• Bannato User Attivo

    Ciao Wolf,
    grazie, allora; quella voce l'ho cancellata con mi hai consigliato.
    Adesso ho rifatto un altro scan:

    Logfile of HijackThis v1.99.1
    Scan saved at 14.55.49, on 10/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
    C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programmi\ewido anti-spyware 4.0\guard.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\sistray.EXE
    C:\WINDOWS\system32\keyhook.exe
    C:\Programmi\Unlocker\UnlockerAssistant.exe
    C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
    C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
    C:\Programmi\SPYWAREfighter\spftray.exe
    C:\Programmi\SPYWAREfighter\spfprc.exe
    C:\Programmi\ewido anti-spyware 4.0\ewido.exe
    C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programmi\Flashpaste\flashpaste.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Programmi\Opera\Opera.exe
    C:\Program Files\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
    O4 - HKLM..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
    O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
    O4 - HKLM..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    O4 - HKLM..\Run: [spywarefighterguard] C:\Programmi\SPYWAREfighter\spftray.exe
    O4 - HKLM..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKLM..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU..\Run: [Flashpaste] C:\Programmi\Flashpaste\flashpaste.exe
    O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
    O17 - HKLM\System\CCS\Services\Tcpip..{588FA282-8FD2-4801-9ECE-2F2A31FF4B91}: NameServer = 85.37.17.15 85.38.28.74
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
    O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programmi\SPYWAREfighter\spfprc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Per caso vedete qualcos'altro di sospetto?

    Ho combattuto tutta la mattinata a cercare di stanare sto bastardo virus, e ho fatto varie scansioni con i seguenti:

    Tool di Avira contro il Tenga e altri
    Tool di Avast
    Tool di Dr Web
    Nuove scansioni con Antivir
    1 scansione con Spybot che ha rilevato i soliti 4 cookie e un trojan che ho cancellato.
    1 scansione con la versione trial di Ewido che mi ha rilevato anche lui qualche cookie e un file che ha identificato come minaccia: Heuristic.Win32.Host File

    Per il resto, non sono più ricomparsi messaggi e ad ogni scansione per il momento sto virus non è rilevato, e nel complesso il pc gira piuttosto bene, al momento.

    Cmq per sicurezza ho messo il buon vecchio Zone Alarm free al posto di quel colabrodo del firewall nativo, e direi che per il momento tutto fila liscio.

    P.S. mica lo so come si fa partire la modalità provvisioria! :caffe:
    Che ha in più, quest'altro antivirus?
    e come mai proprio in provvisoria mi consigli di fare le scansioni?


  • Consiglio Direttivo

    Vale, fixa anche questa voce:

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    Scarica ed aggiorna Virit antivirus disattivando "momentaneamente" il tuo; poi riavvia il pc e premi F8 per entrare in modalita' provvisoria, appena vedi la scritta "Avvio di windows in corso"!

    Una volta entrati in modalita' provvisoria avvia la scansione con il Virit e posta il risultato qui nel forum!

    p.s. usi solo spybot come antispyware??

    Ti consiglio di scaricare anche SuperAntiSpyware e Ad-Aware.


  • Bannato User Attivo

    ok, voce fixata. Ho messo anche Zone Alarm al posto del firewall di windows; per fare la scansione in provvisoria, devo disattivare anche lui?
    azz non vorrei bombarlo troppo di roba, il pc.
    Oltre a spybot ora ho anche Ewido. SuperAntispyware mi pare che tempo fa l'avevo provato ma poi l'ho tolto non mi ricordo per quale motivo, mentre Ad-Aware è talmente pesante che non lo tollero proprio :fumato:


  • Bannato User Attivo

    edit: ah
    utilizzo anche una versione di prova di Spyware Fighter; fatta la scansione e update due ore fa e non ha trovato nulla.


  • User Attivo

    Ciao, Vale76 🙂

    Dpo gli ottimi suggerimenti di Wolf Otakar, il tuo log sembra a posto.

    ottima scelta, quella di sostituire il Firewall di Xp. Non è necessario disattivare nulla, quando vai in provvisoria. Riavvia il pc in questa modalità, ed effettua la scansione.

    Infine, per quanto riguarda il sovraccaricare il PC, non ti preoccupare, gli Antispyware aggiuntivi che ti ha ben consigliato Wolf non sono residenti in memoria. Quando li lanci, lavorano. Altrimenti non pesano su niente, tranne che per quel poco di spazio che occupano sull'HDD.
    Eventualmente, assicurati di aver correttamente disattivato Windows Firewall, dopo aver installato Zone Alarm.


  • Bannato User Attivo

    ok, allora posso fare anche quest'ultima prova in modalità provvisoria. Meno male che sembra a posto il log! E' da ieri sera che non faccio altro che dare la caccia a quel cavolo di virus! non ne posso già +++++ :fagiano:

    p.S. sì, sì, grazie, Zone Alarm è impostato come firewall unico al posto di quello di XP.

    Un altra domanda, più per scrupolo paranoico :fagiano:

    nel caso in cui il bastardo fosse ancora nascosto da qualche parte, c'è qualche pericolo a trasferire le mie pagine web via ftp?
    ho parecchio lavoro e se ci fosse qualche rischio, non potrei più andare avanti a lavorare.

    Edit post

    niente, come non detto, ho provato diverse volte ad installare Virit, ma non c'è niente da fare; inizia a copiare i file e poi si impalla 😞

    cattivo segno.. non è quel bastardo che è ancora in circolazione e lo blocca? 😞
    Zone Alarm non è il responsabile, anche disattivando sia lui che Antivir, non riesco ad installarlo!


  • User Attivo

    Non credo... si tratta di un virus che si inserisce negli EXE, giusto? 😉


  • Bannato User Attivo

    @kru said:

    Non credo... si tratta di un virus che si inserisce negli EXE, giusto? 😉

    eh, e infatti il file di installazione è proprio un exe! Non è sospetta la cosa?


  • User Attivo

    @Vale76 said:

    eh, e infatti il file di installazione è proprio un exe! Non è sospetta la cosa?

    🙂

    si... 😉

    anche se l'exe può anche essere solo il suo mezzo di trasporto sul web. Naturalmente, se hai fatto dei backups su CD o DVD, in questo periodo, ti consiglio di buttar via tutto, e di rifare il salvataggio appena sei sicura di aver risolto.


  • Consiglio Direttivo

    @Vale76 said:

    Inizialmente ho letto che si consiglia una scansione on line con il Panda, ma in passato m'ha creato problemi e ho preferito evitarlo.

    Effettua uno scan con Panda, come consigliato! 😉


  • Bannato User Attivo

    madonna me ne libererò maiiiiiiiiiiiiiiii
    ma se è ancora lì perché nessuno tra tutti sti programmi me lo segnala????


  • Bannato User Attivo

    che palle però! Per fare la scansione on line con panda vuole internet explorer!!!! E come faccio ad aprire quel colabrodo proprio adesso!!!


  • Consiglio Direttivo

    Se hai attivo il ripristino configurazioni di sistema, puoi provare con un ripristino da:

    Start --> Programmi --> Accessori --> Utilita' di sistema --> Ripristino di configurazioni di sistema!

    Vai su: "Ripristina uno stato precedente del computer"! Scegli un punto di ripristino, selezionando una data disponibile "non recente"...


  • Bannato User Attivo

    no, il mio ragazzo me l'ha lasciato disattivato per non ripristinare eventualmente schifezze varie!
    cmq
    sono facendo tramite Avant Browser a fare la scansione on line da Panda dei miei dischi, ma Avira è impazzitooooo
    mi segna virus!! sono falsi positivi veroooooooooooo


  • Bannato User Attivo

    se va avanti così domani veramente mi faccio aiutare per formattareeeeeeeeeeeee
    ecco mentre sta facendo la scansione, mi segnala la presenza di uno spyware, ma non l'ha eliminato! allora che faccio io????


  • Consiglio Direttivo

    @Vale76 said:

    sono facendo tramite Avant Browser a fare la scansione on line da Panda dei miei dischi, ma Avira è impazzitooooo
    mi segna virus!! sono falsi positivi veroooooooooooo

    Guarda, non so se non falsi o meno; attendi la fine della scansione di Panda! 🙂


  • Bannato User Attivo

    ma sono normali 1030 tentativi d'intrusione bloccati in sole 10 ore??????


  • Consiglio Direttivo

    @Vale76 said:

    se va avanti così domani veramente mi faccio aiutare per formattareeeeeeeeeeeee
    ecco mentre sta facendo la scansione, mi segnala la presenza di uno spyware, ma non l'ha eliminato! allora che faccio io????

    Aspetta che Panda finisca la scansione!

    Non capisco la scelta di disattivare il ripristino configurazioni di sistema; poteva esserti molto utile, cmq... vediamo cosa riesce a fare Panda! 🙂


  • Bannato User Attivo

    perché allora è la prima cosa che consigliano quando c'è sospetto di infezione?


  • Consiglio Direttivo

    @Vale76 said:

    perché allora è la prima cosa che consigliano quando c'è sospetto di infezione?

    Infatti, è giusto disattivarlo, quando c'è sospetto di infezione, ma dopo aver debellato il virus, bisogna riattivarlo;cmq vediamo un po' cosa riesce a fare Panda!