Help:spyware immortale!

[maxgenio]

Sono qui non per chiedere aiuto, per SUPPLICARE voi esperti ad aiutarmi a risolvere questo che ormai non è più un problema, è un supplizio, un dramma.
Ieri, visto che sono un pirla, ho scaricato un programma di masterizzazione (Magic Iso) da bittorrent ed ho avviato l'installazione SOLO dopo aver passato al setaccio l'exe con l'antivirus (aggiornato giornalmente).
Tranquillo quindi ho lanciato l'installazione scoprendo però poi un'interfaccia molto Win 3.11. La strana sensazione è diventata terrore quando l'icona dello scudo rosso dell'avviso di protezione di windows è comparsa, ed ha iniziato pure a moltiplicarsi inspiegabilmente. Ho bloccato subito l'installazione ma il danno già c'era. Il suddetto scudino mi segnalava che sia il firewall che l'fprot erano disattivati. Inutile dirvi che personalmente non ho disattivato niente.
Non posso entrare nelle impostazioni del firewall di windows, pena messaggio d'errore, e l'antivirus sembra in realtà attivo.
Da quel momento ogni volta che accendo il pc si presenta la situazioni che ho documentato con immagini di seguito. Carica molto più del solito, compaiono i vari scudi che si riducono al singolo della foto e niente firewall, in più si apre sempre nell'explorer la cartella di windows.
AdAware, Spybot, scansione completa hd, Windows Malware Removal Tool... Niente è riuscito, nemmeno da modalità provvisoria, a risolvere.
Posto anche l'immagine con i processi del task manager, segnalando che alcune voci in fondo sono nuove e posso terminarle o disattivare il processo anche mille volte ma ricompaiono sempre.
CHE FACCIO?

[maxgenio]

mi sa che da bravo pirla (doppio) ho postato qui anziché in Sicurezza. Se serve spostate pure, e scusate ma sono in stato confusionale...

[maxgenio]

Questo è il log di Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 16.54.32, on 12/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5335.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\TCtrlIOHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray. exe
C:\Utility\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Utility\Logitech\Video\LogiTray.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Utility\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.e xe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.e xe
C:\WINDOWS\system32\prtcom.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Utility\VMware\VMware Player\vmware-authd.exe
C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Opera 9 Beta\Opera.exe
C:\Documents and Settings\Max\Desktop\hijackthis\HijackTh is.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=5 4729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=5 4896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=5 4896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=5 5245&clcid={SUB_CLCID}
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Utility\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] " C:\Programmi\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TCtryIOHook] c:\WINDOWS\System32\TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [F-StopW] C:\Utility\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAge nt
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Utility\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Utility\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] C:\WINDOWS\
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.e xe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Utility\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Utility\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi1 50_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi1 50_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .exe: C:\Utility\Opera\PLUGINS\NPNTCatcher.dll
O12 - Plugin for .pps: C:\Utility\Opera\PLUGINS\NPNTCatcher.dll
O12 - Plugin for .zip: C:\Utility\Opera\PLUGINS\NPNTCatcher.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=3 9204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Min eSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5 consumer/V5Controls/en/x86/client/wuweb_ site.cab?1112494017567
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes sengerStatsClient.cab31267.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins /ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{307A2 765-DA43-4825-97EB-957F72D3A3A0}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB7D2 692-BB8D-45F4-95BE-0B5711D8C2EB}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.e xe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINDOWS\system32\prtcom.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax - Unknown owner - C:\Utility\Autodesk\3dsMax8\mentalray\sa tellite\raysat_3dsmax8server.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Utility\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

[Sticky©]

Intanto sposto e mi leggo con calma il log.

Intanto che pelo le patate da friggere per stasera e do' un' occhiata al log, fai una bella scansione da questo sito, rigorosamente con Internet Explorer.

Ho avuto modo di malfidare del F-Prot. Una volta era molto piu' buono...

[blue_tech]

Nockmaar ha scritto gio, 11 maggio 2006 alle 19:37
Intanto sposto e mi leggo con calma il log.

Intanto che pelo le patate da friggere per stasera e do' un' occhiata al log, fai una bella scansione da questo sito, rigorosamente con Internet Explorer.

Ho avuto modo di malfidare del F-Prot. Una volta era molto piu' buono...

Oltre a quotare nock, scaricati anche questo (è free tranne per il controllo in tempo reale che si disattiva dopo 15gg) e fai una scansione completa

-> http://www.ewido.net/en/

[blue_tech]

- C:\WINDOWS\system32\prtcom.exe (virus)

- O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe (sospetto, mi rimetto a nock)

- O4 - HKLM\..\Run: [Microsoft Update] C:\WINDOWS\ (mi viene il sospetto che sia quello che ti apre la cartella di windows )

- O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins /ncs.cab (se non conosci il sito eliminala)

- O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINDOWS\system32\prtcom.exe (virus)

- O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.e xe (sospetto, mi rimetto a nock)

- O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax - Unknown owner - C:\Utility\Autodesk\3dsMax8\mentalray\sa tellite\raysat_3dsmax8server.exe (sospetto, mi rimetto a nock)

Il resto mi sembra ok vediamo ora che ne pensa nock

[Sticky©]

blue_tech ha scritto gio, 11 maggio 2006 alle 20:31
- C:\WINDOWS\system32\prtcom.exe (virus)

- O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe (sospetto, mi rimetto a nock)

- O4 - HKLM\..\Run: [Microsoft Update] C:\WINDOWS\ (mi viene il sospetto che sia quello che ti apre la cartella di windows )

- O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins /ncs.cab (se non conosci il sito eliminala)

- O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINDOWS\system32\prtcom.exe (virus)

- O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.e xe (sospetto, mi rimetto a nock)

- O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax - Unknown owner - C:\Utility\Autodesk\3dsMax8\mentalray\sa tellite\raysat_3dsmax8server.exe (sospetto, mi rimetto a nock)

Il resto mi sembra ok vediamo ora che ne pensa nock

2 indizi fanno una prova. Direi che i due su cui non sei sicuro fanno parte delle utility Toshiba.

Il 3o dovrebbe essere Autodesk 3D Map.



Microsoft Update mi puzza, sia perche' non lo vedo, sia perche' solitamente i processi di Autoaggiornamento vengono indicati come "Windows Update" e non "Microsoft Update".

[maxgenio]

Allora:
intanto vi ringrazio davvero per la risposta. Ieri sera mi sono messo sotto con l'hijackthis ed in effetti ho rimosso alcune delle voci sopraindicate e qualcosa ho risolto.
Intanto non si apre più la cartella di Windows e ho eliminato le voci di alcuni eseguibili che l'antivirus aveva prontamente rimosso.
Come notato in esecuzione ci sono alcune utility toshiba ma son lì da sempre.
Mentre Trend Micro cerca nel mio hd vi illumino sui rimanenti dubbi: mi sembra che il pc "gratti" comunque più del solito all'avvio e rimane comunque la stranezza della disattivazione del firewall di windows (che avviene comunque dopo un 10-15 secondi dall'avvio dello stesso winzozz, come se l'ultimo eseguibile o operazione ad avviarsi combini il casotto).
Come posso riavviare il firewall? Quando provo ad accedervi dal pannello di controllo mi dice "impossibile visualizzare le impostazioni di windows firewall. Si è verificato un problema non identificato"

[maxgenio]

Che lotta...
Trend Micro mi ha segnalato 2 virus/spyware/greyware, rimuovendo il primo e dando un errore sul secondo. E te pareva?
Si chiama TROJ_SE.69649 e non riesce a pulirlo perché "the current pattern does not support cleanup", neanche provando manualmente a selezionarlo nella lista e spuntare la X per la cancellazione.
Che devo fare?! Dalla modalità provvisoria non ho internet quindi niente antivirus online...

[blue_tech]

maxgenio ha scritto ven, 12 maggio 2006 alle 13:05
Che lotta...
Trend Micro mi ha segnalato 2 virus/spyware/greyware, rimuovendo il primo e dando un errore sul secondo. E te pareva?
Si chiama TROJ_SE.69649 e non riesce a pulirlo perché "the current pattern does not support cleanup", neanche provando manualmente a selezionarlo nella lista e spuntare la X per la cancellazione.
Che devo fare?! Dalla modalità provvisoria non ho internet quindi niente antivirus online...

Qual'è il file che ti rileva come infetto?

EDIT: hai fatto la scansione con ewido?

[maxgenio]

blue_tech ha scritto ven, 12 maggio 2006 alle 13:50
Qual'è il file che ti rileva come infetto?

EDIT: hai fatto la scansione con ewido?

Magari 'sto 'stardo mi dicesse quale cavolarola è il file (scusate la viuulenza ma ormai sto sclerando).
Ewido sta girando ora.
Per la cronaca ho eliminato 2 processi che dipendevano dal file FireDaemon.exe che si era piazzato nella cartella windows\security , usando prima il comando "firedaemon -u nomeservizio" poi cancellando l'exe.Speremo sia servito a qualcosa, appena ewido finisce riavvio