|
|||||||
|
|
|
 |
|
|
Strumenti |
03-06-2007, 10:22
|
#1 |
|
Senior Member
Iscritto dal: Mar 2004
Città: castel san giorgio(salerno)
Messaggi: 1218
|
WARNING: your computer is infected
Salve a tutti, da qualche giorno sul mio pc appare questa scritta in basso a destra.
Ho fatto varie scansioni con spyware e antivirus ma non ho risolto il problema. Il log di hijackthis è questo: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 11.21.53, on 03/06/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe D:\WINDOWS\Explorer.EXE E:\AntiVir\AntiVir PersonalEdition Premium\avgnt.exe E:\Java\jre1.5.0\bin\jusched.exe D:\Programmi\iTunes\iTunesHelper.exe D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe E:\Java\jre1.5.0\bin\jucheck.exe D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe D:\WINDOWS\system32\ctfmon.exe D:\Programmi\Messenger\msmsgs.exe E:\Acrobat 6.0\Distillr\acrotray.exe D:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe E:\AntiVir\AntiVir PersonalEdition Premium\sched.exe D:\Documents and Settings\Stefano\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe E:\AntiVir\AntiVir PersonalEdition Premium\avguard.exe E:\AntiVir\AntiVir PersonalEdition Premium\avesvc.exe D:\WINDOWS\system32\drivers\CDAC11BA.EXE E:\ewido\ewido anti-spyware 4.0\guard.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\svchost.exe E:\AntiVir\AntiVir PersonalEdition Premium\avmailc.exe D:\Programmi\iPod\bin\iPodService.exe D:\WINDOWS\System32\alg.exe E:\FIREFOX\FIREFOX.EXE D:\Programmi\MSN Messenger\msnmsgr.exe E:\eMule\emule.exe D:\Programmi\MSN Messenger\usnsvc.exe G:\eseguibili e programmi\HiJackThis_v2.exe D:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/MTE3MTA=/2/3948/free1/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: StrangeBho Class - {0B9B7B2E-30E3-4C5D-AD2C-C38724979B4B} - D:\DOCUME~1\Stefano\IMPOST~1\Temp\notepad.dll O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - D:\Documents and Settings\Stefano\522212638.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\Windows Live Toolbar\msntb.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "E:\AntiVir\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [reyovwab] D:\plbclnyi.bat O4 - HKLM\..\Run: [drdpiyev] D:\bmkrhxua.bat O4 - HKLM\..\Run: [sclick] D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe O4 - HKLM\..\Run: [bal] D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe O4 - HKLM\..\Run: [StUnInst] D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programmi\Messenger\msmsgs.exe" /background O4 - HKLM\..\Policies\Explorer\Run: [7H28X9M91L] D:\WINDOWS\winlogon32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = E:\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &Windows Live Search - res://D:\Programmi\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Invia a periferica &Bluetooth... - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{9B9FC3AA-7CEF-4559-9FE8-353EDFEFFECB}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{A58C0B02-683D-4046-B823-E50989A6E094}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{F89BA46D-C600-46C2-AC0F-5B0FF43917E3}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150 O17 - HKLM\System\CS1\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150 O17 - HKLM\System\CS2\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150 O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Apacheds - Apache Software Foundation - E:\apacheds-1.5.0\bin\apacheds.exe O23 - Service: AntiVir Engine Service (AVEService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\ewido\ewido anti-spyware 4.0\guard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - E:\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe (file missing) -- End of file - 8716 bytes |
|
|
|
03-06-2007, 10:51
|
#2 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Spira, Zanarkand
Messaggi: 394
|
Processi da killare ed eliminare:
D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe Voci da fixare: O2 - BHO: StrangeBho Class - {0B9B7B2E-30E3-4C5D-AD2C-C38724979B4B} - D:\DOCUME~1\Stefano\IMPOST~1\Temp\notepad.dll O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - D:\Documents and Settings\Stefano\522212638.dll O4 - HKLM\..\Run: [reyovwab] D:\plbclnyi.bat O4 - HKLM\..\Run: [drdpiyev] D:\bmkrhxua.bat O4 - HKLM\..\Run: [sclick] D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe O4 - HKLM\..\Run: [bal] D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe O4 - HKLM\..\Run: [StUnInst] D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe O4 - HKLM\..\Policies\Explorer\Run: [7H28X9M91L] D:\WINDOWS\winlogon32.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{9B9FC3AA-7CEF-4559-9FE8-353EDFEFFECB}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{A58C0B02-683D-4046-B823-E50989A6E094}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{F89BA46D-C600-46C2-AC0F-5B0FF43917E3}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150 O17 - HKLM\System\CS1\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150 O17 - HKLM\System\CS2\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150 Insomma tutte le O17, visto che l'ip segnato è un server polacco o ucraino o qualcosa del genere...quindi MOLTO strano. Le altre sono tutte da fixare al 100%. Poi quel processo winlogon32.exe molto probabilmente è un rootkit perché non si vede tra i processi in esecuzione, quindi fai una scan con GMER e vedi se ti dà voci in rosso. Questo è molto sospetto perché il processo ctfmon.exe di solito non parte con questa istruzione... O4 - Startup: ctfmon.exe Fai una ricerca nel pc di "ctfmon.exe" e vedi se ce ne hai solo uno dentro system32... se ce ne hai altri al di fuori cancellali... Poi con avenger inserisci questo script: Files to delete: D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe D:\DOCUME~1\Stefano\IMPOST~1\Temp\notepad.dll D:\Documents and Settings\Stefano\522212638.dll D:\plbclnyi.bat D:\bmkrhxua.bat D:\WINDOWS\winlogon32.exe Insomma c'è un bel po' di casino nel tuo pc... sarà molto difficile rimuovere tutto... tu prova lo stesso e ricorda che prima di eseguire ognuna di queste operazioni devi disabilitare il system restore. Spero di essere stato d'aiuto. Ciao, Tidus Strife. |
|
|
|
|
03-06-2007, 11:23
|
#3 |
|
Senior Member
Iscritto dal: Mar 2004
Città: castel san giorgio(salerno)
Messaggi: 1218
|
Ho fatto quanto detto....
Il ctmon.exe ne esistevano altri oltre a quello in system32. Ho killato i processi e i file. Ora dovrei riavviare per vedere se si ripresenta il problema. Però ora sto lavorando. Appena posso lo faccio. Grazie di tutto. Comunque per ora si è tolota la scritta. |
|
|
|
|
03-06-2007, 15:26
|
#4 |
|
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
85.255.116.73,85.255.112.150
i server sono in ucraina e sono di inhoster! il che vuol dire GROMOZON team, non credo ci sia di peggio al mondo. Il tuo computer è superinfetto... Devi fare una pulizia molto approfondita e accurata. Se non riesci il mio consiglio è di formattare maipiugromozon.blogspot.com Ultima modifica di mausap : 03-06-2007 alle 16:38. |
|
|
|
|
03-06-2007, 17:30
|
#5 |
|
Bannato
Iscritto dal: Aug 2005
Città: Caserta
Messaggi: 11990
|
l'unica salvezza è spywaredoctor
|
|
|
|
|
09-06-2007, 13:35
|
#6 |
|
Senior Member
Iscritto dal: Mar 2004
Città: castel san giorgio(salerno)
Messaggi: 1218
|
Ok ora è a posto...
Grazie a tutti.. |
|
|
|
|
09-06-2007, 15:04
|
#7 | |
|
Bannato
Iscritto dal: Sep 2006
Città: Palermo
Messaggi: 1241
|
Quote:
|
|
|
|
|
|
09-06-2007, 15:39
|
#8 | |
|
Senior Member
Iscritto dal: Mar 2004
Città: castel san giorgio(salerno)
Messaggi: 1218
|
Quote:
|
|
|
|
|
|
10-06-2007, 11:26
|
#9 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
per sicurezza fai anche una scansion con gmer e vedi se ci sono voci in rosso
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 14:35.
