come eliminare infezione <<antispyspider.us>>

mp4_22 · 30-07-2008, 17:33

come eliminare infezione <<antispyspider.us>>

Scusate si aprono finestre all'improvviso, non posso piu navigare in internet perche i link non mi fungono, ho questa infezione che mi porta al sito antispyspider.us
c'e' qualche proicedura in automatica che mi toglie tutti cio, visto che non sno molto pratico della situazione

xcdegasp · 30-07-2008, 18:24

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

ps: thread spostato in area corretta

mp4_22 · 31-07-2008, 08:46

www.savefile.com/files/1699226

vedete che sto postando da un altro computer perche il pc in questione anche se si collega ad internet non mi permette un agia navigazione.........sono disperato

wjmat · 31-07-2008, 08:51

Ciao benvenuto nel pronto soccorso di HU.

Segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di HiJackThis anche prima che vediamo se si può risolvere qualcosa
log di A-squared scansione deep aggiornato ad oggi se riesci a connetterti
log di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI

Con la pulizia files inutili, ads e le scansioni lunghe di antispyware (1) ed antivirus (2 e 3) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Questo è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube

mp4_22 · 31-07-2008, 09:16

scusa ma il log l'ho postato
che posso fare per risolvere la situazione

wjmat · 31-07-2008, 09:46

il log di quel programnma non ci serve, segui la guida che ti ho indicato per il momento

mp4_22 · 31-07-2008, 10:12

log richiesto

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.11.09, on 31/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programmi\Intel\AMT\atchksrv.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
c:\WINDOWS\system32\ifxspmgt.exe
c:\WINDOWS\system32\ifxtcs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Intel\AMT\LMS.exe
C:\Programmi\O2Micro Oz128 Driver\o2flash.exe
c:\WINDOWS\system32\IfxPsdSv.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\AMT\UNS.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Intel\AMT\atchk.exe
C:\Programmi\File comuni\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cfgwiz.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
c:\Programmi\Infineon\Security Platform Software\PSDrt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
c:\Programmi\Infineon\Security Platform Software\SpTna.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\DOCUME~1\Farim\IMPOST~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Symantec Shared\SymSetup\{5AA2CD16-706F-41f3-87C5-2B5A031F2B3B}_10_0_0_86\{5AA2CD16-706F-41f3-87C5-2B5A031F2B3B}.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/yco...//it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://it.intl.acer.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockots64.dll (file missing)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Mostra Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [atchk] "C:\Programmi\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [IFXSPMGT] c:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IS CfgWiz] "C:\Programmi\File comuni\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cfgwiz.exe" /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [ccApp] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - c:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Programmi\Acer\Bio-Protection fingerprint solution\PwdBank.exe
O9 - Extra 'Tools' menuitem: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Programmi\Acer\Bio-Protection fingerprint solution\PwdBank.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_inst...syInstallX.CAB
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Programmi\Acer\Bio-Protection fingerprint solution\WinNotify.dll
O20 - Winlogon Notify: spba - C:\Programmi\File comuni\SPBA\homefus2.dll
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockots64.dll (file missing)
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programmi\Intel\AMT\atchksrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: eLock Service (eLockService) -   - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - c:\WINDOWS\system32\ifxspmgt.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - c:\WINDOWS\system32\ifxtcs.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Programmi\Intel\AMT\LMS.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programmi\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Servizio Personal Secure Drive (PersonalSecureDriveService) - Infineon Technologies AG - c:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Programmi\Intel\AMT\UNS.exe

--
End of file - 12019 bytes

wjmat · 31-07-2008, 10:24

i prossimi log caricali secondo le modalità

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockots64.dll (file missing)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_inst...syInstallX.CAB
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockots64.dll (file missing)

dopo aver disabilitato il ripristino e fatto la passato con atf
anzichè a-squared che non puoi aggiornare fai una scansione completa con Malwarebytes' Anti-Malware
scarica anche gli aggiornamenti che installerai dopo aver installato il programma
http://www.malwarebytes.org/mbam/dat...mbam-rules.exe

Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

A fine scansione seleziona tutte le voci trovate e clicca "Rimuovi elementi selezionati"

Si aprirà il log che dovrai caricare secondo le modalità
Lo recuperi dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)

mp4_22 · 31-07-2008, 10:59

ecco il log:

Codice:

Malwarebytes' Anti-Malware 1.24
Versione del database: 1012
Windows 5.1.2600 Service Pack 2

10.56.54 31/07/2008
mbam-log-7-31-2008 (10-56-54).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
Elementi scansionati: 80451
Tempo trascorso: 18 minute(s), 55 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 4
Valori di registro infetti: 1
Elementi dato del registro infetti: 8
Cartelle infette: 0
File infetti: 20

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\sockots64.dll (Trojan.BHO) -> Delete on reboot.

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{66186f05-bbbb-4a39-864f-72d84615c679} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{66186f05-bbbb-4a39-864f-72d84615c679} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ffffffff-bbbb-4146-86fd-a722e8ab3489} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffffffff-bbbb-4146-86fd-a722e8ab3489} (Trojan.BHO) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\webproxy (Trojan.BHO) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Secondary_Page_URL (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html  ) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Secondary Start Pages (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html  ) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\search page (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\search page (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\sockots64.dll (Trojan.BHO) -> Delete on reboot.
C:\WINDOWS\system32\sockins32.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\homepage.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promo1.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promo2.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promo3.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promo4.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promo5.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promo6.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promogif1.gif (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promogif2.gif (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\promogif3.gif (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pharma.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\other.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\finance.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\adult.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lt.res (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sft.res (Malware.Trace) -> Quarantined and deleted successfully.
C:\sys64989.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\index.html (Trojan.FakeAlert) -> Quarantined and deleted successfully.

cosa devo fare adesso

mp4_22 · 31-07-2008, 11:07

mi sembra che il problema non ci stia piu, come faccio ad essere sicuro che e' tutto ok

wjmat · 31-07-2008, 11:14

procedi con le scansioni che ti ho indicato precedentemente

da a-squared in poi

mp4_22 · 31-07-2008, 11:17

il link di tutti i programmi per favore

Grazie

wizard1993 · 31-07-2008, 11:21

qui c'è tutto
http://www.hwupgrade.it/forum/showthread.php?t=1599737

mp4_22 · 31-07-2008, 11:27

dove?

giofio · 31-07-2008, 11:33

Ciao, il log di systemscan sarebbe bastato visto che si vedeva tutto lì e si poteva procedere manualmente. Comunque visto che il resto l'ha eliminato malwarebyte's fai controllare questi due su www.virustotal.com :
C:\WINDOWS\system32\CryptoAPI.dll
C:\WINDOWS\system32\keyManager.dll

wjmat · 31-07-2008, 11:44

Quote:

Originariamente inviato da mp4_22

il link di tutti i programmi per favore

Grazie

http://www.hwupgrade.it/forum/showthread.php?t=1599737

xcdegasp · 31-07-2008, 14:45

@ a tutti:
ci vuoel collaborazione da parte di tutti nel mantenere in ordine e fruibili i thread in particolare mi rivolgo al fatto che da qualche tempo viene data comunque assistenza a chi pubblica i log senza rispetto delle regole..
da come si evince se per gentilezza voi date comunque assistenza gli utenti meno collaborativi trarranno come idea che le regole non serva rispettarle perchè si ottiene comunque assistenza.
infatti il risultato è un incremento della tendenza di pubblicare i log a cazzum.

altra cosa se l'utente segue subito le indicazioni di come pubblicarli ma ha pubblicato un log non richiesto potreste subito dirgli che quel log a noi non serve e che debba produrre gli altri senza incollargli un poema che mal interpreta

@ mp4_22:
hai pubblicato correttamente un log, poi che è successo? veniamoci incontro così risparmiamo tutti tempo

30-07-2008, 17:33	#1
mp4_22 Junior Member Iscritto dal: Dec 2007 Messaggi: 29	come eliminare infezione <<antispyspider.us>> come eliminare infezione <<antispyspider.us>> Scusate si aprono finestre all'improvviso, non posso piu navigare in internet perche i link non mi fungono, ho questa infezione che mi porta al sito antispyspider.us c'e' qualche proicedura in automatica che mi toglie tutti cio, visto che non sno molto pratico della situazione

30-07-2008, 18:24	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti ps: thread spostato in area corretta __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 30-07-2008 alle 18:28.

31-07-2008, 08:51	#4
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao benvenuto nel pronto soccorso di HU. Segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato. Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli): log di HiJackThis anche prima che vediamo se si può risolvere qualcosa log di A-squared scansione deep aggiornato ad oggi se riesci a connetterti log di Kaspersky Virus Removal Tool scaricato oggi log di Dr.Web CureIT scaricato ed aggiornato ad oggi log di ESET SysInspector log di HiJackThis log di Gmer log di PrevxCSI Con la pulizia files inutili, ads e le scansioni lunghe di antispyware (1) ed antivirus (2 e 3) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi. Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni. Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo... Questa è una brevissima guida alla pubblicazione dei log Questo è un esempio preciso ed ordinato di come vorremmo tu caricassi i log link utili per il caricamento log ed immagini caricamento log fileqube.com, wikisend.com, mediafire.com caricamento immagini fileqube __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

31-07-2008, 09:46	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	il log di quel programnma non ci serve, segui la guida che ti ho indicato per il momento __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

31-07-2008, 10:24	#8
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	i prossimi log caricali secondo le modalità Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log _________________________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Codice: O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockots64.dll (file missing) O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_inst...syInstallX.CAB O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockots64.dll (file missing) dopo aver disabilitato il ripristino e fatto la passato con atf anzichè a-squared che non puoi aggiornare fai una scansione completa con Malwarebytes' Anti-Malware scarica anche gli aggiornamenti che installerai dopo aver installato il programma http://www.malwarebytes.org/mbam/dat...mbam-rules.exe Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa" Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione" A fine scansione seleziona tutte le voci trovate e clicca "Rimuovi elementi selezionati" Si aprirà il log che dovrai caricare secondo le modalità Lo recuperi dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio) __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

31-07-2008, 08:46	#3
mp4_22 Junior Member Iscritto dal: Dec 2007 Messaggi: 29	www.savefile.com/files/1699226 vedete che sto postando da un altro computer perche il pc in questione anche se si collega ad internet non mi permette un agia navigazione.........sono disperato

31-07-2008, 09:16	#5
mp4_22 Junior Member Iscritto dal: Dec 2007 Messaggi: 29	scusa ma il log l'ho postato che posso fare per risolvere la situazione

31-07-2008, 11:07	#10
mp4_22 Junior Member Iscritto dal: Dec 2007 Messaggi: 29	mi sembra che il problema non ci stia piu, come faccio ad essere sicuro che e' tutto ok

31-07-2008, 11:14	#11
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	procedi con le scansioni che ti ho indicato precedentemente da a-squared in poi __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

31-07-2008, 11:17	#12
mp4_22 Junior Member Iscritto dal: Dec 2007 Messaggi: 29	il link di tutti i programmi per favore Grazie

31-07-2008, 11:21	#13
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	qui c'è tutto http://www.hwupgrade.it/forum/showthread.php?t=1599737 __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza Ultima modifica di wizard1993 : 31-07-2008 alle 12:18.

31-07-2008, 11:27	#14
mp4_22 Junior Member Iscritto dal: Dec 2007 Messaggi: 29	dove?

31-07-2008, 11:33	#15
giofio Member Iscritto dal: Jul 2008 Messaggi: 86	Ciao, il log di systemscan sarebbe bastato visto che si vedeva tutto lì e si poteva procedere manualmente. Comunque visto che il resto l'ha eliminato malwarebyte's fai controllare questi due su www.virustotal.com : C:\WINDOWS\system32\CryptoAPI.dll C:\WINDOWS\system32\keyManager.dll __________________ Iscritto in altri forum come gio!

31-07-2008, 14:45	#17
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	@ a tutti: ci vuoel collaborazione da parte di tutti nel mantenere in ordine e fruibili i thread in particolare mi rivolgo al fatto che da qualche tempo viene data comunque assistenza a chi pubblica i log senza rispetto delle regole.. da come si evince se per gentilezza voi date comunque assistenza gli utenti meno collaborativi trarranno come idea che le regole non serva rispettarle perchè si ottiene comunque assistenza. infatti il risultato è un incremento della tendenza di pubblicare i log a cazzum. altra cosa se l'utente segue subito le indicazioni di come pubblicarli ma ha pubblicato un log non richiesto potreste subito dirgli che quel log a noi non serve e che debba produrre gli altri senza incollargli un poema che mal interpreta @ mp4_22: hai pubblicato correttamente un log, poi che è successo? veniamoci incontro così risparmiamo tutti tempo __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

Strumenti
Mostra una versione stampabile Invia questa pagina per email