PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: "spyware infection"





pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 44.515 - Postato: 12/Dicembre/2005 alle 18:52


ciao ragazzi,

quando apro il computer si aprono svariati avvisi di detection virus trojan e spyware e come sfondo desktop ho una bella scritta spyware detection che non posso togliere...

in modalità provvisoria ho fatto scansioni  con spyboot aggiornato,norton,cwshredder,bullet proof soft,spyware e adware removal,cc cleaner e hijack di cui posto il log.la versione i spy sweeper che avevo è scaduta.

quando vado sul task manager vedo che sono attivi alcuni exe insoliti tra cui un dial seguito da un numero(non faccio in tempo a leggere perche si chiude appena apro il task) eun file z11.exe.

 

ecco il log, (non è chilometrico)

 

Logfile of HijackThis v1.99.1
Scan saved at 18.19.51, on 12/12/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\BulletProofSoft.com\BPS Spyware & Adware Remover\SpyRem.exe
C:\DOCUME~1\pietro\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [Dsl*gENTEXE] dsl*gent.exe USB
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NoAds] "C:\Programmi\NoAds\NoAds.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

 

 

help me thanks!!!!

 



RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.201
Riporta il testo di: RAVEN Rispondibullet Topic: Post n° 44.523 - Postato: 12/Dicembre/2005 alle 20:18


Cosa ti hanno rilevato le scansioni con i tool antispy che dovresti avere eseguito prima di inviare il log ??

Sii il più preciso possibile...




Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 44.526 - Postato: 12/Dicembre/2005 alle 20:26


ho trovato un po di file spyware e altro ma anche rimuovendoli il problema non viene risolto.

mentre aspettavo una risposta sono andato nelle cartelle di sistema a a spulciare un po,dunque:nella cartella sistem32 ho trovato i file z11,z12,z13,z14,z15,z16(tutti .exe).li ho eliminati e al riavvio si erano rigenerati.poi un altro file(exe) netsh al riavvio fa aprire una finestra tipo prompt msdos e poi si richiude...

fammi saper raven...sono disperato!



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 44.535 - Postato: 12/Dicembre/2005 alle 20:37


Esegui una scansione on-line
http://www.pandasoftware.com/activescan/it/activescan_princi pal.htm
Salvati il rapporto che poi posterai
Scarica i programmi presenti in questo post
Aggiornali
Avvia in modalità provvisoria e lancia separatamente le scansioni complete,penso che McAntispy trovi ed elimini molto
Riavvia e posta un log aggiornato di Hijackthis eseguito dalla modalità normale e il rapporto di fine scansione di Panda ciao



pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 44.542 - Postato: 12/Dicembre/2005 alle 22:43


ho fatto tutto...

il più efficace è stato lo scan con panda...grazie Lucas.

comunque persiste ancora qualche problema: non posso cambiare il fondo del desktop.quando vado su proprietà per selezionare sfondi(o colore dello sfondo) l'elenco è come "bloccato", non cliccabile, e cosa strana in fondo all'elenco ci sta un icona di explorer chiamata desktop... bho.

se risolviamo questa facciamo emplein!!!



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 44.544 - Postato: 12/Dicembre/2005 alle 23:18


Si sei infetto da spysheriff,per risolvere c'è un tool ma è in inglese se vuoi usarlo puoi scaricarlo da qui
Smitrem By Noahdfer
Clicca sull'eseguibile
Estrai i files
Apri la cartella Smitrem e clicca su RunThis.bat
Segue le istruzioni a schermo(inglese)
Il tool lo devi far girare disconnesso e con tutte le applicazioni chiuse meglio se in provvisoria ciao



pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 44.573 - Postato: 13/Dicembre/2005 alle 10:52


GRANDEEEEEEEEEEEEEEEEEEEEEEEEE!!!!!

 

STANDING OVATION!!!ma come fate a essere sempre così preparati???

Risolto tutto,come sempre quando chiedo consiglio a voi...

GRAZIE!



Modificato da pietruzzzo


lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 44.598 - Postato: 13/Dicembre/2005 alle 15:01


Se vuoi riposta un log di hijack eseguito dalla modalità normale e vediamo se c'è ancora qualcosa da eliminare ciao






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,305 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni