tsunami!

Probabile Malware

25 messaggi in questa discussione

Ciao a tutti

Mi ripresento dopo qualche mese perche' ogni volta che vado sul sito

http://www.themexp.org/ per scaricare un tema o uno sfondo per il desktop, partono delle mail agli indirizzi che ho in rubrica.

Ho fatto girare Spyware terminator e Spybot search&destroy, ma il problema si ripresenta.

Uso AVG come antivirus e Comodo, AVG e WinXP come firewall.

allego il log di Hijackthis.

Attendo vostro gentile riscontro per evitare il prima possibile gli insulti degli utenti che ricevono periodicamente lo spam che parte dal mio pc.

Grazie e saluti

Piergiorgio

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao

questo lo hai installato tu?

C:\Programmi\Adparatus

* Dai una ripulita a cookie,cache e prefetch con Ccleaner 

(Quando lo installi ricordati che se lasci le spunte di defuat ,verrà installata anche la toolbar yahoo)

(prima di usarlo vai in Opzioni/avanzate e togli la spunta da :Elimina file temp di Windows solo se piu vecchi di 48 ore)

al limite fai uno scan online Kaspersky in questo modo 

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Esegui una pulizia dei file temporanei con Ccleaner (quando lo installi togli la spunta da Yahoo Toolbar). Vai poi in Opzioni - Avanzate - togli la spunta da "cancella file in windows temp solo se più vecchi di 48 ore". Ora puoi avviare la pulizia dopo aver chiuso internet explorer e/o firefox.

**************

Scarica Combofix, disconnettiti da internet, disabilita e chiudi antivirus, antispyware e firewall. Manda in esecuzione il programma. Digita 1 e premi invio poi attendi il termine degli stage di scansione. Posta il log che troverai alla fine in C:\Combofix.txt.

**************

Scarica poi MalwareBytes, aggiornalo e avvia una scansione completa. A fine scansione elimina tutto ciò che trova e posta il report che ti visualizza.

**************

Allega ora un nuovo log di HijackThis

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
ciao

questo lo hai installato tu?

C:\Programmi\Adparatus

si, e' stato installato assieme a ThemeXP, gestore di temi e wallpaper.

ciao

Pier

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Esegui una pulizia dei file temporanei con Ccleaner

fatto (rispondo anche per Steve75)

Scarica Combofix, disconnettiti da internet, disabilita e chiudi antivirus, antispyware e firewall. Manda in esecuzione il programma. Digita 1 e premi invio poi attendi il termine degli stage di scansione. Posta il log che troverai alla fine in C:\Combofix.txt.

L'ho fatto 2 volte, in quanto non ricordo se la prima volta avevo chiuso antivirus e quant'altro.

Ho salvato entrambi i log e li ho allegati (il primo giro si chiama combofix primo, il secondo nel quale sicuramente ho chiuso tutto si chiama combofix.txt)

Scarica poi MalwareBytes, aggiornalo e avvia una scansione completa. A fine scansione elimina tutto ciò che trova e posta il report che ti visualizza.

fatto, allego il report (si chiama mbam-log-2008-09-08 ecc.txt)

Allega ora un nuovo log di HijackThis

fatto, allego il log.

Grazie per l'assistenza.

Piergiorgio

ComboFix_primo.txt

ComboFix.txt

hijackthis.log

mbam_log_2008_09_08__00_09_29_.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Fai attenzione a quello che scarichi dai p2p... Esegui di nuovo la scansione con MalwareBytes e stavolta a fine scansione seleziona tutto quello che ha trovato e eliminalo.

Anche Combofix ha trovato ed eliminato un bel quantitativo di files tutti legati a un certo uusee, vedi se lo trovi nel pannello di controllo - installazione applicazioni e rimuovilo. Controlla pure se trovi AsksBar e disinstalla pure quella.

I problemi si ripresentano?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Fai attenzione a quello che scarichi dai p2p... Esegui di nuovo la scansione con MalwareBytes e stavolta a fine scansione seleziona tutto quello che ha trovato e eliminalo.

Anche Combofix ha trovato ed eliminato un bel quantitativo di files tutti legati a un certo uusee, vedi se lo trovi nel pannello di controllo - installazione applicazioni e rimuovilo. Controlla pure se trovi AsksBar e disinstalla pure quella.

I problemi si ripresentano?

Veramente scarico ben poco (io quasi nulla, i miei figli qualcosa ma non molto), ma evidentemente quel poco...

La scansione con MalwareBytes e' durata oltre 6 ore, alla fine ho eliminato tutto cio' che ha trovato, tranne alcuni cookies che verranno eliminati alla ripartenza del pc perche' in uso in quel momento.

uusee e' un programma per la tv in streaming, (lo usavo per vedere gli incontri di tennistavolo cinesi), provvedero' a disinstallarlo.

Ma quell'Adparatus e ThemeXP possono creare problemi ? problemi che sono nati dal giorno dell'installazione , ma potrei aver preso qualcosa navigando su siti non affidabili in cerca di temi x il desktop e sfondi.

Quando avro' ripulito provero' a linkare di nuovo il sito di sfondi che ho indicato nel capothread , e' da li che ho notato parte il problema.

Grazie

Piergiorgio

Modificato da tsunami

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Può essere, molti siti per la personalizzazione gratuita del pc nascondono insidie..

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
uusee, vedi se lo trovi nel pannello di controllo - installazione applicazioni e rimuovilo. Controlla pure se trovi AsksBar e disinstalla pure quella.

I problemi si ripresentano?

Ho disinstallato uusee (ma non era quello a dare problemi, l'ho installato da oltre 1 anno) e ask bar; ma prima di questi ho disinstallato Adparatus, e linkando il sito di themexp che prima mi creava problemi, ora pare non sia successo nulla di anomalo, a meno che qualcuno mi scriva nelle prossime ore di aver ricevuto dello spam da me.

Penso che il problema sia stato risolto.

Vi ringrazio per la cortese e sollecita assistenza.

Piergiorgio

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Di niente, a risentirci. :P

Rieccomi :)

Il problema si e' ripresentato.

allego la mail che e' partita dal sito di Yahoo (dal quale controllo la posta in ufficio, il mio pc di casa, con thunderbird e pop Tele2 e' spento).

Sembra che le mail siano partite agli indirizzi *catturati* nella casella della posta inviata, visto che anche qui su Yahoo avevo provveduto a svuotare la rubrica.

Ma dove e' situato 'sto benedetto virus ?

Attendo vostra illuminante soluzione...

ciao

Piergiorgio

allego qui sotto la mail spam

______________________________________________________________________

New shopping new life

Lunedì 15 settembre 2008, 14:40

From pop_server."xxxxxxx"@pop.tele2.it Mon Sep 15 12:41:03 2008

Received: from pop.tele2.it by web23101.mail.ird.yahoo.com with YMEXTPOP; Mon, 15 Sep 2008 12:41:03 GMT

Return-Path: <xxxxxxxo@yahoo.it>

Received: from web23106.mail.ird.yahoo.com ([217.146.189.46] verified) by mailfe01.swip.net (CommuniGate Pro SMTP 5.2.6) with SMTP id 26573000 for xxxxxxx@tele2.it; Mon, 15 Sep 2008 14:40:38 +0200

Received: (qmail 79999 invoked by uid 60001); 15 Sep 2008 12:40:38 -0000

DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.it; h=X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding:Message-ID; b=EpUKhPsjZnvNPKjKA/01qLYr/CRzOTLMl7tBgdzrdb0RIzIoFmA4YLTTW/mewldRtSbFtP6eykSDEZ4rAXCMv1cBVGMaV2zQ0ijVG8KM+WkM+PH1v1qj1iAyEU0V236ljfdglT2fQA

ZfJdZ8uO7AWvJInn9nIjj6lQc1JBlKq+Q=;

Received: from [219.154.143.41] by web23106.mail.ird.yahoo.com via HTTP; Mon, 15 Sep 2008 12:40:38 GMT

Date: Mon, 15 Sep 2008 12:40:38 +0000 (GMT)

From:

piergiorgio xxxxxxx <xxxxxxx@yahoo.it>

Aggiungi mittente alla Rubrica

Subject: New shopping new life

To: segue una serie di indirizzi

MIME-Version: 1.0

Content-Type: text/plain; charset=utf-8

Content-Transfer-Encoding: quoted-printable

Message-ID: <173003.79688.qm@web23106.mail.ird.yahoo.com>

Content-Length: 694

Intestazioni compatte

Dear friend,

i would like to introduce a good company who trades mainly in electornic products.

Now the company is under sales promotion,all the products are sold nearly at its cost.

They provide the best service to customers,they provide you with original products of

good quality,and what is more,the price is a surprising happiness to you!

It is realy a good chance for shopping.just grasp the opportunity,Now or never!

The web address: www.jvccn.com

__________________________________________________

Do You Yahoo!?

Poco spazio e tanto spam? Yahoo! Mail ti protegge dallo spam e ti da tanto spazio gratuito per i tuoi file e i messaggi

http://mail.yahoo.it

Modificato da tsunami

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per questioni di privacy ti consiglio di togliere l'allegato e copiare direttamente sul post solo il testo della mail. Hai provato a cambiare password al tuo account?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Hai provato a cambiare password al tuo account?

Ho cambiato la password il 17.

Oggi mi e' arrivato ancora un messaggio da mailer-daemon@yahoo che avvisa di alcune caselle destinatari piene, riferito al solito messaggio di spam partito ancora una volta ai soliti destinatari.

E' chiaro che questi tizi hanno catturato gli indirizzi e periodicamente spediscono spam; non riesco ancora a comprendere come facciano tali mail ad avere come mittente il mio indirizzo yahoo.

ciao

Piergiorgio

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Dovresti stare un poco più attento a quello che scarichi..

Fai di nuovo la pulizia con Ccleaner nel metodo che ti ho suggerito qualche post più su, chiudendo internet explorer e firefox prima di avviare la pulizia. (fai questa operazione sia entrando con l'account alessio sia entrando con l'account simone)

Ora scarica The Avenger e copia lo script qui sotto nel box di testo di The Avenger, poi premi Execute e accetta la conferma di riavvio automatico del pc. Posta il log che ti appare al riavvio del pc.

Files to delete:

C:\Programmi\MP4 utilities\MSI.CAB

E:\Documents and Settings\Alessio\Desktop\Nuova cartella\jovanotti a te.mp3

E:\download\msgXs 1.5(2).plsc

E:\download\msgXs 1.5.plsc

E:\Programmi\AWS\WxBugSetup60b6.04.0.9m.EXE

E:\Programmi\RelevantKnowledge\rlvknlg.exe

G:\Download\sunsnowwall.exe

I:\Documents and Settings\simone\Documenti\LimeWire\Saved\jeremy camp\Jeremy Camp - I still Believe.mp3

I:\Documents and Settings\simone\Documenti\LimeWire\Saved\Sunrise avenue.wma

I:\Documents and Settings\simone\Documenti\LimeWire\Saved\Top of Charts - 2005.wma

I:\Documents and Settings\simone\Documenti\LimeWire\Saved\treaty of paris\treaty of paris.mp3

I:\Documents and Settings\simone\Documenti\LimeWire\Saved\would you live.mp3

I:\Documents and Settings\simone\Impostazioni locali\Temp\Mirar_V55_876933_LOG_IESC_NoDMY_AFF_ATD_noMDNS_RPT.exe

I:\Documents and Settings\simone\Impostazioni locali\Temp\mit20.tmp

I:\Documents and Settings\simone\Impostazioni locali\Temp\mit20.tmp.cab

I:\Documents and Settings\simone\Impostazioni locali\Temp\tem1B.tmp.exe

I:\Documents and Settings\simone\Impostazioni locali\Temp\tem26.tmp.exe

I:\Documents and Settings\simone\Impostazioni locali\Temp\upd2D.tmp.exe

I:\Programmi\eMule\Incoming\diamond tools bittorrent downloader.zip

I:\Programmi\eMule\Incoming\diamond tools.zip

I:\Programmi\eMule\Incoming\Warcraft_III_The_Frozen_Throne_Black_Citadel_map(1).zip

I:\Programmi\eMule\Incoming\[PC GAME NO CD] Neverwinter Nights 2 crack(1).zip

I:\WINDOWS\system32\WinNB55.dll

J:\audio adrenaline\Audio Adrenaline - cant take God away.mp3

J:\avril lavigne\Avril Lavigne - Complicated.wma

J:\down by law\Down By Law - Flower Tattoo.wma

J:\rediscover\rediscover.mp3

J:\scenes from a movie\scenes from movie cute girl has orgasm on webcam.mp3

J:\Simone\mp3 simone\Bin\Base\Immagini\Cdvd.exe

J:\varie 2\[PC GAME NO CD] Neverwinter Nights 2 crack(1).zip

J:\Warcraft_III_The_Frozen_Throne_Black_Citadel_map(1).zip

Dal pannello di controllo - installazione applicazioni disinstalla i seguenti programmi:

DivXPro

SweetIMBarForIE

SurfingEnhancer

Svuota il cestino se non l'hai fatto già tramite Ccleaner.

Entra in pannello di controllo - java - sotto "file temporanei internet" clicca su impostazioni - elimina file. (fai questa operazione sia entrando con il profilo alessio sia entrando con il profilo simone)

Scansiona la seguente cartella con il tuo antivirus e vedi se ti trova qualcosa:

C:\Documents and Settings\piergiorgio\Dati applicazioni\Thunderbird\Profiles

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Dovresti stare un poco più attento a quello che scarichi..

Ho gia' cazziato i figli per questo

Ora scarica The Avenger e copia lo script qui sotto nel box di testo di The Avenger, poi premi Execute e accetta la conferma di riavvio automatico del pc. Posta il log che ti appare al riavvio del pc.

...

Scansiona la seguente cartella con il tuo antivirus e vedi se ti trova qualcosa:

C:\Documents and Settings\piergiorgio\Dati applicazioni\Thunderbird\Profiles

fatta la scansione, nessuna minaccia rilevata.

in allegato il log di avenger.

ciao e grazie

Piergiorgio

avenger.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Alcuni file non sono stati trovati, evidentemente sono stati spostati, diversi altri sono stati rimossi. Controlla se puoi eliminare manualmente i file che nel log di The Avenger non sono stati trovati. Il problema si ripresenta ancora?

A mio parere ti do un consiglio che puoi provare a seguire. Disinstalli AVG dal pannello di controllo e installi la versione di prova di Kaspersky. Esegui una scansione completa con quello che ti rimuove ciò che trova e poi se vuoi lo lasci fino al termine dei 30 giorni altrimenti lo disinstalli e rimetti AVG.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Il problema si ripresenta ancora?

dal cambio password e dopo l'ultima mail ricevuta no; cio' mi fa ben sperare, perche' prima erano a cadenza settimanale

A mio parere ti do un consiglio che puoi provare a seguire. Disinstalli AVG dal pannello di controllo e installi la versione di prova di Kaspersky. Esegui una scansione completa con quello che ti rimuove ciò che trova e poi se vuoi lo lasci fino al termine dei 30 giorni altrimenti lo disinstalli e rimetti AVG.

Provero' nel weekend, grazie ancora per la preziosa e puntuale assistenza.

Ciao

Piergiorgio

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok, ricordati che il passo di Kaspersky è importante perché nell'account di piergiorgio, più precisamente fra la posta in arrivo di thunderbird sono presenti due mail infette, quindi se vuoi aspettare fino a fine settimana, ti consiglierei quantomeno di salvare le mail più importanti ed eliminare tutto il resto che si trovi nella posta.

Se hai altri problemi mi trovi sempre qui :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ciao a tutti

Mi ripresento dopo qualche mese perche' ogni volta che vado sul sito

http://www.themexp.org/ per scaricare un tema o uno sfondo per il desktop, partono delle mail agli indirizzi che ho in rubrica.

Ho fatto girare Spyware terminator e Spybot search&destroy, ma il problema si ripresenta.

Uso AVG come antivirus e Comodo, AVG e WinXP come firewall.

allego il log di Hijackthis.

Attendo vostro gentile riscontro per evitare il prima possibile gli insulti degli utenti che ricevono periodicamente lo spam che parte dal mio pc.

Grazie e saluti

Piergiorgio

- Modificato da Kernie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Il sito indicato in coda e' considerato fraudolento da Norton 2005 ed e' bloccato di default.....

Ecco cosa viene riportato da stopbadware.org a proposito di ThemeXP.org

Link

themeorggc0.th.jpg

Ho provato ad installare un tema qualsiasi sulla macchina virtuale, ed in effetti l'installer non è pulito, si chiede all'utente di accettare 2 licenze,

di cui una è fa riferimento a spyware e adware, (Keenfinder, RelevantKnowledge) ma escludendo la seconda l'installer non va a buon fine :)

licenzame1.th.jpg

spy2kg5.th.jpg

Ottima osservazione Kernie :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora