PDA

View Full Version : Problema rimozione spyware

kjing
18-02-2008, 21:30
Ciao a tutti,
vado subito al punto.
E' da un paio di giorni che ogni 15-20 minuti mentre navigo in internet (ma anche no) mi si aprono pagine web del tipo:

http://phone-mobile.blogspot.com/
http://smart-antivirus.blogspot.com/

e altre...

Ho fatto una scansione con avg anty-spyware,ad-ware,counterspy,a-squared anty-malware e spybots risultato? Ancora come prima...

Mi potete aiutare?
Chill-Out
18-02-2008, 22:00
Segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando i log secondo le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)
kjing
18-02-2008, 22:47
Segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando i log secondo le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)

grazie per la risposta, ma penso di aver risolto con hijackthis
deneb87
18-02-2008, 23:16
grazie per la risposta, ma penso di aver risolto con hijackthis

appunto pensi, se invece ne vuoi essere sicuro, seguire il procedimento indicato da Chill non fa male al tuo pc :p
xcdegasp
19-02-2008, 14:30
meglio così :D
kjing
19-02-2008, 18:13
Confermo la totale disinfestazione per quello spyware ;)

Ecco il log infetto:

Logfile of HijackThis v1.99.1
Scan saved at 21.47.14, on 18/02/2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
e:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Eset\nod32kui.exe
E:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\system32\isys32.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Program Files\iPod\bin\iPodService.exe
E:\Program Files\Opera 9.5 beta\opera.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Documents and Settings\Stefano\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA5E23E045} - (no file)
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "E:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MonAppli] C:\Windows\system32\isys32.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1199215715812
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1077275B-DF0C-4DE4-B823-F4E2918A385B}: NameServer = 212.216.172.62 212.216.172.162
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - e:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - e:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - E:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe

E questo e' quello che ho fixato per risolvere.

C:\Windows\system32\isys32.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA5E23E045} - (no file)

O4 - HKLM\..\Run: [MonAppli] C:\Windows\system32\isys32.exe

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
deneb87
19-02-2008, 18:17
potresti anche far analizzare il file

C:\Windows\system32\isys32.exe

su virustotal

ed eventualmente rimuoverlo con avenger, per sconiurare qualsiasi pericolo :D
kjing
19-02-2008, 18:28
potresti anche far analizzare il file

C:\Windows\system32\isys32.exe

su virustotal

ed eventualmente rimuoverlo con avenger, per sconiurare qualsiasi pericolo :D

Questo e' il log ora:

Logfile of HijackThis v1.99.1
Scan saved at 18.27.50, on 19/02/2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
E:\Program Files\Opera 9.5 beta\opera.exe
C:\Documents and Settings\Stefano\Desktop\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "E:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199215715812
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1077275B-DF0C-4DE4-B823-F4E2918A385B}: NameServer = 212.216.172.62 212.216.172.162
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - e:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - E:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe


Non ho fixato:
C:\Windows\system32\isys32.exe
Ma a quanto pare non c'e' piu :/
Nuz
19-02-2008, 18:30
Per curiosità puoi controllare se il file è presente nel percorso indicato?

C:\Windows\system32\isys32.exe
_Magellano_
19-02-2008, 18:31
Scusate la domanda da novizio ma questo hijiack this cos'è di preciso? ne sento parlare molto ma non riesco a trovare informazione esaudienti purtroppo.
deneb87
19-02-2008, 18:35
Non ho fixato:
C:\Windows\system32\isys32.exe
Ma a quanto pare non c'e' piu :/

su Hijack non compare perchè ne hai cancellato la voce che lo chiama in run. devi ora controllare se il file è presente nella cartella system32 :D

Scusate la domanda da novizio ma questo hijiack this cos'è di preciso? ne sento parlare molto ma non riesco a trovare informazione esaudienti purtroppo.
E' un programma, con anche altre funzioni, ideale per analizzare tutti i processi, servizi richiamati da windows. E permette di eliminare tutto ciò che è indesiderato e/o superfluo
murack83pa
19-02-2008, 18:37
Scusate la domanda da novizio ma questo hijiack this cos'è di preciso? ne sento parlare molto ma non riesco a trovare informazione esaudienti purtroppo.

guarda qui:
http://www.ilsoftware.it/querydl.asp?ID=754

e qui:
http://www.ilsoftware.it/articoli.asp?ID=2459

anche qui:
http://www.megalab.it/articoli.php?id=453

:D
kjing
19-02-2008, 18:38
Per curiosità puoi controllare se il file è presente nel percorso indicato?

C:\Windows\system32\isys32.exe

il file c'e' ancora... Eccolo:

http://img88.imageshack.us/img88/8537/axazna4.th.jpg (http://img88.imageshack.us/my.php?image=axazna4.jpg)

Ecco il responso da virustotal:

http://www.virustotal.com/it/analisis/5f323171da3ddc305462bf0e59ded9ec
deneb87
19-02-2008, 18:44
oltre a essere la causa dei tuoi problemi, da alcuni av è segnalato con Trojan.Downloader (non mi è nuovo questo nome ma ora non mi sovviene niente :help: )

direi di eliminarlo o manualmente, o con avenger con lo script

Files to delete:
C:\Windows\system32\isys32.exe
Nuz
19-02-2008, 18:49
La risposta è quella che mi aspettavo. Il fix delle voci O4, e non solo, non rimuove i file infetti.
Visto che anche nel thread di HiJackThis avevo notato la cosa allora lo scrivo sperando che possa essere utile.;)
murack83pa
19-02-2008, 18:51
La risposta è quella che mi aspettavo. Il fix delle voci O4, e non solo, non rimuove i file infetti.
Visto che anche nel thread di HiJackThis avevo notato la cosa allora lo scrivo sperando che possa essere utile.;)

quindi hijackthis nn è in grado di rimuovere i file infetti dei programmi in avvio...giusto,nuz?
Nuz
19-02-2008, 18:58
A volte riesce a rimuovere i file se sono attivi, ma quello a cui puntano le voci O4 non le rimuove.
In questo caso non ha rimosso il file infetto (che era attivo), ma ne ha solo rimosso l'avvio automatico.
Per le altre voci alle quali non basta il fix (es. O23) devi vedere una guida più dettagliata perchè a memoria non le ricordo tutte.
kjing
19-02-2008, 18:59
oltre a essere la causa dei tuoi problemi, da alcuni av è segnalato con Trojan.Downloader (non mi è nuovo questo nome ma ora non mi sovviene niente :help: )

direi di eliminarlo o manualmente, o con avenger con lo script

Files to delete:
C:\Windows\system32\isys32.exe

Perfetto, eliminato con the avenger

@Nuz: Ah, non lo sapevo.