

Postdi doc » 27/04/05 18:51

Cari Amici
Ho fatto come mi avete detto: ho consultato l'Analisi log file di HijackThis
ed ho eliminato tutto quanto segnato in rosso ed ho lasciato stare quanto segnato in giallo (cioè componenti sconosciute).
Al riavvio di WindowsXP i problemi sono ricomparsi tali e quali, nel senso che rifacendo lo scan con HijackThis ricompaiono le componenti segnate in rosso che avevo precedentemente eliminato.
Quindi, secondo me, alcune componenti in giallo sono responsabili della creazione delle componenti rosse e sono la vera origine dei problemi.
Bisogna quindi riconoscere quali di queste componenti in giallo sono l'origine dei problemi...
Questo è il risultato della scansione che contiene soltanto le componenti sconosciute. Magari tra di voi c'è qualcuno che mi può dire con certezza quali devo eliminare.

http://hijackthis.de/logfiles/419d559ea ... 3b320.html

Grazie mille, cari saluti a tutti
doc
Utente Junior
 
Post: 20
Iscritto il: 26/04/05 12:26

Postdi Mikizo » 27/04/05 19:15

sdkyz32.exe -> su Google ci sono solo due risultati e non sono significativi, io nel dubbio lo toglierei, comunque prova a cercarlo nel pc

egacopy.exe -> addirittura 0 risultati su Google, idem come sopra: cercalo nel pc, nel dubbio toglilo

ctfmon.exe -> componente di Office. è sicuro

ctoh.exe -> 0 risultati su Google. cerca e nel caso togli

?hkdsk.exe -> questo era probabilmente chkdsk.exe... cercali entrambi sul pc e fammi sapere se e dove li trovi

Partiamo da questi...
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi doc » 27/04/05 19:32

Mikizo ha scritto:sdkyz32.exe -> su Google ci sono solo due risultati e non sono significativi, io nel dubbio lo toglierei, comunque prova a cercarlo nel pc

egacopy.exe -> addirittura 0 risultati su Google, idem come sopra: cercalo nel pc, nel dubbio toglilo

ctfmon.exe -> componente di Office. è sicuro

ctoh.exe -> 0 risultati su Google. cerca e nel caso togli

?hkdsk.exe -> questo era probabilmente chkdsk.exe... cercali entrambi sul pc e fammi sapere se e dove li trovi

Partiamo da questi...



Ecco dove li ho trovati. Ho una partizione dell'HD: su E: c'è XP, su C: c'è DOS

sdkyz32.exe E:/WINDOWS
SDKYZ32.EXE-2C455109.pf E:/WINDOWS/Prefetch
egacopy.exe E:/WINDOWS/system32
EGACOPY.EXE-0B84BDEE.pf E:/WINDOWS/Prefetch
CTOH.EXE-20653981.pf E:/WINDOWS/Prefetch
CHKDSK.EXE C:/DOS
chkdsk.exe E:/WINDOWS/system32
doc
Utente Junior
 
Post: 20
Iscritto il: 26/04/05 12:26

Postdi Mikizo » 27/04/05 19:51

hmmm...

escludili tutti da Hijack This, anche ?hkdisk.exe (ma lascia al suo posto chkdisk.exe!)

Riavvia e fai di nuovo l'analisi con Hijack This, postando di nuovo l'analisi
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Re: ho ancora problemi

Postdi Dylan666 » 27/04/05 20:37

doc ha scritto:ho eliminato tutto quanto segnato in rosso ed ho lasciato stare quanto segnato in giallo (cioè componenti sconosciute).


Mai detto di lasciarli, ho detto di approfondire. ;)
Potresti anche pensare di dare una passata di Spybot, AD-aware o antispyware Microsoft (tutti in ezione Download).
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi doc » 28/04/05 20:03

Mikizo ha scritto:hmmm...

escludili tutti da Hijack This, anche ?hkdisk.exe (ma lascia al suo posto chkdisk.exe!)

Riavvia e fai di nuovo l'analisi con Hijack This, postando di nuovo l'analisi


Scusa Mikizo ma non ho capito cosa intendi con "escludili tutti da Hijack This, anche ?hkdisk.exe" :undecided: :oops:
_____________________________________________________________

Dylan666 scriveva:

"potresti anche pensare di dare una passata di Spybot, AD-aware o antispyware Microsoft (tutti in ezione Download)".

FATTO! Spybot ha trovato 5-6 robe ed io le ho eliminate.

Poi ho fatto uno scan disk con Simatec antivirus che ha trovato ed eliminato i seguenti Troyan:


Filename,Virus Name,Original Location,Status

De14.html,Download.Trojan,E:\Recycled\,Infected
A0116365.exe,Trojan Horse,E:\System Volume Information\_restore{2BC9BD2E-9942-4E56-A91D-1AEEC76950A0}\RP96\,Infected
ozdvja.dat,Trojan Horse,E:\WINDOWS\,Infected
msny.exe,Trojan Horse,E:\WINDOWS\,Infected
sfvfly.log,Trojan Horse,E:\WINDOWS\,Infected
glyyin.dat,Trojan Horse,E:\WINDOWS\,Infected
utctid.txt,Trojan Horse,E:\WINDOWS\,Infected
tsimcj.dat,Trojan Horse,E:\WINDOWS\,Infected
bokemu.dat,Trojan Horse,E:\WINDOWS\,Infected
desktop.html,Download.Trojan,E:\WINDOWS\Web\,Infected
A0112160.cmd,Download.Trojan,E:\System Volume Information\_restore{2BC9BD2E-9942-4E56-A91D-1AEEC76950A0}\RP94\,Infected
file[1].exe,Trojan.Desktophijack,E:\Documents and Settings\ap\Local Settings\Temporary Internet Files\Content.IE5\IJ2L4N67\,Infected
winB.tmp,Download.Trojan,E:\Documents and Settings\ap\Local Settings\Temp\,Infected


...magari questa cosa può esservi utile per il futuro.

Tuttavia i problemi non si sono risolti il più evidente di questi è uno "sfondo" che si è sostituito a quello originale e che
presenta un riquadro centrale cliccabile in cui c'è scritto che il mio Pc è infestato da spyware...
e che devo cliccare per eliminarli. Mi si è anche installato da solo "Security iGuard"...

Allora ho rifatto lo scan con HijackThis ho eliminato i rossi e lasciato i gialli che sono in questo file

http://hijackthis.de/logfiles/d84c93609 ... a31d1.html

Ditemi un po' come potrei proseguire, sembra che nonostante l'eliminazione dei rossi, e altre pulizie, rimane qualcosa
che rigenera tutto, o almeno le cose più serie...
A presto e buone cose a tutti
doc
Utente Junior
 
Post: 20
Iscritto il: 26/04/05 12:26

Postdi Dylan666 » 28/04/05 20:05

Manda un tuo nuovo log dopo questa bella pulizia
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi doc » 28/04/05 20:28

Dylan666 ha scritto:Manda un tuo nuovo log dopo questa bella pulizia


Il log che dici è quello del mio messaggio precedente
doc
Utente Junior
 
Post: 20
Iscritto il: 26/04/05 12:26

Postdi Mikizo » 28/04/05 20:31

Dylan666 ha scritto:Manda un tuo nuovo log dopo questa bella pulizia


è linkato sopra:
http://hijackthis.de/logfiles/d84c93609 ... a31d1.html

elimina anche tutto il resto (quelli gialli), tanto HT fa un backup

PS quando dico "elimina" intendo usa la funzione Fix su HT
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Tiseria » 29/04/05 18:24

Fai una scansione con ViriT, lo trovi sul sito http://www.tgsoft.it
Dopo averlo instalalto lo devi aggiornare.
Riavvia in modalità provvisoria ed esegui VirIT.
VirIT elimina un sacco di spyware e trojan.
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi sniapuz » 02/05/05 09:44

ricorda di fatutte le operazioni in modalita' provvisoria se nn lo hai gia' fatto altrimenti nn risolvi un gran che appena riavvi ricompaiono tutti e sei di nuovo punto e a capo :)
sniapuz
Utente Junior
 
Post: 44
Iscritto il: 11/01/05 16:12

Postdi doc » 04/05/05 13:21

sniapuz ha scritto:ricorda di fatutte le operazioni in modalita' provvisoria se nn lo hai gia' fatto altrimenti nn risolvi un gran che appena riavvi ricompaiono tutti e sei di nuovo punto e a capo :)


CIAO a tutti
Grazie per virIT ha fatto un buon lavoro, nel senso che è riuscito a rimuovere parecchia roba ma dopo alcune scansioni di controllo IN MODALITA' PROVVISORIA, come mi avete detto di fare, il software non ripara 6 files infettati da possibili varianti di virus e al riavvio e soprattutto al'apertura di internet explorer tutto ritorna come prima... :cry:
A questo punto non me la sono sentita di cancellare questi files per paura di compromettere il sistema operativo. Ho mandato il log file alla ditta produttrice ma come previsto mi hanno detto che per questo tipo di assistenza dovevo acquistare il software. :neutral:
Mando a voi il log file di virIT e vi chiedo se posso cancellare questi file senza pericolo.
A presto e buone cose a tutti

ecco il log
--------------------------------------------------------
03/05/2005 - 22:00:14

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\System Volume Information\_restore{2BC9BD2E-9942-4E56-A91D-1AEEC76950A0}\RP97\A0121641.exe Possibile variante da Trojan.Win32.Dialer.BL

[D:]


[E:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

E:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PYIG5GV6\italydldl1[1].exe Possibile variante da Trojan.Win32.Dialer.BL
E:\WINDOWS\Downloaded Program Files\Diabloteen.exe Possibile variante da I-WORM.Mobutu.A
E:\Documents and Settings\ap\Application Data\ctoh.exe Possibile variante da AdWare.NDrv.M
E:\System Volume Information\_restore{2BC9BD2E-9942-4E56-A91D-1AEEC76950A0}\RP94\A0113192.exe Possibile variante da Trojan.Win32.MediaPass.H
E:\FOUND.020\FILE0000.CHK Possibile variante da Trojan.Win32.Small.DK

Chiavi Registro infette: 0.
Files Infetti: 6.
Files Sospetti: 0.
Files Analizzati: 28528.
Files Totali: 28528.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
doc
Utente Junior
 
Post: 20
Iscritto il: 26/04/05 12:26

Postdi Dylan666 » 04/05/05 13:27

vai tranquillo, elimina pure. Se quelli in _restore danno problemi disattiva il Ripristino configurazione di sistma
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi doc » 04/05/05 13:30

Dylan666 ha scritto:vai tranquillo, elimina pure. Se quelli in _restore danno problemi disattiva il Ripristino configurazione di sistema


OK vado a razzo!
Ma nel caso, qual'è la procedura per il Ripristino configurazione di sistema? :oops:
doc
Utente Junior
 
Post: 20
Iscritto il: 26/04/05 12:26

Postdi doc » 04/05/05 13:32

doc ha scritto:
Dylan666 ha scritto:vai tranquillo, elimina pure. Se quelli in _restore danno problemi disattiva il Ripristino configurazione di sistema


OK vado a razzo!
Ma nel caso, qual'è la procedura per il Ripristino configurazione di sistema? :oops:


cioè volevo dire: qual'è la procedura per la disattivazione del Ripristino configurazione di sistema? :P
doc
Utente Junior
 
Post: 20
Iscritto il: 26/04/05 12:26

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "sono infestato da spyware adware e altra robaccia AIUTOOOO!!":


Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti