PDA

Visualizza versione completa : virus che mi allerta di spyware


SK888
24-07-2008, 23.21.08
ciao
ho beccato un virus che tutte le volte che sfoglio nelle cartelle mi avvisa (in inglese) di scaricare un antivirus.
che io faccia SI o NO mi reindirizza ad una pagina internet.

nei file temporanei ho un file JET12A8.TMP e nella cartella windows avevo un file con l'icona del cestino di xp , che ho rimosso.

allego report HiJack ma non ci vedo niente di strano

per favore aiutatemi
grazie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.21.24, on 24/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Mediacenter\TvTonic\WXRSS.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\stardock\TrayServer.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Windows Sidebar\sidebar.exe
C:\Programmi\Customizations\UberIcon\UberIcon Manager.exe
C:\Programmi\Microsoft Money\System\Money Express.exe
C:\Programmi\Customizations\MacSearch\MacSearch.ex e
C:\Programmi\Customizations\ObjectDock\ObjectDock. exe
C:\Programmi\Customizations\ObjectBar\ObjectBar.ex e
C:\Programmi\Customizations\YzShadow\YzShadow.exe
C:\Programmi\Windows Sidebar\sidebar.exe
C:\Programmi\Windows Sidebar\sidebar.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\Eset\nod32.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - C:\Programmi\Customizations\FindeXer\FindeXer.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing)
O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programmi\File comuni\stardock\TrayServer.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Sidebar] C:\Programmi\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [UberIcon] "C:\Programmi\Customizations\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Programmi\Microsoft Money\System\Money Express.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1935655697-2049760794-725345543-1003\..\Run: [Sidebar] C:\Programmi\Windows Sidebar\sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-21-1935655697-2049760794-725345543-1003\..\Run: [MoneyAgent] "C:\Programmi\Microsoft Money\System\Money Express.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1935655697-2049760794-725345543-1003 Startup: MacSearch.lnk = C:\Programmi\Customizations\MacSearch\MacSearch.ex e (User '?')
O4 - S-1-5-21-1935655697-2049760794-725345543-1003 Startup: ObjectDock.lnk = C:\Programmi\Customizations\ObjectDock\ObjectDock. exe (User '?')
O4 - S-1-5-21-1935655697-2049760794-725345543-1003 Startup: Stardock ObjectBar.lnk = C:\Programmi\Customizations\ObjectBar\ObjectBar.ex e (User '?')
O4 - S-1-5-21-1935655697-2049760794-725345543-1003 Startup: YzShadow.lnk = C:\Programmi\Customizations\YzShadow\YzShadow.exe (User '?')
O4 - Startup: MacSearch.lnk = C:\Programmi\Customizations\MacSearch\MacSearch.ex e
O4 - Startup: ObjectDock.lnk = C:\Programmi\Customizations\ObjectDock\ObjectDock. exe
O4 - Startup: Stardock ObjectBar.lnk = C:\Programmi\Customizations\ObjectBar\ObjectBar.ex e
O4 - Startup: YzShadow.lnk = C:\Programmi\Customizations\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213219731128
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213305178390
O17 - HKLM\System\CCS\Services\Tcpip\..\{84DFFAF3-5C0B-4D14-A76E-663D9D9F4D1E}: NameServer = 213.205.32.70 213.205.36.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TVTonic RSS (WXRSS) - Wavexpress, Inc - C:\Programmi\Mediacenter\TvTonic\WXRSS.exe

--
End of file - 6547 bytes

cascavel
24-07-2008, 23.34.04
scarica Combofix:
http://subs.geekstogo.com/ComboFix.exe
salvalo sul desktop. Doppio click su combofix.exe, comparirā la seguente videata:
http://img.bleepingcomputer.com/combofix/en/disclaimer.jpg

prima di fare questa operazione esci dalla rete e spegni il tuo antivirus
premi 1, premi Invio e segui le indicazioni.
al termine, verrā creato un file log chiamato C:\ComboFix.txt.
allega il log creato al prossimo post in formato .TXT, insieme ad un altro log di hijackthis da eseguire in seguito all'uso di combofix

AMIGA
24-07-2008, 23.47.23
Oltre all'icona cestino,hai un file autoran.inf e qualche dll sospetta ?
Chiaramente scopri file nascosti e di sistema.

Disattiva il ripristino configurazione di sistema,su tutte el unitā,fai una bella scansione con Malwarebytes (http://news.wintricks.it/software/sicurezza-privacy/26252/malwarebytes-anti-malware-1.23/)

Lionsquid
25-07-2008, 02.41.23
solito Rogue, cerca un Rogue remover aggiornato, oppure sono validi anche i suggerimenti di cascavel e Amiga,

il malwarebyes č molto efficace, sporadicamente restano dei rimasugli che poi vanno eliminati a mano

leofelix
25-07-2008, 03.06.32
il RogueRemover free lo trovi qui

http://www.malwarebytes.org/rogueremover/free/rr-free-setup.exe

(aggiornalo prima di fargli fare la scansione, come dice Lionsquid, hai contratto una "Applicazione fuorviante" o "Rogue antispyware" cfr: http://www.spywarewarrior.com/rogue_anti-spyware.htm#products )


il ComboFix che ti č stato suggerito spesso si configura come un validissimo strumento in questi casi, l'antivirus potrebbe segnalartelo come "riskware", ignora tranquillamente l'avviso.

In bocca al lupo:)