Aiuto spyreware

[Bobo]

Ciao, temo di aver fatto una vaccata incredibile, e mi stupisco di come possa esserci cascato...

Stavo vedendo un filmato on line, quando mi è comparsa una scritta in cui mi si diceva che fosse necessario un codec per vederlo. La cosa strana, che avrebbe dovuto farmi insospettire, è che direttamente cliccando sul link iniziava il download di un .exe, che doveva essere il codec. Ho controllato questo file con l'antivirus e mi ha detto che era ok, quindi l'ho installato.
Al momento sembrava tutto a posto (il filmato è partito allegramente), però subito dopo si è aperta questa finestrella, collegata all'iconcina evidenziata:



Premendo sulla finistrella si apre un link ad una serie di programmi antispyreware, che si possono scaricare per una scansione gratuita (trovano immediatamente, e la cosa è strana, alcune voci dannose ma poi richiedono email e codice per eliminare le minacce).
Mi si è aperto un popup di un altro programma di sicurezza, e successivamente un altro, identico, ma di roba porno... insomma, l'impressione che ho avuto è che questa improvvisa "premura" nei confronti della mia sicurezza sia in realtà legata direttamente al problema. La cosa che mi da qualche dubbio è solo una: ieri sera ho aggiornato win, e quindi all'inizio avevo pensato che tutto questo fosse semplicemente un'evoluzione del centro di sicurezza, mentre ora credo che non sia così...
Ah, mi sono ritrovato 2 nuove icone sul desk, entrambe con lo "scudo" tipico del centro di sicurezza di windows: "Online Security Guide" e "Security Troubleshooting".

Non so se me le ha installate al momento dell'aggiornamento (non ci ho fatto caso, al momento), oppure se sono anche loro legate al fattaccio

Mi si apre anche una notifica, e cliccando sulla nuvoletta vengo mandato all'ennesima pagina dell'ennesimo programma (con cui fare una scansione gratuita dopo averlo scaricato, come sopra)...



Beh, ho fatto una passata sia con Spy-Bot che con Ad-adware, ed ho eliminato un po' di roba. Poi ho usato il norton ma non mi ha trovato nulla. Ora sto facendo una scansione on-line con panda antivirus, e per adesso mi ha giù trovato 11 spyreware e 2 strumenti di hacking, ma essendo la scansione gratuita non me li elimina...

Che mi consigliate?
Grazie.

[Sticky©]

Primo, le scansioni online ti consiglio di farle dal sito della Trendmicro ( molto migliore del Panda ).

Poi, scaricati Hijackthis! e, o posti il log nell' apposito form sul sito, oppure lo posti qui e vediamo noi di darci un' occhiata.

Comunque molto probabilmente tra i files infetti c' e' un certo mssearchnet.exe se e' lo spyware che penso io.

Sicuramente ci saranno anche altre voci di registro da eliminare.

[Bobo]

Per ora posto il rapporto del panda, se può servire.
Ora provo a dare una passata con bitdefender ed Ewido, e vediamo un po'...

http://otakar.altervista.org/Varie/Activ escan.txt

[Sticky©]

Bobo ha scritto mer, 26 aprile 2006 alle 19:22
Per ora posto il rapporto del panda, se può servire.
Ora provo a dare una passata con bitdefender ed Ewido, e vediamo un po'...

http://otakar.altervista.org/Varie/Activ escan.txt

Mi raccomando Hijackthis

[Bobo]

Nockmaar ha scritto mer, 26 aprile 2006 alle 19:24

Bobo ha scritto mer, 26 aprile 2006 alle 19:22
Per ora posto il rapporto del panda, se può servire.
Ora provo a dare una passata con bitdefender ed Ewido, e vediamo un po'...

http://otakar.altervista.org/Varie/Activ escan.txt

Mi raccomando Hijackthis

Si, lo sto prendenro

Cmq pare che il panda e bitdefender abbiano risolto il problema. Poi ho passato anche ewido, che mi ha trovato 72 cose (e se consideriamo che prima avevo controllato il disco con ben 5 programmi diversi, la cosa è incredibile ).

Senti, ma quell'antivirus online che mi hai segnalato elimina tutto quello che trova o funziona anche lui come il panda (ovvero, ti segnala tutto quello che ha trovato, ma elimina solo i virus...)?

[Bobo]

Ok, ecco il log del programma:

http://otakar.altervista.org/Varie/hijac kthis.log

L'ho messo nel form che mi hai segnalato, ed è uscita fuori una sola voce segnalata come davvero pericolosa (ce ne sono un paio che non conoscono, ma in realtà è il programmino del mio joypad, ed altre potenzialmente pericolose).
Ma ora cosa dovrei fare? Cancellarla manualmente dal registro?

Grazie ancora

[blue_tech]

Bobo ha scritto gio, 27 aprile 2006 alle 12:52
Ok, ecco il log del programma:

http://otakar.altervista.org/Varie/hijac kthis.log

L'ho messo nel form che mi hai segnalato, ed è uscita fuori una sola voce segnalata come davvero pericolosa (ce ne sono un paio che non conoscono, ma in realtà è il programmino del mio joypad, ed altre potenzialmente pericolose).
Ma ora cosa dovrei fare? Cancellarla manualmente dal registro?

Grazie ancora

non si vede

cmq per eliminarlo devi fixarlo con hijackthis, non serve che vai manualmente nel registro...

[blue_tech]

non so il perchè del doppio post
cmq ho tolto la sign così da meno fastidio

[Bobo]

blue_tech ha scritto gio, 27 aprile 2006 alle 14:11

Bobo ha scritto gio, 27 aprile 2006 alle 12:52
Ok, ecco il log del programma:

http://otakar.altervista.org/Varie/hijac kthis.log

L'ho messo nel form che mi hai segnalato, ed è uscita fuori una sola voce segnalata come davvero pericolosa (ce ne sono un paio che non conoscono, ma in realtà è il programmino del mio joypad, ed altre potenzialmente pericolose).
Ma ora cosa dovrei fare? Cancellarla manualmente dal registro?

Grazie ancora

non si vede

cmq per eliminarlo devi fixarlo con hijackthis, non serve che vai manualmente nel registro...

Boh, io lo vedo

Buono a sapersi, perchè di mettere direttamente mani nel registro non mi andava
In ogni caso è sempre meglio fare un backup del registro immagino... basta andare con regedit ed esportare tutto, giusto?

Cmq...

Logfile of HijackThis v1.99.1
Scan saved at 13.00.25, on 27/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Sicurezza\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Sicurezza\ewido anti-malware\ewidoguard.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusche d.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\UTILIT~1\HELPEX~1\SMARTB~1\M otiveSB.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Softwin\BitDefender8\bdnage nt.exe
C:\Programmi\Internet\LeechGet 2004\LeechGet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
C:\Programmi\Periferiche\Trust\Sight Fighter Digital Plus\Gwactive.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Sicurezza\Norton Internet Security 2004\Norton AntiVirus\navapsvc.exe
C:\Programmi\Utilità\Manutenzione\Regist ry Defragmentation\RegManServ.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet\Mozilla\Mozilla Firefox\firefox.exe
C:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpAB82.tmp
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Sicurezza\Norton Internet Security 2004\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Sicurezza\Norton Internet Security 2004\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusche d.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\UTILIT~1\HELPEX~1\SMARTB~1\M otiveSB.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BDNewsAgent] " C:\Programmi\Softwin\BitDefender8\bdnage nt.exe "
O4 - HKCU\..\Run: [LeechGet] "C:\Programmi\Internet\LeechGet 2004\LeechGet.exe" -intray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
O4 - Global Startup: Sight Fighter Digital Plus.lnk = C:\Programmi\Periferiche\Trust\Sight Fighter Digital Plus\Gwactive.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCE L.EXE/3000
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\Internet\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\Internet\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\Internet\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi1 50_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi1 50_06.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.D LL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/ as5free/asinst.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/ unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6B2 DD8-10B0-44E9-ADA1-C3B0C3248E1A}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\Sicurezza\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\Sicurezza\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Sicurezza\Norton Internet Security 2004\Norton AntiVirus\navapsvc.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programmi\Utilità\Manutenzione\Regist ry Defragmentation\RegManServ.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Sicurezza\Norton Internet Security 2004\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\S BServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[blue_tech]

Allora direi che queste sono abbastanza sospette:

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpAB82.tmp

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6B2 DD8-10B0-44E9-ADA1-C3B0C3248E1A}: NameServer = 62.211.69.150 212.48.4.15

vediamo se mi conferma qualcuno prima di fixarli