infetto con so vergine

[katodb]

Ho appena reinstallato Xp pro SP1 e al primo collegamento ho preso (almeno credo) dei trojan o worm. Come è possibile con disco pulito e zero programmi installati? E' vero che non avevo ancora fatto settaggi per proteggere di più il pc ma per tanti anni mi sono connesso senza nemmeno firewall e a volte antivirus e non ho preso mai niente, adesso...un casino.
Cmq i file sospetti credo siano ss.exe e package_adp_SIAC.exe
e mi si apre mentre sono connesso una finestra "advertisement" e una pagina di yahoo

ma questo log mi preoccupa
guardate un pò:


Logfile of HijackThis v1.99.1
Scan saved at 16.41.12, on 19/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\li32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuamk032.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\DARIO\Internet Optimizer\optimize.exe
C:\WINDOWS\installer_SIAC.exe
C:\WINDOWS\System32\m81uu9o9.exe
C:\Programmi\oech\ncdc.exe
C:\WINDOWS\system32\w?auboot.exe
F:\pulitori periodici\HijackThis.exe
C:\WINDOWS\System32\system.pif

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Programmi\SurfSideKick 3\SskBho.dll
O2 - BHO: (no name) - {04C86619-E1B2-F04B-AFCB-F44404CDF9F9} - C:\WINDOWS\System32\olhksv.dll
O2 - BHO: (no name) - {31E55619-CC81-C57F-82FB-C46934FDD4C9} - C:\WINDOWS\System32\olhksv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Programmi\SurfSideKick 3\Ssk.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\Run: [li start up] li32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [System Update Service] system.pif
O4 - HKLM\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\Run: [m81uu9o9] C:\WINDOWS\System32\m81uu9o9.exe
O4 - HKLM\..\RunServices: [li start up] li32.exe
O4 - HKLM\..\RunServices: [MSN9 Startup] msn9.exe
O4 - HKLM\..\RunServices: [MS Windows Security Updater] updater.pif
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\RunServices: [System Update Service] system.pif
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Programmi\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [li start up] li32.exe
O4 - HKCU\..\Run: [System Update Service] system.pif
O4 - HKCU\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - HKCU\..\Run: [Eewa] C:\Programmi\oech\ncdc.exe
O4 - HKCU\..\Run: [Izcltpat] C:\WINDOWS\System32\w?auboot.exe
O4 - HKCU\..\RunServices: [li start up] li32.exe
O4 - HKCU\..\RunServices: [MS Windows Security Updater] updater.pif
O4 - HKCU\..\RunServices: [System Update Service] system.pif
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windows...b?1124390418589
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTic....cab?refid=4809
O20 - AppInit_DLLs: repairs.dll

[andorra24]

Fixa:
C:\Documents and Settings\DARIO\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\li32.exe
C:\WINDOWS\System32\wuamk032.exe
C:\WINDOWS\installer_SIAC.exe
C:\WINDOWS\System32\m81uu9o9.exe
C:\Programmi\oech\ncdc.exe
C:\WINDOWS\system32\w?auboot.exe
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Programmi\SurfSideKick 3\SskBho.dll
O2 - BHO: (no name) - {04C86619-E1B2-F04B-AFCB-F44404CDF9F9} - C:\WINDOWS\System32\olhksv.dll
O2 - BHO: (no name) - {31E55619-CC81-C57F-82FB-C46934FDD4C9} - C:\WINDOWS\System32\olhksv.dll
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Programmi\SurfSideKick 3\Ssk.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\Run: [li start up] li32.exe
O4 - HKLM\..\Run: [System Update Service] system.pif
O4 - HKLM\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\Run: [m81uu9o9] C:\WINDOWS\System32\m81uu9o9.exe
O4 - HKLM\..\RunServices: [li start up] li32.exe
O4 - HKLM\..\RunServices: [MSN9 Startup] msn9.exe
O4 - HKLM\..\RunServices: [MS Windows Security Updater] updater.pif
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\RunServices: [System Update Service] system.pif
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Programmi\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [li start up] li32.exe
O4 - HKCU\..\Run: [System Update Service] system.pif
O4 - HKCU\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - HKCU\..\Run: [Eewa] C:\Programmi\oech\ncdc.exe
O4 - HKCU\..\Run: [Izcltpat] C:\WINDOWS\System32\w?auboot.exe
O4 - HKCU\..\RunServices: [li start up] li32.exe
O4 - HKCU\..\RunServices: [MS Windows Security Updater] updater.pif
O4 - HKCU\..\RunServices: [System Update Service] system.pif
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTic....cab?refid=4809
O20 - AppInit_DLLs: repairs.dll

Fai una scansione con ewido:http://download.ewido.net/ewido-setup.exe
e una con bitdefender:http://www.bitdefender.com/scan8/ie.html

[FOXYLADY]

Metti anche di corsa l'SP2, il tuo log sembra un campo di battaglia

[matteo1]

a me sembra strano che per mesi abbia navigato senza problemi con sp1,poi oggi con un pò di navigazione si becca quella caterva di roba.

[andorra24]

Quote:

Originariamente inviato da matteo1

a me sembra strano che per mesi abbia navigato senza problemi con sp1,poi oggi con un pò di navigazione si becca quella caterva di roba.

In effetti mi pare strano che in un solo giorno abbia raccolto tutta quella robaccia. Ha un bel po' di lavoro da fare

[Stereogab]

scusate se mi intrufolo,ma ho una domanda che volevo farvi da quando
mi sono iscritto: ma come cavolo fate ad individuare i processi
da fixare quando guardate il log?
sarà banale come domanda ma per me è magia...

[andorra24]

Quote:

Originariamente inviato da Stereogab

scusate se mi intrufolo,ma ho una domanda che volevo farvi da quando
mi sono iscritto: ma come cavolo fate ad individuare i processi
da fixare quando guardate il log?
sarà banale come domanda ma per me è magia...

Parecchie voci con l'esperienza si conoscono e si memorizzano ma ovviamente occorre anche un po' di pazienza nel cercare su google tutte le voci che non si conoscono. Almeno questo e' il mio metodo.

[matteo1]

sappiamo un pò i processi facenti parte di windows,per quelli di cui dubitiamo usiamo google che rimanda ad alcuni siti web in cui sono elencate quelle voci.

[The_EclipseZ]

esperienza e cultura in materia........andorra24 ne sa qualcosa...

[Stereogab]

Quote:

Originariamente inviato da andorra24

Parecchie voci con l'esperienza si conoscono e si memorizzano ma ovviamente occorre anche un po' di pazienza nel cercare su google tutte le voci che non si conoscono. Almeno questo e' il mio metodo.

complimenti

[andorra24]

Quote:

Originariamente inviato da The_EclipseZ

esperienza e cultura in materia........andorra24 ne sa qualcosa...

Quote:

Originariamente inviato da Stereogab

complimenti

Grazie, mi piace rendermi utile e dare una mano,se posso. Ci sono passata anche io con i problemi di spyware e virus e quindi so lo stato d'animo di chi si ritrova con il pc infetto.

[FOXYLADY]

Come ti hanno già detto, dopo un pò che li guardi impari a riconoscere alcune stringhe sospette a prima vista, il resto è una ricerca su internet.
Alcuni siti offrono un'analisi automatica, ma non sempre è affidabile, al massimo possono essere utili per fare una cernita iniziale.
http://www.ilsoftware.it/hijackthis.asp
http://hjt.iamnotageek.com/
Personalmente oltre a google faccio verifiche anche qui
http://www.help2go.com/modules.php?name=HJTDetective
http://castlecops.com/StartupList.html
Se invece vuoi capire a cosa si riferiscano le varie stringhe di hijack, puoi dare un'occhiata qui
http://www.ilsoftware.it/articoli.asp?ID=2459

Ciao

[katodb]

Quote:

Originariamente inviato da matteo1

a me sembra strano che per mesi abbia navigato senza problemi con sp1,poi oggi con un pò di navigazione si becca quella caterva di roba.

anche io sono rimasto stupito.
Fino a due mesi fa era così, facevo ogni giorno lo scan con ad aware e spy bot e comunque la navigazione non era disturbata, poi la situazione è andata via via peggiorando fino all'altro ieri quando ho deciso di formattare. Tutte queste schifezze assieme non le ho mai avute solo il worm bofra un paio di volte ma subito eliminato. Non so se significhe qualcosa ma il primo sito che ho aperto appena reinstallato è stato windows update e li mi si è impallato tutto. Adesso sto facendo lo scan con a-squared.
Grazie a tutti, reinstallo con SP2

[wgator]

Quote:

Originariamente inviato da Stereogab

scusate se mi intrufolo,ma ho una domanda che volevo farvi da quando
mi sono iscritto: ma come cavolo fate ad individuare i processi
da fixare quando guardate il log?
sarà banale come domanda ma per me è magia...

Ciao,

un metodo che potrebbe essere ottimo per chi non ha moltissima esperienza ma desidera imparare, potrebbe essere quello di inserire le voci del log in questo motore di analisi: http://hijackthis.de/index.php?langselect=italian

Esso individuerà come sconosciute, sospette o "da fixare" un certo numero di voci. Attenzione però: quel motore non è l'oracolo di Delphi, fa parecchi errori e a volte segnala come infette alcune cose assolutamente inoffensive.

Il "segreto" sta nel verificare con Google e con un po' di pazienza tutte le voci segnalate in rosso o in arancione e cercare di capire di cosa si tratta... In caso di dubbio si può sempre chiedere sul forum

Se ti interessa l'hobby di "virus hunter" provaci anche tu quando vedi i log postati dagli utenti e cerca di individuare i colpevoli proprio come si fa quando si leggono i romanzi polizieschi. Vedrai che non è difficile

[matteo1]

Quote:

Originariamente inviato da wgator

Il "segreto" sta nel verificare con Google e con un po' di pazienza tutte le voci segnalate in rosso o in arancione e cercare di capire di cosa si tratta... In caso di dubbio si può sempre chiedere sul forum

Peccato che la gente voglia essere servita;cavolo sai che fatica cercare le voci incriminate quando qui ci sono i soliti "fessi" che lo fanno per te.
Lasciamo perdere va.

[Stereogab]

Quote:

Originariamente inviato da wgator

Se ti interessa l'hobby di "virus hunter" provaci anche tu quando vedi i log postati dagli utenti e cerca di individuare i colpevoli proprio come si fa quando si leggono i romanzi polizieschi. Vedrai che non è difficile

tenterò ma la vedo dura


ps x matteo1:

credo che molti lo facciano non per pigrizia
ma per paura di sbagliare qualcosa e mandare tutto in palla..

[matteo1]

ma che mandare a palla;se usi google e leggi che xxx.exe o about:blank è un problema lo fixi.Fin qui non la vedo difficile.

[andorra24]

Quote:

Originariamente inviato da Stereogab

credo che molti lo facciano non per pigrizia
ma per paura di sbagliare qualcosa e mandare tutto in palla..

Comunque hijackthis crea il backup di cio' che elimina e quindi in caso di eventuali problemi si potrebbe ripristinare tutto.

[Stereogab]

Quote:

Originariamente inviato da matteo1

ma che mandare a palla;se usi google e leggi che xxx.exe o about:blank è un problema lo fixi.Fin qui non la vedo difficile.

era solo un'opinione

[juninho85]

il fatto che hai preso zozzerie a s.o. appena installata è dovuto al fatto che hai "soltanto" il service pack 1,magari senza utilizzare firewall,ho visto che i big ti hanno già risposto,vediamo se trovo qualcos'altro....
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\li32.exe
C:\WINDOWS\System32\wuamk032.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\WINDOWS\installer_SIAC.exe
C:\WINDOWS\System32\m81uu9o9.exe
C:\WINDOWS\system32\w?auboot.exe
C:\WINDOWS\System32\system.pif
O2 - BHO: (no name) - {04C86619-E1B2-F04B-AFCB-F44404CDF9F9} - C:\WINDOWS\System32\olhksv.dll
O2 - BHO: (no name) - {31E55619-CC81-C57F-82FB-C46934FDD4C9} - C:\WINDOWS\System32\olhksv.dll
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\Run: [li start up] li32.exeO4 - HKLM\..\Run: [System Update Service] system.pif
O4 - HKLM\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\Run: [m81uu9o9] C:\WINDOWS\System32\m81uu9o9.exe
O4 - HKLM\..\RunServices: [li start up] li32.exe
O4 - HKLM\..\RunServices: [MSN9 Startup] msn9.exeO4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\RunServices: [System Update Service] system.pifO4 - HKCU\..\Run: [li start up] li32.exe
O4 - HKCU\..\Run: [System Update Service] system.pif
O4 - HKCU\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - HKCU\..\Run: [Izcltpat] C:\WINDOWS\System32\w?auboot.exe
O4 - HKCU\..\RunServices: [li start up] li32.exe
O4 - HKCU\..\RunServices: [MS Windows Security Updater] updater.pif
O4 - HKCU\..\RunServices: [System Update Service] system.pif
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTic....cab?refid=4809
O20 - AppInit_DLLs: repairs.dll

questi non li conosco:
O4 - HKCU\..\Run: [Eewa] C:\Programmi\oech\ncdc.exe
C:\Programmi\oech\ncdc.exe