PDA

Visualizza versione completa : Warning: your computer is infected


Plutone
14-11-2007, 22.32.59
Aiuto...!
Da ieri, mentre navigo con firefox (non ho provato con IE) mi si aprono inquietanti pagine.
Una in particolare si intitola "SWS your number one a...", questo è quello che si legge sulla barra di windows in basso. La pagina è super-rimpicciolita in basso a destra ed è inibita da una finestra che appare tipo quelle classiche di windows in cui viene chiesto qualcosa e si può procedere clickando su OK o su Annulla. In questo caso la finestra si intitola "La pagina sul server http://fp.pc-on-internet.com riporta:" e sotto c'è scritto quanto segue "WARNING: YOUR COMPUTER IS INFECTED
Ensure your document and data protection. Scan your computer to know if you are infected by spywares.
Would you like to scan your computer now? (recommended)"
e sotto posso clickare su "OK" o su "Annulla"

ovviamente faccio Annulla

e mi si apre una pagina che ha questo link:
http://fp.pc-on-internet.com/sws/030/?al2=1&nums=N080ITHBZ-FCcnRzhAAt&login=672125&mediaid_prefix=005&asked_billing_id=2&time=312e3931

a questo punto posso chiudere la pagina ma la cosa mi lascia perplesso

mi sapete dire cosa accade?

P.S.
Ho AVAST attivo e aggiornato, Sygate firewall.
Ho fatto una scansione con Ad-Aware e Spybot che mi hanno trovato la solita monnezza ma il problema (se di problema si tratta ma presumo di si) persiste.
Ho anche fatto una scansione con HijackThis_199 ed analizzato il log sul sito ma non mi sembra ci sia nulla di strano.

grazie

Thor
14-11-2007, 22.59.53
puoi fare una scansione del pc con hijackthis

e usare spywareblaster per bloccare siti non proprio consoni.

harman
14-11-2007, 23.23.53
Io ho cliccato su OK e mi è stato proposto il download di un eseguibile
SpywareSecure_trial_setup.exe
L'ho salvato e fatto una scansione con il servizio di scansione file di kaspersky, risultato:
http://img248.imageshack.us/img248/6311/virusnw7.png

Posta quel log di hijackthis

harman
14-11-2007, 23.30.17
Aiuto...!
Da ieri, mentre navigo con firefox (non ho provato con IE) mi si aprono inquietanti pagine.


Succede su qualche sito in particolare?

Plutone
14-11-2007, 23.59.40
Logfile of HijackThis v1.99.1
Scan saved at 23.58.33, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
f:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
f:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ULI5289\ALi5289.exe
F:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE
C:\Programmi\File comuni\Logitech\G-series Software\LGDCore.exe
f:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
f:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
f:\Programmi\Alwil Software\Avast4\ashWebSv.exe
F:\sicurezza PC\HijackThis_199.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.itv.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 194.36.10.156:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] f:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programmi\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programmi\File comuni\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programmi\File comuni\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - f:\Programmi\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - f:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - f:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - f:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - f:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

harman
15-11-2007, 00.03.32
Sì, il LOG appare pulito
L'avviso appare sempre, a caso, o solo su dei siti in particolare?
Perchè forse il tuo PC non ha proprio nulla ma sono solo dei siti malevoli che vogliono farti installare questo malware
P.S.
NoScript aiuta

Plutone
15-11-2007, 00.18.57
Ancora non ho una casistica definita, ad esempio adesso pare andare tutto liscio.
Quello che succede è che si aprono pagine di firefox diciamo ingannevoli tipo quella su descritta. Un altro esempio è una pagina che faceva finta di esser (anche come grafica) il centro di sicurezza microsoft.
O ancora si è aperta una pagina di sky, e un'altra analoga che ora non ricordo.

Cioè queste pagine si aprono in nuove finestre senza preavviso solo mentre io sto navigando

sarà forse qualcosa che si è insinuato in firefox?

Plutone
15-11-2007, 00.19.43
ecco mentre inviavo la precedente risposta si è aperta questa pagina: http://www.sky.it/corporate/pagine/abbonarsi/abbonarsi.shtml

harman
15-11-2007, 00.24.09
Quel che si può infiltrare in Firefox ha solo forma di estensione (xpi), mica ti sei andato ad installare una estensione maligna?
Per farlo avresti dovuto prima autorizzare il sito e poi autorizzare il processo di installazione.
Per me è solo un problema di script presenti in determinati siti che cercano di fregarti.
Al limite prova con un nuovo profilo ed installa l'estensione che ti ho detto

Plutone
15-11-2007, 11.51.26
in realtà ultimamante ho tentato di scaricare un plugin per visualizzare forse un video ma non ci sono riuscito, non so se ho fatto danni, ma dalla mia esperienza non credo.

Ho installato NoScript come da consiglio ma il problema persiste.

Adesso ad esempio si sono aperte a distanza di pochi minuti l'una dall'altra le seguenti pagine di firefox (ripeto, sempre in nuove finestre):

http://www.poivre.mobi/?ce_cid=0004Pq0077By1DtUoThZ

http://em.pc-on-internet.com/eas?cu=45&login=672125&mediaid_prefix=005&extparam=1:RD1HQ08XQheny2wXgEk5iA&asked_billing_id=2&time=312e3931&nums=N080ITHBZ

il problema è che non risco proprio a capire cosa cercare sulla rete per risolvere il problema e vorrei evitare il più classico dei formattoni

harman
15-11-2007, 13.56.21
Aspetta col formattone, fai delle scansioni con degli anti-spyware, prova con un profilo nuovo (anche se non credo centri qualcosa)
Prova ad usare per un pò IE (so che è difficile) per vedere se il comportamento persiste.

Plutone
15-11-2007, 16.13.13
proverò a disinstallare firefox...

comunque pare prendermi in giro...
ora mi ha aperto questa: http://senzadoppioni.com/libero/?53081-10c50-5b075-c0f16-5f0d1-50359-5e045-01250-52533-e5147-175d0-95c5c-50020-55d3e-035e6-95156-595a6-c5807-52670-60c01-52695-05e3e-12515-05e58-52123-a0307-52565-50702-50504-70e47-3e5a0-85e58-04035-50409-6e516-b0109-08511-30d15-09035-5470e-505f5-f0612-05500-36c03-4b685-0433e-5f456-e0655-58504-0

harman
15-11-2007, 16.22.28
Boh, io clicco che voglio riparare il mio computer ma non mi dà retta :mm:

Non disinstallare Firefox, naviga un pò con IE prima

harman
15-11-2007, 16.25.27
Ecco, il sito ti propone di scaricare un file setup_it.exe
L'ho scaricato ed analizzato con Kaspersky
Scanned file: setup_it.exe - Infected
setup_it.exe - infected by not-a-virus: Downloader.Win32.WinFixer.au

Plutone
15-11-2007, 16.38.41
e quindi?

harman
15-11-2007, 16.45.01
e quindi mai cliccare su queste pagine..a meno di utilizzare un altro sistema operativo ;)

Prova con IE, ti si aprono le pagine con IE????

Plutone
15-11-2007, 16.55.25
ora sto usando IE e per il momento non succede nulla di strano.
Faccio un pò di prova e poi ti aggiorno

intanto grazie

harman
15-11-2007, 17.09.27
OK

leofelix
16-11-2007, 00.48.48
ciao,
prova a installare il rogueremover free da

http://www.malwarebytes.org/rogueremover.php

il "winfixer" è un falso antispyware, se sei rimasto infetto il Rogueremover free (aggiornato) dovrebbe rimuovere la minaccia e disinfettare il sistema.
Darei anche una bella pulita col SuperAntiSpyware free da
http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe

In ogni caso, so che in molti hanno avuto un problema simile problema tentando di accedere a dei servizi on line come la web mail di yahoo , anche senza rimanere infettati (fonte Paolo Attivissimo http://attivissimo.blogspot.com/2007/11/attenti-toolsicurocom.html ).

Oltre al "no script" in firefox prova a installare l'estensione "adblock plus" ( https://addons.mozilla.org/it/firefox/browse/type:1 ) l'estensione "siteadvisorr" da http://www.siteadvisor.com/download/ff_preinstall.html
(l'unica pecca è che ti informa che wintricks conterrebbe downloads nocivi.. ma è falso) e l'estensione finjan secure browsing da
http://securebrowsing.finjan.com/index.html

"Adblock plus" blocca banners e publicità indesiderate, le altre due estensioni ti avvisano se un sito contiene spyware, virus e altri scam e in alcuni casi ne bloccano l'accesso, in altri ti chiedono come vuoi procedere

Plutone
16-11-2007, 13.30.17
Allora,
ormai sul mio xp ci sono più programmi per rilevare spyware e simili che altro...
ho istallato e fatto girare sia RougRemover (nessun problema) sia SuperAntiSpyware (ha trovato 31 oggetti e rimossi)

in precedenza avevo già analizzato e protetto con spybot, ad-aware, a-squared, SpywareBlaster. E sono costantemente protetto da Avast e Sygate Personal Firewall aggiornati...

Risultato:
Il problema è ancora presente e si verifica anche con IE...

A sto punto non so più che fare


p.s. adesso ad esempio si è aperto: http://www.ebay.it/?_js=OFF

leofelix
16-11-2007, 15.10.03
ciao Plutone,
noto che usi una versione della Sun Java
'C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll?

non aggiornata alla più recente e come conseguenza vulnerabile.

Io proverei innanzitutto a svuotare i files temporanei del Sun Java Environment (spesso certi malware si annidano proprio in quei files) da 'pannello di controllo'>Java>Generale>impostazioni clicca su "elimina file"
(come da immagine allegata)

quindi disinstallerei temporaneamente la Sun Java e scaricherei la versione più recente per esempio trovi l'installer completo da qui
http://www.filehippo.com/download_java_runtime/

In secondo luogo, visto che l'Avast home antivirus non ha rilevato la minaccia, per rimanere nel gratuito e nel leggero ed affidabile, scaricherei (meglio se da un sistema non infetto) AntiVir PE Classic 7.0
da
http://www.antivir-pe.com/freet/index.php?id=25&domain=free-av.com

Ma prima di installare l'AntiVir PE Classic 7 cercherei di disinfettare il sistema con un removal tool gratuito, come ad esempio il Norman Malware Cleaner da Qui (http://download.norman.no/public/Norman_Malware_Cleaner.exe) che pulisce anche le voci presenti nel file HOSTS.
Pagina di riferimento
http://www.norman.com/Virus/Virus_removal_tools/it

Dopo aver scaricato tutto, installerei appunto la versione più recente del Sun Java Environment 6 update 3
--------------------------
Altro accorgimento sarebbe quello di modificare manualmente il file HOSTS, che probabilmente è stato già modificato a tua insaputa dal malware: o non riuscirei a spiegarmi come sia possibile che il browser punti a dei siti che tentano di installare altro malware. E quindi bloccarlo, non so attraverso lo Spybot Search& Destroy, o lo Spyware Terminator 2.0.1

Dopo aver pulito il file HOSTS potresti inserire intanto queste voci:
127.0.0.1 winfixer.com
127.0.0.1 Protezionesoft.com
127.0.0.1 Senzaerrori.com
127.0.0.1 Sistemaimune.com
127.0.0.1 Puliturasystem.com
127.0.0.1 Toolsicuro.com

in modo che sia impossibile collegarsi ad alcuni di quei siti che distribuiscono quel tipo di malware.

Se non sai cosa è il file HOSTS e come modificarlo in questo 3d trovi il rimedio:

http://forum.wintricks.it/showthread.php?t=77011


Spero di esserti stato di aiuto:)

Plutone
16-11-2007, 20.44.03
intanto ti ringrazio moltissimo per il chiarissimo post.
Faccio tutto quello che mi hai consigliato e poi ti dico come è andata.

Plutone
17-11-2007, 12.25.56
Nulla da fare,
ho fatto tutto quello che mi è stato consigliato ma il problema non se ne è andato.
Continuano ad aprirsi finestre di firefox o IE (a seconda di cosa sto utilizzando)

Altri consigli?

Formattone?

p.s. unica cosa non chiara sul file HOST

ho letto quel thread che mi hai linkato, e ho scaricato l'ultima versione del file.
Dopo ho aggiunto manulametne le linee che mi hai inedicato.
Infine ho fatto partire il Norman Malware Cleaner che mi hai consigliato.
Poi ho aperto nuovamente il file HOST e ho visto che moltissime delle voci presenti (comprese le ultime da me inserite) sono state rimosse.
Forse non ho capito bene il funzionamento o è normale?

leofelix
17-11-2007, 20.46.32
EDIT

Penso di aver trovato la soluzione adesso, prova a leggere il post successivo a questo prima cortesemente, grazie


EDIT

Nulla da fare,
ho fatto tutto quello che mi è stato consigliato ma il problema non se ne è andato.
Continuano ad aprirsi finestre di firefox o IE (a seconda di cosa sto utilizzando)

Altri consigli?

Formattone?

a questo punto oltre un ennesimo tentativo di disinfezione spiegato a fondo pagina, ti chiedo:
hai provato a fare le scansioni disattivando prima il ripristino di +configurazione di sistema?
E hai provato a disabilitare Java e Java Script per vedere se il problema si verifica ancora durante la navigazione?

Magari proverei a navigare con Opera http://www.opera.com/download/ (avendo cura di disattivare la Java e Java script dal navigatore, temporaneamente) sinché non si è risolto il problema.

p.s. unica cosa non chiara sul file HOST

ho letto quel thread che mi hai linkato, e ho scaricato l'ultima versione del file.
Dopo ho aggiunto manulametne le linee che mi hai indicato.
Infine ho fatto partire il Norman Malware Cleaner che mi hai consigliato.
Poi ho aperto nuovamente il file HOST e ho visto che moltissime delle voci presenti (comprese le ultime da me inserite) sono state rimosse.
Forse non ho capito bene il funzionamento o è normale?

Sì è normale che rimuova le voci del file HOSTS, forse mi son spiegato male, credevo di aver scritto di utilizzare il Norman Malware Cleaner prima di modificare il file HOSTS e di aggiornare la Sun Java.

---------

Puoi provare col più completo free removal tool SysClean.com della Trend Micro da

http://www.trendmicro.com/ftp/products/tsc/sysclean.com

+ i patterns (ovvero la basi antivirali) aggiornati da:

http://www.trendmicro.com/ftp/products/tsc/tsc.zip

scompattando i pattern nella stessa cartella dove è presente il gratuito SyClean.com ed effettuando la scansione in modalità provvisoria - premi più volte F8 durante il riavvio - (cfr. http://www.trendmicro.com/ftp/products/tsc/readme.txt ) avendo avuto cura di disattivare prima il ripristino di configurazione di sistema, e dopo aver ripulito il sistema da eventuali infezioni, e riavviato di nuovo in modalità normale... forse si risolve il problema.
Ma naturalmente e a questo punto non potrei metterci la mani sul fuoco.

attendo notizie spero positive

PS nel caso non ricordassi come disattivare il ripristino di configurazione da' un'occhiata qui:
http://www.sicurezzainrete.com/disabilitare_system_restore.htm

leofelix
18-11-2007, 07.23.20
ciao,
mentre cercavo altre informazioni in merito, sono andato cercare qui

http://www.pianetapc.it/view.php?id=1001

a sua volta ho trovato altre informazioni qui

http://en.wikipedia.org/wiki/WinFixer#Firefox_popup

in altri termini non basta chiudere la finestra di popup chiudendo direttamente il navigatore, bisogna usare il task manager nel caso di questo tipo di malware, per evitare l'infezione.
E leggo anche che è considerato come un Trojan/Vundo e che il tool VundoFix (http://www.atribune.org/ccount/click.php?id=4) (link diretto al download) dovrebbe disinfettare il sistema anche dal "winfixer" e malware simili.

Istruzioni:

Salva l'eseguibile sul desktop, chiudi tutte le finestre aperte, lancialo, clicca su "Scan for VUNDO", terminata la scansione ti chiederà se vuoi rimuovere i files infetti, clicca su "YES" (il desktop potrebbe sembrare oscurasi per un po' ma niente paura: è normale).. nel caso non riuscisse a eliminare tutti files infetti dovrebbe riuscirci al riavvio:)

altre info qui
http://www.atribune.org/content/view/24/2/

E poiché alcune varianti di winfixer si comportano come rootkit, io in ogni caso farei un controllo in seguito anche con ad esempio il Trend Micro RootKitBuster 1.6
http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip

e/o il Mcafee rootkit dectective 1.1 da
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

Fammi cortesemente sapere se funziona come spero e credo..

Plutone
18-11-2007, 11.17.23
Intanto continuo a ringraziarti per la pazienza e la dedizione...

allora,

Ho fatto la scansione con VundoFix ma non ha rilevato nulla (tra l'altro già l'avevo scaricato e fatto girare nei mille tentativi degli ultimi giorni)

Poi ho fatto fare un giro anche a RootKitBuster 1.6 il quale ha trovato questo: xfywuew.exe

ovviamente gli ho detto di rimuoverlo e adesso stiamo a vedere cosa accade.

Fino ad ora, cioè da quando ho fatto il riavvio e fatto ripartire firefox per scrivere quello che stai leggendo, non sta succedendo nulla di inquietante, ma non oso ancora cantar vittoria.

Ti aggiorno

p.s. Avevo anche scaricato il SysClean che mi hai indicato nel precedente post ma ancora non lo avevo fatto girare (anche perchè con F8 non sono riuscito a far partire la modalità provvisoria)

p.s.2 ho disattivato come dicevi sempre nel post di prima il ripristino di configurazione di sistema, che devo fare, lo lascio così?

leofelix
18-11-2007, 13.59.30
ben ritrovato e per il resto, figurati, di nulla

1) allora, se non riesci a entrare in modalità provvisoria, c'è un tool che fa al caso tuo, si chiama "BootSafe" è freeware, stand alone e lo scarichi da qui:

http://www.superadblocker.com/downloadfile.html?productid=BOOTSAFE

sul desktop, quindi basta eseguirlo che ti chiederà (in inglese) in che modalità vuoi riavviare il sistema.

info: http://www.superadblocker.com/bootsafe.html

-------------

2) Inoltre contro le rootkit, non credo ci sia nulla di meglio che utilizzare Gmer che trovi qui:

http://www.gmer.net/gmer.zip

Un manuale molto semplice e chiaro per utilizzarlo è qui:

http://www.pcalsicuro.com/main/guida-a-gmer/

In breve, Gmer è uno dei più accreditati antirootkit, dopo che ha effettuato la scansione, le rootkit eventualmente rilevate saranno quelle segnate in rosso e che andranno appunto eliminate.

E' possibile disinstallarlo in seguito semplicemente digitando Start>esegui>C:\WINDOWS\gmer_uninstall.cmd
e riavviare.

Altra cosa (non di meno importante IMHO):

3) Da quanto ho capito nel file relativo Firefox chiamato "prefs.js" è stato molto probabilmente modificato dal 'winfixer', dovrebbe essere nella cartella o (sotto cartella di)
C:\Documents and Settings\[Nome utente]\Dati applicazioni\Mozilla\Firefox\

Io proverei in seguito ad eliminare il file prefs.js - se non fosse possibile con qualche utility come Unlocker ( http://ccollomb.free.fr/unlocker/ ) o FileAssassin ( http://malwarebytes.org/fileassassin.php ).

Quindi disinstallerei Firefox e per reinstallarne una nuova copia pulita.

Tecnicamente almeno con Firefox il problema non dovrebbe verificarsi più (a meno che non si navighi senza le protezioni offerte dalle estensioni "adblock plus" e "no script" e "finjan secure browsing" )
--------------



In bocca al lupo, sperando che questa sia la volta buona:)

leofelix
18-11-2007, 14.12.17
p.s.2 ho disattivato come dicevi sempre nel post di prima il ripristino di configurazione di sistema, che devo fare, lo lascio così?

Naturalmente no, dopo aver disinfettato il sistema da virus, spyware e rootkit, e magari per sicurezza effettuata anche una scansione on line per esempio tramite

http://www.nanoscan.com/?Lang=it

e/o

http://www.bitdefender.com/scan8/ie.html

ed avere una relativa certezza che il sistema è finalmente a posto, il ripristino di sistema va riattivato:)

Plutone
19-11-2007, 20.37.01
Allora ti aggiorno
pare che le pagine improvvise non si aprano più.
Ho fatto girare il Gmer ma non ha evidenziato nulla in rosso, quindi suppongo non ci sia nulla più di infetto.
Ora ho provato anche a fare la scansione online con entrambi i link qui sopra, ma nel primo caso (nanoscan) dopo avermi chiesto di installare qualcosa (che tra l'altro Antivir mi identificava come trojan) non è riuscito ad eseguire la scansione dicendo che il server era troppo occupato. Nel secondo caso (bitdefender) non sono proprio riuscito a capire come si fa. Dimenticavo, li ho fatti con IE.

A questo punto ti chiedo se ancora è valido il discorso su Firefox e prefs.js, cioè io ancora non ho fatto quello che mi hai consigliato ma dato che ora pare tutto funzionare mi sono fermato.

attendo istruzioni in merito

ciao

leofelix
20-11-2007, 04.43.07
ciao Plutone,
a questo punto penso che di rootkit non ce ne siano più nel sistema e che il problema principale fosse dovuto proprio alla rootkit installata dalla quella variante di winfixer contratta e presumo debellata in parte dagli altri programmi di sicurezza che hai in seguito installati (come il SUPERantiSpyware free ad esempio) e il resto lo hanno fatto AntiVir e l'antirookit della Trend Micro (e la tua pazienza)

In quanto al trojan che Avira AntVir ti identificherebbe su Nanoscan, è certamente un falso positivo: probabilmente un controllo ActiveX che contiene le basi di rilevazione virus e quindi scambiato come malware (accade talvolta con antivirus che utilizzano l'analisi euristica come AntiVir, nulla di preoccupante quindi).

Con Bitdefender scan on line presumo che i controlli activeX siano stati bloccati da Internet Explorer, dovrebbe essere sufficiente istruire IE perché li possa ritenere validi e quindi possa installarli (sempre che tu voglia ancora fare la scansione on line)- dalla barretta gialla che appare in alto a sinistra di IE quando si cerca di scaricare un eseguibile o un controllo ActiveX, right click col mouse e su "accetto di installare etc etc etc conoscendo i rischi bla' bla' bla'" :)
----

A questo punto se il problema non si verifica più penso che non sia necessario seguire la procedura che ti avevo indicato in merito al file "prefs.js".
----

Bene, adesso come adesso, è vero, avrai perso un bel po' di tempo per debellare la minaccia, ma ti sei risparmiato il 'formattone', la installazione di tutti gli aggiornamenti critici di WinXP e degli altri programmi che ti servono e cosa non da poco: non hai perso alcun dato che ti serviva:)

Il caso è chiuso, direi;)

lieto di esserti stato di aiuto nonostante la mia nota grafomania :inn:

leofelix

PS avrai notato che AntiVir ha anche un modulo per cercare e disinfettare rootkit opzionale, se non lo hai già provato ti suggerirei di fare una scansione a parte solo con quel modulo antirootkit (così per scrupolo e per testarne l'efficacia), e per evitare falsi positivi sarà sufficiente abbassare il livello di rilevazione euristica.

interceptor
24-12-2007, 13.02.30
...mi sa che sono io in lotta con questo virus................adesso mi leggo tutto e mi adopero.........grrrrrrrrrrrrrrrrrrrrrrr

stefy:)
12-01-2008, 15.57.30
anche io stessissimo identico problema e sto seguendo i passi indicati prima... devo dire che nano scan non ha rilevato nulla, vundo non finisce ancora la scansione, Gmer invece in rosso ha rilevato un processo e 2 rootkit per ora...

sto nel frattempo facendo fare a Bit defencer la scansione online, ad aware spybot e avast non hanno rilevato nulla!

mentre qui ho i log della scansione fatta con

Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.dat
FullPathLength: 93
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x820
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.exe
FullPathLength: 93
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x820
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj_nav.dat
FullPathLength: 97
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x820
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj_navps.dat
FullPathLength: 99
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x820
ShareAccess : 0x0
Type : 0x0
4 hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
[HIDDEN_PROCESS]:
ParentId : 00000180
ID : 000007A4
Type : 0x00000001
Name : reqbolfkwj.exe
ImageName : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.exe


--== Dump Hidden Driver ==--
No hidden drivers found. e con

Trend Micro HijackThis v2.0.2
Scan saved at 14.54.47, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Fmctrl.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Amministratore\Documenti\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{837F9223-A053-4347-A36E-0B3AF9FB3F7A}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O24 - Desktop Component 0: (no name) - http://img182.imageshack.us/img182/107/sfondofarfalle9fy.jpg

--
End of file - 5335 bytes
ma io non so leggerli questi risulati :mm:
help me please :crying:

leofelix
13-01-2008, 08.06.43
ciao stefy; )
e benvenuta/o nel forum
dunque, in effetti il tuo sistema sembrerebbe infetto da delle rootkit.
Hai in seguito letto quel manuale su come usare Gmer che avevo postato?
Eccolo Qui (http://www.pcalsicuro.com/main/guida-a-gmer/)

Prova a utilizzare questi programmi allora:

1) Panda Antirootkit (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip) decomprimi l'eseguibile sul desktop quindi eseguilo perché faccia un controllo approfondito (ti chiederà di riavviare)

2) RogueRemover free (http://www.malwarebytes.org/rogueremover.php) una volta scaricato, va aggiornato quindi esegui la scansione: in genere rimuove quasi tutti le 'applicazioni fuorvianti'

3) SUPERAntiSpyware free 3.9 (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe) (link diretto per il download) questo nella scansione 'full' non è velocissimo, ma trova di tutto ed elimina di tutto.

4) scarica ed esegui in modalità provvisoria (tasto F8 più volte durante il riavvio) il Norman Malware Cleaner (http://forum.wintricks.it/showpost.php?p=1442664&postcount=1) (è normale che rimuova le voci host, è solo un tool, non sostituisce un antivirus completo)

Inoltre come avrai notato l'AVAST si è rivelato inefficace contro le rootkit e non solo. Quindi ti suggerirei di disinstallarlo.
Al contrario il gratuito AntiVir Personal Edition Classic oltre a essere molto leggero, rileva e disinfetta molte più minacce informatiche e ha un modulo di rilevazione rootkit.
Dopo aver aver utilizzato le risorse che ti ho indicato, prova a installarlo e fargli fare anche una scansione anti rootkit, lo trovi qui Download AntiVir free (http://www.antivir-pe.com/freet/index.php?id=25&domain=free-av.com)

Altra cosa: dal log di HiJackThis al momento vedo che hai il Teatimer di SpyBot S & D attivo, meglio disabilitarlo.. e che non usi il Sun Java EnvironMent più recente che è la ver 1.6 update 4, oltre a un Internet Explorer 6.0 SP 2 'personalizzato da alice'... direi che sarebbe ora di passare a Windows Internet Explorer 7.0, che è più sicuro Download IE 7.0 Ita (http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it)

Infine, una volta che - spero - tu sia riuscito/a a disinfettare il sistema:

A) installa le estensioni per Firefox chiamate no script (https://addons.mozilla.org/it/firefox/addon/722) e adblock plus (https://addons.mozilla.org/it/firefox/addon/1865)
La navigazione sarà molto sicura dopo;)

B) E naturalmente ti suggerirei di approfittare dell'offerta per ottenere AVIRA Antivirus PE PREMIUM per 6 mesi gratis (http://forum.wintricks.it/showpost.php?p=1439871&postcount=1) ;)

attendo tue notizie spero positive

stefy:)
13-01-2008, 16.08.57
Ciao wow quanti suggerimenti,
allora con GMER una volta eliminate le voi in rosso sembrava ke il rpoblema fosse risolto, ma poi riavviando il pc, il problema si è riprensenatato!
allora in ad block di mozzilla ho messo tutte le finestre e i nuovi link ke mi si aprivano e pare ke per ora va bene!
inoltre ho messo il foìiltro per i java script pubblicitari ke aprono nuove finestre e per i flash!

poi mi dovrei spiegare come funziona ad block plus!

per quanto riguarda il tea timer è insieme a spybot ...

panda rootkit mi ha trovato 4 rootkit ke ho eliminato,
rogueremover, non ha rilevato nulla,
internet explorer non lo uso proprio, uso solo mozzilla

leofelix
13-01-2008, 17.08.39
allora stefy ; )
Sei già a buon punto :)

prima cosa da fare quando si è sicuramente infetti è quella di disabilitare il 'ripristino di configurazione" dal momento che questo metodo per quanto utile conserva anche eventuali virus/spyware contratti per cui a ogni riavvio te li ritrovi quasi sempre al loro posto.
Come fare? basta fare pulsante destro del mouse su 'risorse del computer' e spuntare la voce "disattiva ripristino di sistema" (la cosa è solo temporanea, una volta disinfettato il computer, il 'ripristino di sistema' va riattivato).
---

Poiché alcuni files infetti risulteranno incancellabili perché in uso dal sistema, munisciti di una utility come ad esempio il gratuito FileAssassin (http://www.malwarebytes.org/fileassassin.php) per disintegrare letteralmente quei files infetti (in ogni caso sia in HiJackThis sia in Gmer ci sono degli strumenti che fanno grosso modo la stessa cosa) altrimenti va bene anche Unlocker (http://ccollomb.free.fr/unlocker/) link diretto per il download (http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe)

ATTENZIONE: Questi i software su indicati sono da utilizzare con cautela

------

Un altro programma che ti servirà sicuramente è il gratuito CCleaner (link diretto download) (http://www.ccleaner.com/download/builds/downloading-slim) da utilizzare 'cum salis grano': togli la spunta sui 'disinstallatori di windows', sui log, su eventuali password memorizzate, fa' sì che il files temporanei siano cancellati dopo 48 ore, metti la spunta invece solo nei navigatori e in alcune componenti di sistema, tranne Ms Office.
Quindi via, una bella passata al sistema per ripulirlo dai cosiddetti 'junk files' (lascia perdere la pulizia del registro, per ora)

-----

Il Fatto che tu (come me del resto) utilizzi come browser predefinito Mozilla Firefox, non significa che tu non debba mantenere il sistema aggiornato, per tanto anche Internet Explorer va aggiornato, non solo per la sicurezza ma anche per la stabilità del sistema stesso:)
PS: inoltre la barra di google per IE non ti serve, quindi direi che è meglio che tu la disinstalli; ce ne è una molto più sicura e meno ingombrante anche per Firefox;)

---

TeaTimer è una parte di SpyBot che soffre notoriamente di bug, si può disattivare attraverso il programma stesso, anzi è preferibile farlo (e non lo dico solo io) :)

-------
L'estensione 'adblock plus' non richiede che 'sottoscrivere' alcuni servizi gratuiti tra quelli presenti per bloccare banner e pubblicità indesiderata, quindi quando ti si presenterà un banner che non vuoi visualizzare, apparirà una 'linguetta' sopra con scritto 'blocca' (sta a te quindi decidere se bloccare o meno il banner)

---

Ora dovresti avere la pazienza di:

A) Disattivare il 'ripristino di configurazione' (temporaneamente)
B) ripetere le scansioni con gli strumenti indicati (ove indicato in 'modalità provvisoria' - come col 'Norman Malware Cleaner' ad esempio)
C) laddove un file infetto non sia cancellabile utilizza uno dei tools come Unlocker o FileAssassin per fare fuori i files sicuramente infetti
D ) Anche se i files infetti vengono eliminati, talvolta rimangono in esecuzione automatica nel Registro di configurazione (http://it.wikipedia.org/wiki/Registro_di_sistema) , nel caso il sistema dovesse ancora cercarli una volta disinfettato, un tool come RegAssassin (http://www.malwarebytes.org/regassassin.php) potrà tornarti utile, nel caso sono qui.. basta chiedere, nei miei limiti ovviamente;)

----

Ok, perdona se sono stato prolisso, ma ho cercato di spiegare nella maniera più chiara e precisa possibile...

Per ora ti auguro buon lavoro e in bocca al lupo..

in attesa di esiti favorevoli da parte tua:)

Buona domenica

stefy:)
13-01-2008, 23.20.10
oddio grazie per gli innumerevoli consigli.. cercherò di procedere un passo alla volta!!
rogueremover non ha trovato nulla
ma pavark si ed ho cancellato, pare ke per adesso nn si riaprono, ma può essere che io essendo amm,.ce di un forumsu forumfree, prenda da lì il problema?

stefy:)
14-01-2008, 00.06.32
Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

PULITO

Panda antirootkit

PULITO

:act:
rogueremover

PULITO
invece ci sono stati registrati da adblock 13 accessi a quel file e 8 file bloccati :grrr:
E CMQ NN SI APRE PIU' NULLA :act: :act:

E QUESTO E' IL NUOVO LOG DI
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.09.00, on 14/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Fmctrl.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Amministratore\Documenti\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: IAMS-CD a 4 zampe-Gatto.lnk = C:\Programmi\IAMS-CD a 4 zampe-Gatto\Control.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{837F9223-A053-4347-A36E-0B3AF9FB3F7A}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 5660 bytes

Savannah_jay
14-01-2008, 13.33.14
Salve.
Scusate l'intrusione, ma da qualche giorno litigo con questo stesso "coso" descritto qui, e non trovo una soluzione. In piu', il mio computer ha questo maledetto vista, per cui gmer non è utilizzabile. Riuscite mica per miracolo ad aiutare anche me?

stefy:)
14-01-2008, 13.53.53
anche io sto andando per tentativi con xp, prova a leggere le altre discussioni e a vedere se ne esce fuori qualcosa

Savannah_jay
14-01-2008, 15.07.54
Ho provato le scansioni in modalità provvisoria con tutti i programmi che avevo installato, ma nulla. 'sto coso è ancora là....

leofelix
15-01-2008, 02.50.09
x stefy ; )

dunque, scusa, ma oggi la connessione mi ha abbandonato più volte.
Dunque, leggendo il tuo log vedo:

"O4 - Startup: IAMS-CD a 4 zampe-Gatto.lnk = C:\Programmi\IAMS-CD a 4 zampe-Gatto\Control.exe"

Non conosco questa voce e mi suona sospetto che sia in esecuzione automatica.
Tu hai idea di cosa si tratti?
--------------
Non preoccuparti per ora di cosa blocca o non blocca 'adblock plus'
facciamo una cosa per volta ok?;)

Parlavi di un forum su forumfree..
ehm da quanto ne so io è forumfree non offre un buon servizio, anzi sia Siteadvisor ( http://www.siteadvisor.com/download/ff.html ) sia Finjan Secure Browsing (http://securebrowsing.finjan.com/ ) - due valide estensioni per Firefox e volendo anche per Internet Explorer - me lo segnalano come sito fraudolento e che sfrutta vulnerabilità dei navigatori.
Fossi in te cercherei un forum altrove (conosco forumup.it che è pulito e sicuro, per esempio)

-------------

Tornando alla rootikit.
Domande:
1) hai eseguito una scansione col SUPERAntispyware free che ti avevo suggerito?
2) Gmer non ti segnala più voci in rosso?
-----------

Ecco se alle ultime due domande tutto risulta regolare (ovvero: sistema pulito col SUPERAntiSpyware free e nessuna voce in rosso con Gmer)
Allora, sarebbe ora di procedere disinstallando al più presto AVAST Home (in ogni caso è stato quasi sicuramente disabilitato dalle infezioni) e installando al suo posto l'AVIRA Antivirus PREMIUM in offerta GRATIS per 6 mesi (http://forum.wintricks.it/showpost.php?p=1439871&postcount=1) che come ti ho detto protegge anche da spyware e ha un modulo di rilevazione e dinsfezione rootkit molto efficace.

Attendo tue notizie in merito:)

leofelix
15-01-2008, 03.04.57
Salve.
Scusate l'intrusione, ma da qualche giorno litigo con questo stesso "coso" descritto qui, e non trovo una soluzione. In piu', il mio computer ha questo maledetto vista, per cui gmer non è utilizzabile. Riuscite mica per miracolo ad aiutare anche me?

Di nulla e benvenuto/a in questo forum.
Purtroppo conosco pochissimo Vista.
Potresti aprire una nuova richiesta a parte sempre nella sezione Sicurezza e Privacy iniziando per postare un log di una scansione del tuo sistema con HiJackThis che puoi scaricare da Qui (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)

Altri volenterosi wintrickers potranno aiutarti meglio di me

-----------
in ogni caso su questo sito (http://antirootkit.com/software/index.htm) trovi una lista notevole di programmi quasi tutti gratuiti contro le rootkit (il Gmer me lo da' per funzionante in ambiente Vista)

In bocca al lupo:)

Savannah_jay
15-01-2008, 20.43.31
Allora.... ho risolto il problema!!! Chi me lo doveva dire, la soluzione l'ho trovata su di un sito francese. Mi ha aiutato un programma che si chiama Navilog1, ed ora sono libera!
In ogni caso, grazie per l'aiuto e la disponibilità

leofelix
16-01-2008, 07.18.48
prego,
anzi grazie a te, il programma di cui parli non lo conoscevo.
Ho fatto le dovute ricerche e quanto pare promette bene contro l'instant access e altro malware del genere:)