PDA

View Full Version : WinMoviePlugIn / www.skymasters.biz?2015

hackboyz
31-08-2005, 22:20
Allora mi trovo un fastidiosissimo dialer/adware o quel che è

Sul desktop ci sono questi due cosi

http://img38.imageshack.us/img38/4270/immagine0ii.jpg

E sono presenti anche in altre cartelle e vabbeh tanto sono link

All'avvio mi si apre una finestra e che mi fa aprire IE (in realtà io uso Maxthon) verso un sito porno

Ho fatto una ricerca sia con Google che sul forum ed è qualcosa di noto, ma provando coi metodi suggeriti (tra i quali anche questo manuale: http://www.megalab.it/articoli.php?id=690) non sono venuto a capo di nulla... ho provato in modalità provvisoria SpyBot, Ad-Aware ed altri ma nulla

Vi allego il log di hijackthis, rispetto ad altri viste in giro da me c'è molta meno roba, ma anche togliendoli manualmente nulla


Logfile of HijackThis v1.99.1
Scan saved at 23.06.30, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programmi\ITE\Smart Guardian\ITESmart.exe
E:\WINDOWS\system32\sysmon.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Winamp\winamp.exe
E:\Programmi\Maxthon\Maxthon.exe
E:\Documents and Settings\Marco\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmartGuardian] E:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\system32\sysmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Copia di Winamp.lnk = E:\Programmi\Winamp\winamp.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe


Ah il dialer o quel che è si trova in windows/system32 e si chiama sysfind.exe
andorra24
31-08-2005, 22:27
Fixa:
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\system32\sysmon.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
Fai una scansione con ewido:http://download.ewido.net/ewido-setup.exe
juninho85
31-08-2005, 22:32
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz


;)
andorra24
31-08-2005, 22:36
Se non riesci a risolvere in modalita' normale prova anche in modalita' provvisoria e con il ripristino di sistema disattivato
juninho85
31-08-2005, 22:37
Fixa:
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\system32\sysmon.exe

è un processo di windows xp
hackboyz
31-08-2005, 22:43
è un processo di windows xp
Già ma cliccandoci sopra mi riporta tutto come prima, è lui l'infame, mi sa che ha ragione


Con hijackthis avevo già fixato le cose sospette ma ogni volta che riavvivavo mi si ripresentavano, ho fatto anche ricerche sul registro ma nulla

Ora provando a cliccare su sysmon in effetti sono ricomparse tutte

A questo punto lo disattivo e vediamo che succede
andorra24
31-08-2005, 22:44
è un processo di windows xp
Qui dicono di no:
http://www.tasklist.org/task_sysmon_exe_3338.html
http://castlecops.com/s3648-sysmon_exe.html
http://vil.nai.com/vil/content/v_100381.htm
http://www.greatis.com/appdata/d/s/sysmon.exe.htm
Comunque consiglio una scansione antivirus: http://www.bitdefender.com/scan8/ie.html
juninho85
31-08-2005, 22:48
hai ragione,il componente di win xp ha estensione .ocx non .exe ;)
FOXYLADY
31-08-2005, 22:51
Qui dicono di no:
http://www.tasklist.org/task_sysmon_exe_3338.html
http://castlecops.com/s3648-sysmon_exe.html
http://vil.nai.com/vil/content/v_100381.htm
http://www.greatis.com/appdata/d/s/sysmon.exe.htm
Comunque consiglio una scansione antivirus: http://www.bitdefender.com/scan8/ie.html

E' anche un processo di windows
http://www.processlibrary.com/directory/files/sysmon/index.php
è da verificare se la posizione in system32 sia corretta, ma mi sembra di si.

Ciao
andorra24
31-08-2005, 22:54
Una bella scansioncina antivirus non gli fara' male. ;)
juninho85
31-08-2005, 22:56
il sysmon aveva estensione .exe nei precendenti sistemi operativi,da win xo in poi ha estensione .ocx ma ha comunque le funzioni dei precendenti .exe
FOXYLADY
31-08-2005, 23:02
Una bella scansioncina antivirus non gli fara' male. ;)

Si, in effetti non mi sembra normale che sia inserito tra gli startup e poi come ha detto juninho l'estensione dovrebbe essere .ocx.
Segnalo comunque che l'analizzatore automatico lo rileva come sicuro, stiamo a vedere...

Ciao
kizze
31-08-2005, 23:46
Allora mi trovo un fastidiosissimo dialer/adware o quel che è

Sul desktop ci sono questi due cosi

http://img38.imageshack.us/img38/4270/immagine0ii.jpg

E sono presenti anche in altre cartelle e vabbeh tanto sono link

All'avvio mi si apre una finestra e che mi fa aprire IE (in realtà io uso Maxthon) verso un sito porno

Ho fatto una ricerca sia con Google che sul forum ed è qualcosa di noto, ma provando coi metodi suggeriti (tra i quali anche questo manuale: http://www.megalab.it/articoli.php?id=690) non sono venuto a capo di nulla... ho provato in modalità provvisoria SpyBot, Ad-Aware ed altri ma nulla

Vi allego il log di hijackthis, rispetto ad altri viste in giro da me c'è molta meno roba, ma anche togliendoli manualmente nulla


Logfile of HijackThis v1.99.1
Scan saved at 23.06.30, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programmi\ITE\Smart Guardian\ITESmart.exe
E:\WINDOWS\system32\sysmon.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Winamp\winamp.exe
E:\Programmi\Maxthon\Maxthon.exe
E:\Documents and Settings\Marco\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmartGuardian] E:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\system32\sysmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Copia di Winamp.lnk = E:\Programmi\Winamp\winamp.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe


Ah il dialer o quel che è si trova in windows/system32 e si chiama sysfind.exe
E' UN MALWARE SGRUNT/MASTER 69...CAVOLO OGNI VOLTA CAMBIA NOME.
VA BE, LATUA SOLUZIONE E' SCARICA DA QUI (http://www.francydelorenzi.it/Sicurezza/Spyware/killsgrunt/51/) IL PROGRAMMA KILLSGRUNT..MEGLIO SE LO LANCI DISATTIVANDO IL RIPRISTINO..
SALUTI AL FORUM... :D :D
hackboyz
01-09-2005, 07:49
Allora killsgrunt è comodo perchè leva tutto in auto, ma non leva sysmon.exe che come dicevo sopra è quello che all'avvio riporta tutto come prima

Quindi da msconfig ho tolto all'avvio sysmon.exe e l'ho cancellatto dalla cartella system32

Per ora sembra tutto risolto, grazie a tutti ;) :cool: