Problema Spyware/worms

[HypnoDisk]

Salve, ho un problema di spyware (o worms) da alcuni mesi,

su C:\ mi si creano dei file eseguibili che iniziano per sys,

gli ultimi 2 si chiamano syshivw.exe e systmuu.exe avviati

come processi togliendomi circa 10mb di ram ciascuno,

cliccando su prorietà e su versione esce scritto:

Versione: 1.0.0.1

Descrizione: MFC RW

Copyright: 2006

nell'immagine sono quelli evidenziati in rosso.

Facendo una scansione con antivirus non vengono identificati come virus o trojan,

mentre facendo una scansione con ad-aware, vengono identificati

come spyware Adware.LoopAd

Nonostante tutto Ad-aware rileva e cancella solo i file che si creano sul C:

ma non trova il virus/worm/trojan/spyware o chicchesia che li crea.

Come posso fare?

Aiutatemi!!!

[$angelique!?]

[ben]HypnoDisk[/ben]

Ciao HypnoDisk,

preleva l'ultima versione di VirIT. (non crea conflitti)

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi fai la scansione completa del sistema (salva il log e postalo)

Allega anche un log di Hijackthis

http://forum.wininizio.it/index.php?showtopic=21584

:natale:

[HypnoDisk]

Allora ho fatto una scansione con VirIT e mi trova

C:\WINDOWS\System32\alg32.exe Infetto da Adware.LoopAd.A

Però non l'ho cancellato, perchè se non erro è un file di sistema,

non saprei.

Poi ho fatto la scansione con HijackThis,

ho messo il log in allegato come mi hai detto tu.

hijackthis.txt

[$angelique!?]

Il file alg.exe è un file legittimo di sistema, mentre il file alg32.exe è un virus, quindi puoi eliminarlo.

(la prossima volta allega il log di Virit )

Elimina questa applicazione : Anti Eurobarre V1.exe

Scarica questi programmi, Ccleaner (pulizia generale) +

Vise Registry Cleaner + Lingua italiana una volta scaricato, (dopo averlo decompresso) copialo nella cartella "Language" del programma

Fai girare questo Tool Stinger

http://vil.nai.com/vil/stinger/

(clicca su scan now e poi su remove)

Stinger serve a rimuovere winlogin.exe,

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

Pulisci il registro con Vise Registry Cleaner 1.x (Pulizia del Registro)

(è normale che nel log visualizzi che alcune voci non possono essere rimosse)

Scarica ed esegui HOSTER

dopo averlo avviato, clicca sul pulsante "ristabilisci Host originale"

Rimetti un log aggiornato di Hijackthis al termine della procedura.

Ti consiglio si settare Nod32 cosi

http://www.wininizio.it/forum/index.php?sh...c=44841&hl=

:natale:

[HypnoDisk]

Allora ho rimosso alg32 (con VirIT) e winlogin quest'ultimo

manualmente poichè Stinger per qualche strano motivo

non lo rilevava.

Con Wise Registry Cleaner ho avuto problemi,

quando facevo ripara sembrava come se si bloccasse

boh.

Gli host aggiunti sono di winmx e dei casinò che l'aams oscura.

Perchè devo cancellare Anti-eurobarre?

Ti ringrazio tantissimo,

spero di aver risolto.

hijackthis2.txt

[$angelique!?]

Ciao HypnoDisk,

ora il log è ok, Virit puoi disinstallarlo.

per il programma Eurobarre leggi qui, io eliminerei tutto

Eurobarre è stato creato da una azienda francese e promette guadagni facili navigando in rete. Eurobarre fa scaricare all'utente una barra che, quando si è collegati ad Internet, sarà mostrata nella parte superiore del PC. La barra mostra della pubblicità a rotazione e, per ogni banner visualizzato, fa guadagnare all'utilizzatore dei punti, che, a fine mese, saranno convertiti in euro.

I guadagni aumentano - si spiega nel sito di Eurobarre - facendo scaricare ed installare ai nostri amici la barra di Eurobarre da un indirizzo fornitoci da Eurobarre stessa. Nonostante il sito e l'azienda siano francesi, il sistema funziona a livello europeo.

Per richiedere i soldi "guadagnati" è necessario raggiungere almeno la soglia di 15 euro. Nel caso in cui non la si raggiunga, i guadagni verranno aggiunti a quelli del mese seguente. Il pagamento viene effettuato da Eurobarre mediante Paypal o bonifico bancario.

Prima di parlare dell'inganno (se possiamo così definirlo), devo premettere che Eurobarre è una società affidabile: non installa, infatti, con la barra alcun spyware (test effettuati con Ad-aware) e dalle testimonianze raccolte in rete effettua i pagamenti, quando si raggiungono i tanto desiderati - ora capirete il perché - 15 euro.

L'inganno del sistema consiste, infatti, nella conversione dei punti in euro: il tasso di conversione dei punti in euro è infatti variabile di mese in mese. Ad esempio, a Ottobre scorso era di € 0.0640 per 1000 punti (informazione prelevata dal sito ufficiale Eurobarre, paragrafo Quel est le taux du point ?). In altre parole, per raggiungere i 15 euro con il tasso di Ottobre erano necessari 234 375 punti.

Raggiungere tale numero di punti è quasi impossibile, anche se si sta collegati ad Internet molte ore al giorno e si riesce a tollerare la barra con la pubblicità. Non vi nascondo che ho installato la barra di Eurobarre e in un giornata-tipo (10 ore ) ho totalizzato solo 600 punti.

Considerando che per avere 15 euro con il tasso di ottobre occorrono 234 375 punti, dovrei stare collegato in rete oltre un anno per raggiungere i 15 euro. Dal calcolo comunque sto escludendo i bonus e l'opportunità di guadagnare grazie agli amici a cui abbiamo fatto installare la barra, che sono un fattore di secondaria importanza.

Se si considera che Eurobarre non è una società di beneficenza e deve comunque guadagnare (distribuisce agli utenti il 50% di quanto guadagna), il tasso di conversione vedrà sicuramente aumentare il numero di punti necessari per raggiungere i famosi 15 euro in base al numero di utenti.

Tentare, comunque, non nuoce, ma bisogna comunque tenere conto che - come evidenzia giustamente Eurobarre - è necessario sperare che i guadagni e le inserzioni aumentino per raggiungere presto i 15 euro.

continua--->

[HypnoDisk]

Veramente avrei un altro problema hihi,

dopo aver risolto quei problemi, sono comparsi

due nuovi processi che fino a ieri non avevo:

csrss.exe e smss.exe

facendo una ricerca su google ho saputo

che essi sono file di sistema che si trovano nella cartella

C:\WINDOWS\System32\ tuttavia se effettuo una ricerca

sull'hard disk ne trovo 3 a testa:

C:\WINDOWS\System32\smss.exe (dovrebbe essere quello autentico)

C:\WINDOWS\ServicePackFiles\i386\smss.exe

C:\WINDOWS\$NtServicePackUninstall$\smss.exe

e uguale per csrss:

C:\WINDOWS\System32\csrss.exe (dovrebbe essere quello autentico)

C:\WINDOWS\ServicePackFiles\i386\csrss.exe

C:\WINDOWS\$NtServicePackUninstall$\csrss.exe

Se provo a terminare questi processi dice "Processo di sistema critico. Impossibile terminarlo."

Sigh!

[$angelique!?]

Sono processi legittimi se eseguiti dalla cartella \System32

smss.exe

csrss.exe

Se eseguito da un altro percorso, è un virus...

(Netsky o Bagle AV ed è esguito dalla cartella \Windows)

la cartella i386 è leggittima, ed è normale trovarci quei processi.