PDA

View Full Version : your computer is infected!

miaghy7
21-02-2006, 10:56
Ragazzi mi compare in basso a destra un pallino rosso con un punto esclamativo e passandoci sopra mi appare la scritta"your computer is infected"


vi posto qui il risultato di hijackthis........aiutatemi!


Logfile of HijackThis v1.99.1
Scan saved at 10.53.30, on 21/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\LEXPPS.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
E:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\MsPMSPSv.exe
E:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe
E:\Programmi\Internet Explorer\iexplore.exe
E:\WINDOWS\System32\msiexec.exe
E:\Programmi\MSN Messenger\msnmsgr.exe
E:\Programmi\Internet Explorer\iexplore.exe
E:\Documents and Settings\Asuka\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [intell321.exe] E:\WINDOWS\System32\intell321.exe
O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - E:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
andorra24
21-02-2006, 11:04
Fixa:
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [intell321.exe] E:\WINDOWS\System32\intell321.exe
O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe

Metti al piu' presto il SP2 e la prossima volta il log devi postarlo nell'apposito thread in rilievo dedicato ad hijackthis.
fester40
21-02-2006, 11:13
edit
blacko
21-02-2006, 12:32
è successo anche a me! nn sono riuscito a fare nulla se non pararmi il fondoschiena con il ripristino del sistema ( fortunatamente windows mi era crashato il giorno prima... w microsoft ^^ ) :stordita:
Stev-O
21-02-2006, 12:40
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

questa qua ho notato che a volte si toglie e a volte no: siccome amo che 2+2 faccia sempre 4, vorrei capirne la ragione :)
svetonio
21-02-2006, 12:51
http://www.bleepingcomputer.com/forums/topic40303.html
Stev-O
21-02-2006, 13:04
:confused:
miaghy7
21-02-2006, 13:10
[QUOTE=andorra24]Fixa:
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe



devo eliminarli manualmente? nell'elnco di HT nn li trovo.
andorra24
21-02-2006, 13:17
[QUOTE=andorra24]Fixa:
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe



devo eliminarli manualmente? nell'elnco di HT nn li trovo.
Se non li trovi nell'elenco di hijackthis allora eliminali manualmente. Se dovessero essere duri a morire usa killbox:http://www.bleepingcomputer.com/files/killbox.php
Stev-O
21-02-2006, 14:01
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

questa qua ho notato che a volte si toglie e a volte no: siccome amo che 2+2 faccia sempre 4, vorrei capirne la ragione :)

http://www.bleepingcomputer.com/forums/topic40303.html

non ho capito in che modo sono collegate le 2 cose :confused:
svetonio
21-02-2006, 23:15
Queste parole:
"Ragazzi mi compare in basso a destra un pallino rosso con un punto esclamativo e passandoci sopra mi appare la scritta"your computer is infected"

descrivono SICURAMENTE questo TROJAN http://securityresponse.symantec.com/avcenter/venc/data/trojan.desktophijack.c.html

Se non riesci a risolvere con Hijackthis... segui i consigli della Symantec.

scusate, prima avevo sbagliato link

un saluto
Stev-O
21-02-2006, 23:25
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

questa qua ho notato che a volte si toglie e a volte no: siccome amo che 2+2 faccia sempre 4, vorrei capirne la ragione :)

ok
allora io testone, mi RIQUOTO :cool:
andorra24
21-02-2006, 23:35
ok
allora io testone, mi RIQUOTO :cool:
Che intendi dire ? :)
Stev-O
21-02-2006, 23:38
volevo solo sapere perchè a volte lo si fixa il proxy override e a volte no :)
andorra24
21-02-2006, 23:43
volevo solo sapere perchè a volte lo si fixa il proxy override e a volte no :)
Perche' se uno sta usando un proxy allora non va fixato, se uno non usa nessun proxy e' anomalo ed e' giusto fixarlo
Stev-O
21-02-2006, 23:51
Perche' se uno sta usando un proxy allora non va fixato, se uno non usa nessun proxy e' anomalo ed e' giusto fixarlo

ma cosa cambia? :mbe:
perchè è anomalo?
uno può avere messo un proxy pronto all'uso anche se non lo usa sempre ;)
andorra24
22-02-2006, 00:01
ma cosa cambia? :mbe:
perchè è anomalo?
uno può avere messo un proxy pronto all'uso anche se non lo usa sempre ;)
Purtroppo molti malware si servono di quella voce.
Stev-O
22-02-2006, 00:04
anche se "vuota"? cioè con 127.0.0.1?

vabbè abbiamo capito: d'ora in avanti la togliamo: eventualmente si reinserirà l'indirizzo a mano
andorra24
22-02-2006, 00:07
Se non si usa un proxy non dovrebbe proprio apparire nel log quella voce altrimenti e' stata messa da un malware. Meglio starci attenti.
Stev-O
22-02-2006, 00:15
non saprei: devo indagare
andorra24
22-02-2006, 00:20
non saprei: devo indagare
Mentre stiamo qui a fare filosofemi non sappiamo nemmeno se l'utente e' riuscito a ripulire il pc eliminando quelle voci. :)
Stev-O
22-02-2006, 00:23
indagare nel senso che non vorrei che una volta impostato una volta il proxy il log rimanga anche quando lo cancelli :rolleyes:

non sono filosofemi: stiamo chiarendo un aspetto molto importante riguardo la pratica di fixaggio di hijackthis, utile a tutti. :cool:

e poi, nel mentre che l'amico si fa vivo, gli rinfreschiamo il thread: gli facciamo un favore ;)
andorra24
22-02-2006, 00:31
non sono filosofemi: stiamo chiarendo un aspetto molto importante riguardo la pratica di fixaggio di hijackthis, utile a tutti. :cool:


Si questo e' giusto comunque il problema del log dell' utente era rappresentato soprattutto da queste infezioni e sarei curiosa di sapere se e' riuscito a risolvere:
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [intell321.exe] E:\WINDOWS\System32\intell321.exe
O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe
Stev-O
22-02-2006, 00:49
ma secondo me ha risolto, è facile: basta cancellarli o con tools o da linea di comando o in modalità provvisoria
andorra24
22-02-2006, 01:12
ma secondo me ha risolto, è facile: basta cancellarli o con tools o da linea di comando o in modalità provvisoria
Speriamo bene. Le indicazioni gli sono state fornite tutte.
umile
22-02-2006, 13:53
ragazi anch'io convivo con stò coso da 1 mese! ho provato di tutto ma non se ne và! ora formatterò
Stev-O
22-02-2006, 13:55
hai provato a fare come ti abbiamo detto?
andorra24
22-02-2006, 14:08
ragazi anch'io convivo con stò coso da 1 mese! ho provato di tutto ma non se ne và! ora formatterò
Prova con questo piccolo tool:
http://www.bleepingcomputer.com/files/smitRem.php
svetonio
22-02-2006, 20:03
Queste parole:
"Ragazzi mi compare in basso a destra un pallino rosso con un punto esclamativo e passandoci sopra mi appare la scritta"your computer is infected"

descrivono SICURAMENTE questo TROJAN http://securityresponse.symantec.com/avcenter/venc/data/trojan.desktophijack.c.html

Se non riesci a risolvere con Hijackthis... segui i consigli della Symantec.

scusate, prima avevo sbagliato link

un saluto

PER CHI NON RIESCE A RISOLVERE.....

UP UP UP UP

;)
eraser
23-02-2006, 13:48
Ragazzi mi compare in basso a destra un pallino rosso con un punto esclamativo e passandoci sopra mi appare la scritta"your computer is infected"



guarda, proprio nell'articolo di ieri di Hardware Upgrade tra il 90% delle infezioni c'era proprio questa ;)

Quindi leggi qui, http://www.hwupgrade.it/forum/showthread.php?t=1142673, una volta seguito il procedimento se rimane qualcosa passa cmq in modalità provvisoria.

Vedi che se ne va ;)

Seguo le nuove regole :)

Ciao :)