Accedi per seguire   
Seguaci 0
alessio_777

Scansione Con Spy Audit

15 messaggi in questa discussione

Kuma, la scansione ha trovato qualcosa, è pericoloso?

post-12328-1160411103_thumb.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Purtroppo dalla scansione con Spy Audit sei infetto da LinkOptimizer.

Usa questi due tool cotro LinkOptimizer.

TOOL PER LA RIMOZIONE DI LINKOPTIMIZER

A fine scansione posta il log che si trova in c:\gromozon_removal.log

Tool Symantec contro LinkOptimizer.

Posta il log che si trova in FixLinkopt.log

Posta anche un log di Hijackthis

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Mi sa che ho combinato un pasticcio.

Ho avviato il primo tool, e aveva trovato un file infetto da linkopt, ma quando sono andato a vedere il log era vuoto. Ho rifatto tutto e questa volta non ha trovato nulla, Così come il tool symantec.

ma :) purtroppo rifacendo la scansione con spyaudit ottengo lo stesso risultato dello shoot.

Cosa ho combinato???

Allego comunque il log di Hijack

Logfile of HijackThis v1.99.1

Scan saved at 20.43.53, on 09/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\Programmi\Comodo\Firewall\cmdagent.exe

C:\Programmi\Executive Software\DiskeeperLite\DKService.exe

C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe

C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

C:\Programmi\Creative\Shared Files\CAMTRAY.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe

C:\Programmi\Comodo\Firewall\CPF.exe

C:\Programmi\Comodo\LaunchPad\CLPTray.exe

C:\Programmi\Softwin\BitDefender8\bdnagent.exe

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Programmi\eMule\emule.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\Documents and Settings\USER1\Desktop\Nuova cartella\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/...rch/search.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: UberButton Class - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll

O2 - BHO: YahooTaggedBM Class - {65D886A2-7CA7-479B-BB95-14D1EFB7946A} - C:\Programmi\Yahoo!\Common\YIeTagBm.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Comodo Firewall] "C:\Programmi\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [Comodo Launch Pad Tray] "C:\Programmi\Comodo\LaunchPad\CLPTray.exe"

O4 - HKLM\..\Run: [spywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Programmi\Softwin\BitDefender8\bdnagent.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\Programmi\Star Downloader\sdie.htm

O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm

O8 - Extra context menu item: Scarica con Star Downloader - C:\Programmi\Star Downloader\sdie.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programmi\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programmi\Yahoo!\Common/ycsms.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120132676375

O16 - DPF: {D5C82F81-B67A-4FCC-8D0A-EA246424A140} - http://td8eau9td.com/8393eeae/50310/1/xp/BestAdult.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DFC2F67C-BEFB-4BE5-BC95-E4EE1AFA6F48}: NameServer = 193.70.152.15 193.70.152.25

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: WebPpx - Unknown owner - C:\Programmi\File comuni\System\wAS.exe (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Modificato da alessio_777

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

L'importante è che i tool abbiano funzionato (le ultime versioni di LinkOptimizer ne impediscono l'uso)

Scarica Virit da qui:

http://www.tgsoft.it/italy/index_ita.html

versione prova 30 gg., lo aggiorni alle ultime definizioni e fai una scansione dalla modalità provvisoria (riavvii il computer, premi ripetutamente F8 prima che si carichi windows, scegli la modalità provvisoria nella schermata che appare spostandoti con le freccette).

Posta il report dello scan.

Poi scarica sul desktop GMER: http://www.gmer.net/gmer.zip

scopatta, sempre sul desktop il file gmer.zip.

Esegui gmer.exe

Clicca sul Tab "Rootkit"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

Esegui gmer.exe

Clicca sul Tab "Autostart"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prima ho modificato il post precedente inserendo anche una scansione con VirIT.

Scarica avenger sul desktop

http://swandog46.geekstogo.com/avenger.zip

Decomprimi l'archivio

Avvia il file avenger.exe

Seleziona l'opzione "Input Script Manually"

Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"

All'interno del box bianco,copia e incolla le scritte in rosso

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\WebPpx

Clicca sul pulsante Done

Clicca sull'icona del semaforo verde

Rispondi Yes

Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Una volta riavviato il pc,collegati e posta il contenuto del file C:\Avenger.txt

Fissa questa voce con HijackThis

O16 - DPF: {D5C82F81-B67A-4FCC-8D0A-EA246424A140} - hxxp://td8eau9td.com/8393eeae/50310/1/xp/BestAdult.cab

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Disabilita il Ripristino di configurazione su tutte le unità e crea un nuovo punto di ripristino

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma se installo virit devo disinstallare Avast?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

No non è necessario, finita la scansione lo puoi disinstallare.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Allora, ho fatto la scansione con Virit, anzi a dire la verità :) due

la prima in modalità normale, visto che mi è partita da sola, e la seconda in modalità provvisoria.

Ti posto i due log in un solo file txt

Virit_log.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma ora non riesco a disinstallare virit, non lo trovo in installazione applicazioni.

Modificato da alessio_777

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho anche fissato la voce con Hijack this e fatto una pulitina con cccleaner

Ecco il risultato! non male vero???

Ma vorrei sapere come disinstallare virit e com'è possibile che Avast-spyware terminator-spyboat-ad aware non avevano rilevato questo problema prima di usare spy audit!?

post-12328-1160481796_thumb.jpg

Modificato da alessio_777

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prova a vedere se la voce di disinstallazione appare in Ccleaner (sezione "Strumenti")

e com'è possibile che Avast-spyware terminator-spyboat-ad aware non avevano rilevato questo problema prima di usare spy audit!?

SpySweeper è uno degli antispy più avanzati, non puoi paragonarlo con i programmi free...

Strano comunque che Adaware non lo abbia rilevato, le ultime versioni aggiornate lo riconoscono (la rimozione è un altro discorso :) )

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ma ora non riesco a disinstallare virit, non lo trovo in installazione applicazioni.

Non c'è la voce nel Pannello di Controllo

La trovi nel menu Programmi -> VirIT eXplorer Lite -> Disinstallazione VirIT eXplorer Lite

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

La trovi nel menu Programmi -> VirIT eXplorer Lite -> Disinstallazione VirIT eXplorer Lite

Fatto. Grazie di tutto il tempo che mi hai dedicato GmG. :):P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0