Condividi:        

Uno spyware... Potete darmi una mano?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Uno spyware... Potete darmi una mano?

Postdi maverick5 » 11/03/06 16:06

Ciao a tutti... E' il mio primo post... Volevo chiedervi una mano...
Nel mio computer, che io sia o no connesso compare un messaggio che mi avvisa che mi sto collegando ad una tariffa a 15euro al minuto e prova a connettermi ad un numero (e per fortuna il mio firewall riesce a bloccare tutto...) Ho usato e uso questi programmi:
Antivirus: Nod32
Firewall: Kerio
Spyware: Adaware, Spyware Doctor, Trojan Remover, Spy Sweeper e SpyHunter.
Spy Doctor trova lo spyware (che penso sia questo a creare la finestra non desiderata): SexVideoPro, lo elimina ma ricompare sempre quella maledetta finestra... Potete darmi una mano, per favore... Vi allego il log di Hijack:


Logfile of HijackThis v1.99.1
Scan saved at 15.36.33, on 11/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
D:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
D:\Programmi\MessengerPlus! 3\MsgPlus.exe
D:\Programmi\Nod32\nod32krn.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Apoint2K\Apntex.exe
D:\Programmi\Nod32\nod32kui.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
d:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
D:\Programmi\Hdd Life\HDDlife.exe
D:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
D:\Programmi\Spyware Doctor\swdoctor.exe
D:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmi\Windows Media Player\wmplayer.exe
D:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Aurelio\IMPOST~1\Temp\Directory temporanea 1 per hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] D:\Programmi\Nod32\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C40 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C40 Series" /O6 "USB001" /M "Stylus C40"
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - Startup: HDDlife.lnk = D:\Programmi\Hdd Life\HDDlife.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/downloa ... ctiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{020B48EC-04B2-4711-8533-24353861FC1D}: NameServer = 85.37.17.50 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{020B48EC-04B2-4711-8533-24353861FC1D}: NameServer = 85.37.17.50 151.99.125.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{020B48EC-04B2-4711-8533-24353861FC1D}: NameServer = 85.37.17.50 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: wintdf32 - C:\WINDOWS\SYSTEM32\wintdf32.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O20 - Winlogon Notify: yayvw - yayvw.dll (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Programmi\Nod32\nod32krn.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - d:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
maverick5
Utente Junior
 
Post: 18
Iscritto il: 11/03/06 16:01

Sponsor
 

Postdi Dylan666 » 11/03/06 17:29

L'analizzatore di log pare non disponibile al momento...
Intanto mi documenterei su Google sulle voci 020 che non mi convincono
e dopo averle eventualmente tolte toglierei pure le 015.

Controlla pure questi:
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
Avatar utente
Dylan666
Moderatore
 
Post: 40119
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 11/03/06 17:37

Ok, ora con l'analizzatore è tutto più semplic e :P
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
Molto sospsetto

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
Quasi sicuramente virus

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe
Molto sospetto.

Poi rimuoverei tutte le voci 015 e tutte le 020
Avatar utente
Dylan666
Moderatore
 
Post: 40119
Iscritto il: 18/11/03 16:46

Postdi fabrizius » 11/03/06 17:44

Ciao,
questa voce é leggittima
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 11/03/06 17:55

Ciao,
scarica lo script per riparare la trusted zone <--->(tasto destro sul link e salvalo sul desktop)

Poi scarica SmitfraudFix
Decomprimilo
doppio click sul file "smitfraudfix.cmd" e scegli l'opzione 1
ora viene generato un rapporto,per ora non postarlo
Avvia in modalità provvisoria
Fai di nuovo doppio click su smitfraudfix.cmd e scegli l'opzione 2

Adesso apri Hijackthis e fixa le seguenti voci:(quelle che consci trascurale)
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: wintdf32 - C:\WINDOWS\SYSTEM32\wintdf32.dll O20 - Winlogon Notify: WRNotifier -C\WINDOWS\SYSTEM32\WRLogonNTF.dll
O20 - Winlogon Notify: yayvw - yayvw.dll (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe
Adesso
Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
Cerca e se c'é elimina schost.exe

Ora dai una ripulita con Ccleaner per eliminare i files inutili
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Riavvia in modalità normale e riposta un log
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 11/03/06 17:57

PS:scusa mi sono dimenticato di dirti che una volta salvato sul desktop lo script per riparare la trusted zone,cliccaci sopra col tasto destro e seleziona installa.
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 11/03/06 17:58

Prova prima a fare tutto con HijackThis, se non pulisce allora segui la procedura di fabrizius (così la penserebbe Occam :P)
Avatar utente
Dylan666
Moderatore
 
Post: 40119
Iscritto il: 18/11/03 16:46

Postdi fabrizius » 11/03/06 18:02

Quasi sicuramente le voci 020 solo hijackthis non riesce a rimuoverle ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 11/03/06 18:06

Ma non hai detto pure tu di levarle con HT? :undecided:
Conosci un metodo universale per levarle con sicurezza da HT?
Avatar utente
Dylan666
Moderatore
 
Post: 40119
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 11/03/06 18:19

Ciao a tutti, la dll WRLogonNTF.dll è legittima (SpySweeper):
http://translate.google.com/translate?h ... D%26sa%3DG
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Nipon » 11/03/06 18:31

Devi usare un programmino che si chiama CWShredder 2.19...cercalo su google e installalo, è semplicissimo....prova!!
Nipon
Utente Junior
 
Post: 47
Iscritto il: 25/02/06 21:21

Postdi fabrizius » 11/03/06 18:48

Dylan666 ha scritto:Ma non hai detto pure tu di levarle con HT? :undecided:


si ma dopo aver passato Smitfraud :D ....che se non lo sai é fatto apposta per eliminare le voci 020 infette
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 11/03/06 18:53

@ maverick

Perdonami mi sono confuso di programma...non é smitfraud,ma é l2mfix

quindi intendevo dire che l2mfix é fatto apposta per cancellare anche le voci 020 infette
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 11/03/06 18:55

Luke57 ha scritto:Ciao a tutti, la dll WRLogonNTF.dll è legittima (SpySweeper):


Si hai ragione,mi é sfuggita... anche perché quella voce la conosco bene,uso anche io SpySweeper
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

speriamo sia l' ultimo post

Postdi maverick5 » 12/03/06 02:03

la voce [23] sopra segnalata non riesco a fixarla... come posso fare...
@ fabrizius
il prog che hai appena citato, come funziona?
@ tutti
grazie per l' aiuto che mi avete dato, secondo ho cancellato qualche altro virus nel pc... ancora quello no... ma meglio di niente :D :D
maverick5
Utente Junior
 
Post: 18
Iscritto il: 11/03/06 16:01

Postdi fabrizius » 12/03/06 02:15

Ciao,
prova dalla modalità provvisoria,'per eliminare le voci e i file se non ci riesci dalla normale....altrimenti scarica KillBox e elimina questo
C:\WINDOWS\shost.exe
(Inserisci il percorso completo del file in Full Path:
seleziona DELETE ON REBOOT
e cliccare sulla X rossa a destra)

Poi per l2mfix fai cosi:
Estrailo,poi apri la cartella e fai doppio click su l2mfix.bat,adesso clicca su qualunque tasto,scegli l'opzione 1 e invia...il log che esce trascuralo

Rifai lo stesso procedimento ma questa volta scegli l'opzione 2,adesso ti chiede di cliccare su un bottone per riavviare

Dopo aver fatto tutto riposta un log
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 12/03/06 02:22

Se conosci il nome del sito,a cui vieni reindirizzata o al quale sei invogliata ad accedere puoi fare cosi per evitare di finirci per sbaglio:

Vai qui --->C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Apri il file HOSTS senza estensione e alla fine degli altri indirizzi
inserisci in nome del famoso sito preceduto da 127.0.0.1 ,es:
127.0.0.1 http://www.xxxxxxxx.net
salvalo in solo lettura e l'accesso a quel sito é bloccato
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 12/03/06 03:22

@fabrizius
Tanto per farci una chiacchierata: pensi che il metodo "Delete file on reboot" di HT leverebbe le 020?
Avatar utente
Dylan666
Moderatore
 
Post: 40119
Iscritto il: 18/11/03 16:46

Postdi fabrizius » 12/03/06 12:17

Dylan666 ha scritto:@fabrizius
Tanto per farci una chiacchierata: pensi che il metodo "Delete file on reboot" di HT leverebbe le 020?


ciao dylan....
scusami ma non ho capito la tua domanda :undecided:
Forse volevi dire Delete file on reboot di Killbox??? e poi quale voce 020 ho consigliato di cancellare con KillBox? :eeh:

:P
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Dylan666 » 12/03/06 13:30

No, mi spiego meglio: mi hanno un po' stressato queste voci 020 (le winlogon per capirci) e volevo trovare un metodo per levarle in TUTTI i casi di spyware (in modo da non ricorrere a tool specifici che magari non sempre esistono) usando solo HijackThis (per evitare da far scaricare 5 programmi divresi e cercare di fare tutto con uno).

HijackThis ha una funzione (nella sezione Misc) che si chiama appunto "Delete file on reboot" e mi chiedevo se secondo te farebbero piazza pulita dei file wintdf32.dll e simili.
Avatar utente
Dylan666
Moderatore
 
Post: 40119
Iscritto il: 18/11/03 16:46

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Uno spyware... Potete darmi una mano?":

spyware
Autore: babart
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 28 ospiti