Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: Virus o trojan da MSN parte 2

Altre pagine della discussione:

arsagit
Apprendista

Iscritto dal : 23/Dicembre/2007
Status: Offline
Posts: 137

Riporta il testo di: arsagit Rispondi

Topic: Post n° 76.235 - Postato: 02/Gennaio/2008 alle 20:53

scusatemi ma purtroppo ho dovuto ripetere i passaggi con
Ccleaner e Hijackthis perchè mentre ero occupato con
altre cose mia figlia non trovando Macrogaming ha caricato un altro programma di emoticons che potrebbe
avere causato qualche problema aggiuntivo. Allego il
log rifatto:

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll

O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

O4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw

O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)

***LOG ELIMINATO: sono state lasciate solo le voci sospette***

Se nulla è cambiato procederò come da ultime istruzioni
altrimenti seguirò quelle nuove che dovessi ricevere.
Scusate ancora: con i figli bisognerebbe avere
8 occhi! Ringrazio per la pazienza.

P.S. Onde evitare nuove complicazioni, non potreste suggerirmi un programma di emoticons "sicuro"?

Modificato da prisca85 - 14/Gennaio/2008 alle 04:47

notwen
Esperto

Iscritto dal : 15/Marzo/2005
Da: Italy
Status: Offline
Posts: 2.206

Riporta il testo di: notwen Rispondi

Topic: Post n° 76.238 - Postato: 02/Gennaio/2008 alle 21:38

fissa queste

O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw

dopodiché scarica questo tool:

***************************** [indirizzo editato poiché rimanda a software potenzialmente dannoso]

poi Chiudi msn, ed avvia la procedura per decomprimete il file appena scaricato; verra' generata subito dopo una cartella MSNFix; avvia da qui il tool.

poi riposta il log di hijackthis.

Modificato da notwen - 07/Gennaio/2008 alle 14:39

Le mie foto su Flickr!!!

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 76.239 - Postato: 02/Gennaio/2008 alle 21:39

Sei sicuro di aver Fixato con "HiJackThis" anche le righe che ti aveva detto Notwen ?
'E disattivato il "Ripristino di configurazione di sistema" ?

Procedi così ... (scusami, ma ora devo farti fare alcuni passaggi in piu'):

Inizierei col verificare nuovamente su VirusTotal questi file ... come avevamo fatto prima:

http://www.virustotal.com/it/

c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe

C:\WINDOWS\ALCMTR.EXE

Se il primo risulta positivo a virus lo fixiamo, in ogni caso se non lo conosci ... lo fixerei ugualmente.
Il secondo dovrebbe essere un spyware a basso livello che riguarda l'audio Realtek, anche se lo fixiamo non dovrebbe dare problemi al PC.
Cmq decidi dal responso di VirusTotal.

Dopo:
- Riavvia in modalità provvisoria
- Assicurati che sia disattivato il "Ripristino di configurazione di sistema"
- Lancia HiJackThis senza log e fixa le seguenti voci ...

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll

O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

O4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw

O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)

Ora apri Esplora Risorse e visualizza la cartella C:\Programmi

Guarda se trovi la cartella "Macrogaming"
Se la trovi... seleziona col tasto sinistro del mouse la cartella "Macrogaming", quindi tieni premuto il tasto "SHIFT" e premi il tasto "CANC"
Windows ti chiederà di eliminare definitivamente la cartella... premi "Si".

- Poi esegui un' altra volta la pulizia con CCleaner (Registro + Pulizia)

- Esegui una scansione con il tuo antivirus (aggiorna il database prima)

- Riavvia e esegui una scansione online del pc con uno dei motori antivirus che ti indicavano la presenza del adware (Panda)

notwen
Esperto

Iscritto dal : 15/Marzo/2005
Da: Italy
Status: Offline
Posts: 2.206

Riporta il testo di: notwen Rispondi

Topic: Post n° 76.240 - Postato: 02/Gennaio/2008 alle 21:40

ALCMTR.EXE è un processo benigno a quanto pare

Le mie foto su Flickr!!!

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 76.243 - Postato: 02/Gennaio/2008 alle 21:54

Postato originariamente da Spfx

c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe

C:\WINDOWS\ALCMTR.EXE

Se il primo risulta positivo a virus lo fixiamo, in ogni caso se non lo conosci ... lo fixerei ugualmente.
Il secondo dovrebbe essere un spyware a basso livello che riguarda l'audio Realtek, anche se lo fixiamo non dovrebbe dare problemi al PC.
Cmq decidi dal responso di VirusTotal.

A quanto ne so da molti è considerato uno spyware ... non gli ho detto di fixarlo subito, ma di controllarlo ... controllare non costa nulla, no ? Wink

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 76.244 - Postato: 02/Gennaio/2008 alle 22:05

Facciamo così, per non crearti confusione ...

Prima provi a controllare questi file con VirusTotal:

Postato originariamente da Spfx

Sei sicuro di aver Fixato con "HiJackThis" anche le righe che ti aveva detto Notwen ?
'E disattivato il "Ripristino di configurazione di sistema" ?

Procedi così ... (scusami, ma ora devo farti fare alcuni passaggi in piu'):

Inizierei col verificare nuovamente su VirusTotal questi file ... come avevamo fatto prima:

http://www.virustotal.com/it/

c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe

C:\WINDOWS\ALCMTR.EXE

Poi segui le istruzione di Notwen ...
Notwen voleva provare con un tool di rimozione Malware ... proviamo
Entra in modalità provvisoria e procedi come ti ha spiegato.

Postato originariamente da notwen

fissa queste

O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw

dopodiché scarica questo tool:

http://sosvirus.changelog.fr/MSNFix.zip

poi Chiudi msn, ed avvia la procedura per decomprimete il file appena scaricato; verra' generata subito dopo una cartella MSNFix; avvia da qui il tool.

poi riposta il log di hijackthis.

... ricordati alla fine di postare i risultati di VirusTotal (se c'è ne sono)
e di HijackThis

arsagit
Apprendista

Iscritto dal : 23/Dicembre/2007
Status: Offline
Posts: 137

Riporta il testo di: arsagit Rispondi

Topic: Post n° 76.351 - Postato: 03/Gennaio/2008 alle 21:22

Rieccomi: riassumo quello che ho fatto
Ho fixato tutti i files indicatimi, salvo "alcmtr.exe"
(perchè la scansione con virustotal dava come risultato
1/32).
Non sono riuscito ad utilizzare MSNFix, perchè dopo
averlo decompresso e generata la cartella il programma
non si avvia.
allego il log di Hijackthis:

O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)

***LOG ELIMINATO: sono state lasciate solo le voci sospette***

Ho fatto anche la scansione online con Panda e se lo ritenete utile posso postare il report (non ha
trovato virus, ma 8 spyware ed 1 file sospetto)

avrei anche un'altra domanda: non capisco perchè mi
sia già capitato due volte di disattivare il ripristino configurazione (dopo ricontrollo sempre che sia effettivamente disattivato) ed il giorno successivo lo ritrovo attivo (senza che nessuno lo abbia riattivato).
Attendo nuove istruzioni. Grazie per l'attenzione.

Modificato da prisca85 - 14/Gennaio/2008 alle 04:48

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 76.355 - Postato: 03/Gennaio/2008 alle 21:53

Ciao.
Va già meglio ... Wink

Allora rientra in modalità provvisoria

Disattiva nuovamente il Ripristino di configurazione di sistema (...quando hai messo la spunta per disattivarlo, prima premi "Applica" e poi "Ok")

Chiudi la finestra, poi riaprila per verificare che sia disattivato.

Avvia HijackThis, fallo girare senza log e Fixa queste voci

O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)

Scarica da qui Ad-Aware 2007 ...

Ad-Aware 2007

Installalo e aggiorna il database, quindi esegui una scansione completa del PC ed elimina eventuali minaccie (vediamo se vede quelle rilevate da Panda)

Fai una pulizia nuovamente con CCleaner (Registro + Pulizia)

Quindi riavvia.

Aggiorna il database di Spyware Terminator ed esegui un'ulteriore scansione.

... poi posta il log di HiJackThis.

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 76.356 - Postato: 03/Gennaio/2008 alle 22:36

... dimenticavo.
Postaci pure anche il report di Panda sui spyware che ha trovato.

arsagit
Apprendista

Iscritto dal : 23/Dicembre/2007
Status: Offline
Posts: 137

Riporta il testo di: arsagit Rispondi

Topic: Post n° 76.401 - Postato: 05/Gennaio/2008 alle 11:40

Ho fatto tutto quanto richiesto comprese scansioni con diversi programmi, tutti aggiornati. Virus non sembrerebbero esserci, solo qualche cookie tracciante.

O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

***LOG ELIMINATO: sono state lasciate solo le voci sospette***

Ed ecco il report di Panda:



Possible Virus.                                                                Not disinfected               C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
Spyware:Cookie/Atlas DMT                                                        Not disinfected               C:\Documents and Settings\Osvaldo\Cookies\osvaldo@atdmt[2].txt
Spyware:Cookie/Doubleclick                                                      Not disinfected               C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt
Adware:Adware/Lop                                                               Not disinfected               C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\BeepHeartFirstSecond.exe
Adware:Adware/Lop                                                               Not disinfected               C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\debug mode ping.exe
Adware:Adware/Lop                                                               Not disinfected               C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\logoseek.exe
Adware:Adware/Lop                                                               Not disinfected               C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\spxqwvsv.exe
Spyware:Cookie/Atlas DMT                                                        Not disinfected               C:\Documents and Settings\Osvaldo\Dati applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
Adware:Adware/SweetBar                                                         Not disinfected               C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
Potentially unwanted tool:Application/CloseApp                                  Not disinfected               C:\WINDOWS\system32\closeapp.exe                                                                                                                                                          Attendo istruzioni.

Modificato da prisca85 - 14/Gennaio/2008 alle 04:51

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: Virus o trojan da MSN parte 2

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: Virus o trojan da MSN parte 2

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !