PDA

View Full Version : Programma che si è installato da solo

nicola5154
07-05-2007, 21:53
il bastardo è quello segnato dalla freccetta....si è installato in seguito all'apertura di un sito assieme ad una miriade di toolbar per ie....ho scansionato con spybot e con ad-aware e tutte le barre e cose varie se ne sono andate.
Ma quello rimane, in installazione applicazione non c'è, e sembra non esserci neanche in task manager...con cosa passo per pulire??

http://img502.imageshack.us/img502/4261/infezionebz3.jpg
nicola5154
07-05-2007, 22:00
ecco un messaggio che esce ogni tanto
http://img100.imageshack.us/img100/4576/immaginega8.jpg


ed ecco il sito che apre se clicco sopra all'icona.

http://img443.imageshack.us/img443/1223/immaginepi6.jpg
wizard1993
08-05-2007, 10:22
log hiajckthis
nicola5154
08-05-2007, 10:46
log hiajckthis


appena torno dall'ufficio te lo posto. intanto grazie.
nicola5154
08-05-2007, 11:40
ecco il log

Logfile of HijackThis v1.99.1
Scan saved at 12.39.49, on 08/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Documents and Settings\Apu\Desktop\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1FC80E00-41B0-4F74-BC16-2C83ED49CAC9} - C:\Programmi\Video AX Object\bpvol.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170517465173
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
wearethechampions
08-05-2007, 13:48
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe

sembrerebbe tutto apposto, tranne questi che sono prg che non conosco....non fixarli, aspettiamo il parere di qualcuno più esperto
nicola5154
08-05-2007, 14:05
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe

sembrerebbe tutto apposto, tranne questi che sono prg che non conosco....non fixarli, aspettiamo il parere di qualcuno più esperto

speedswitchxp è un programma per il downclock automatico della cpu
wearethechampions
08-05-2007, 14:17
speedswitchxp è un programma per il downclock automatico della cpu

ora c'è da vedere l'altro
wizard1993
08-05-2007, 14:23
ora c'è da vedere l'altro

scan onlie con eido e asquared
sampei.nihira
08-05-2007, 15:20
Prova SUPERANTISPYWARE prima aggiorna e poi fai lo scan in modalità approfondita.
La rimozione dei malwares trovati sarà terminata con una riaccensione del pc.
forum1
08-05-2007, 15:25
Prova con rogueremover

http://www.malwarebytes.org/



http://www.xp-vista.com/spyware-removal/spylocked-removal-instructions

http://www.bleepingcomputer.com/forums/topic85376.html

Voci Sospette ( a parer mio)

C:\WINDOWS\system32\wscntfy.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe

Forse anche questa ma non sono sicuro

C:\WINDOWS\system32\WPDShServiceObj.dll

Anche se può essere legittimo ho trovato anche che:

Some malware camouflage themselves as WPDShServiceObj.dll, particularly if they are located in c:\windows or c:\windows\system32 folder. Thus check the WPDShServiceObj.dll process on your pc whether it is pest.
nicola5154
08-05-2007, 16:28
ora provo con tutto quello che mi avete consigliato.
nicola5154
08-05-2007, 16:39
rogue remover l'ha seccato subito.
ma che programma posso usare per evitare ancora sti casini?
wizard1993
08-05-2007, 16:50
rogue remover l'ha seccato subito.
ma che programma posso usare per evitare ancora sti casini?

che configurazione di sicurezza hai?
nicola5154
08-05-2007, 16:57
che configurazione di sicurezza hai?

kav e firewall hw del router.
juninho85
08-05-2007, 19:39
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WPDShServiceObj.dll


questi non vanno eliminati,son legittimi
wearethechampions
08-05-2007, 19:46
questi non vanno eliminati,son legittimi

concordo
forum1
09-05-2007, 08:43
questi non vanno eliminati,son legittimi

Però avevo letto da qualche parte che alcuni malware si camuffano o alterano questi files legittimi. Un controllino su virustotal.com non fa mai male.
juninho85
10-05-2007, 08:33
Però avevo letto da qualche parte che alcuni malware si camuffano o alterano questi files legittimi. Un controllino su virustotal.com non fa mai male.
quoto....comunque se per "qualche parte" intendi linutities,beh in quel sito mettono sempre le mani avanti,nel senso che qualsiasi file tu ricerchi loro ti informano che lo stesso nome file potrebbe indicare dei contenuti maligni
black92
10-05-2007, 10:16
scarica e utilizza SmitFraudFix, con quello risolvi sicuramente :)