paperinik 2

Schermata "warning!"

Iniziato da paperinik 2,

8 messaggi in questa discussione

Inviato

salve, il mio problema si è manifestato con un cambiamento del desktop sostituito da un inquietante avviso WARNING!!! ed indicazioni in inglese che purtroppo non ho pensato di salvare, ma comunque mi avvertivano che il computer era infetto. sulla barra destra poi è comparsa un icona tonda rossa con una croce ed un messaggio di testo, con cadenza regolare, mi consigliava una connessione ad un sito di un antivirus con un donlowd free ed uno a pagamento.

Andando in proprietà dello schermo, ho visto che nella cartella desktop non era più possibile cambiare nulla tranne il colore dello sfondo, e lo sfondo con gli avvisi era un collegamento internet explorer.

a questo punto ho provato di tutto, facendo girare tutti gli spyware possibili ed immaginabili ma non ricordo la sequenza delle mie azioni!!! Sono solo certo di aver eliminato il collegamento alla pagina che mi veniva imposta come sfondo e sono riuscito a mettere uno sfondo mio aprendo una foto e nelle opzioni impostandola come tale. Ho poi individuato con cerca i files.exe dell'ultima settimana ed ho eliminato quelli che avevano la data e l'ora in cui è successo il fattaccio.Fatto questo, l'unico probleme residuo è stato il blocco delle impostazioni dello sfondo.

Ho seguito passo passo tutti i vostri consigli e dopo il'utilizzo di combofix il probleme sembra risolto. Ho comunque eseguito Hijackthis ed allego il relativo post con la speranza che possiate darmi un ulteriore conferma che tutto sia andato a buon fine.

grazie in anticipostinker.gif

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21.24.29, on 10/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Symantec\Symantec Endpoint Protection\Smc.exe

C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

C:\WINDOWS\TBPanel.exe

C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\File comuni\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE

C:\Programmi\Java\jre6\bin\jusched.exe

C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe

C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Programmi\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Tweak-XP Pro\tranicon.exe

C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Programmi\Tweak-XP Pro\transtask.exe

C:\Programmi\Netropa\Onscreen Display\OSD.exe

C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programmi\DAEMON Tools Lite\daemon.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programmi\Java\jre6\bin\jqs.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\Programmi\Norton Ghost\Agent\VProSvc.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe

C:\Programmi\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Symantec\Symantec Endpoint Protection\Rtvscan.exe

C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

C:\Programmi\iPod\bin\iPodService.exe

C:\Programmi\Symantec\Symantec Endpoint Protection\SmcGui.exe

C:\Programmi\Microsoft Office\Office12\WINWORD.EXE

C:\WINDOWS\explorer.exe

C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe

C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.libero.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll

O4 - HKLM\..\Run: [nTrayFw] C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P40 "EPSON Stylus Photo R300 Series (Copia 1)" /O6 "USB001" /M "Stylus Photo R300"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [spywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TransparentIcons] "C:\Programmi\Tweak-XP Pro\tranicon.exe" -ex

O4 - HKCU\..\Run: [TransTask] "C:\Programmi\Tweak-XP Pro\transtask.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...455/mcfscan.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Norton Ghost\Agent\VProSvc.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe

O23 - Service: Client di gestione Symantec (SmcService) - Symantec Corporation - C:\Programmi\Symantec\Symantec Endpoint Protection\Smc.exe

O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Programmi\Symantec\Symantec Endpoint Protection\SNAC.EXE

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Programmi\Symantec\Symantec Endpoint Protection\Rtvscan.exe

--

End of file - 10386 bytes

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao paperinik 2,

dal log di hijackthis risulta in esecuzione un falso programma antispyware: [spywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe

Con tutte le applicazioni chiuse e disconnesso da internet

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

(ci sono anche voci inutili)

O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P40 "EPSON Stylus Photo R300 Series (Copia 1)" /O6 "USB001" /M "Stylus Photo R300"

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [spywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [TransparentIcons] "C:\Programmi\Tweak-XP Pro\tranicon.exe" -ex

O4 - HKCU\..\Run: [TransTask] "C:\Programmi\Tweak-XP Pro\transtask.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

**********************

Aggiorna Malwarebytes ed esegui una scansione completa, posta il rapporto.

Allega il report di Combofix ed un nuovo log di hijackthis.

:P:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao paperinik 2,

segui queste indicazioni senza invertire l'ordine.

Scarica the Avenger

Lo salvi in una cartella, scompatti il file .zip

Individua avenger.exe, lo avvii

Inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

c:\windows\system32\wwwuniq.tll

c:\windows\system32\wwwtest.ttt

c:\windows\system32\SpywareRemover.exe

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

Clicca su Execute

Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)

*********************

Eliminiamo tutto quello che hai usato per la pulizia OtCleanit

avvialo con un doppio click e clicca su "cleanup"

conferma l'operazione, e se ti viene chiesto il riavvio acconsenti

*********************

Se vuoi fare un pò di manutenzione del pc, potresti...

Installare Ccleaner ed avviate la pulizia

scheda pulizia > avvia pulizia

scheda registro > trova problemi > ripara selezionati (confermando per il backup)

Installare Eusing Free Registry Cleaner ed esegui la pulizia del registro

Eseguire una deframmentazione ed uno scandisk

Start > programmi > accessori > utilità di sistema

Aggiorna il Sistema al SP3

:P:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

ciao angelique, grazie di tutto! eseguirò puntualmente le tue indicazioni ed approfitto dell'occasione per chiederti un altro consiglio, io utilizzo regolarmente CCleaner per pulire i files temp, cookies e residui vari, ma ho sempre avuto paura a lasciargli gestire in automatico il registro! pensi che si possa utilizzare con tutta tranquillità anche per questa funzione? sleep3.gif

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao paperinik 2,

esegui pure una pulizia del registro con Ccleaner per 2 motivi

1 esegue una scansione superficiale

2 esegue un backup del registro.

:P:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

ciao angelique, ho seguito con cura tutte le tue chiarissime indicazioni ed ovviamente è andato tutto a buon fine.28.gif

Ti ringrazio di tutto e spero di non dover ricorrere ancora alla tua consulenza ..... malware permettendo!!!scare2.gif

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Se hai altri dubbi sai dove trovarci, per ora ti auguro Buone Feste! :)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Vai alla lista Discussioni HiJackThis - Posta qui i Log