Guida alla rimozione di malware presi da MSN-Messenger

[giovanna sequino]

SCUSATE A TUTTI IO HO UN MALWARE SU MSN ..SN RIUSCITA AD ESEGUIRE LA PRIMA FASE MA..
Nella sekonda fse qnd installo ATF-cleaner una volta aperta la finstra mi kiede di selezionare tutte le caselle solo ke una casella nn si seleziona cioè qlla PREFETCH(disable) e dato ke qsta nn si seleziona nn poxo clikkare su firefox e opera.. PUOI AIUTARMI?? GRAZIE!!!

[giovanna sequino]

ciao a tuttii io ho un MALWARE su MSN 2009 e ho Vista..ho eseguito la prim fase di rimozione ma Nella sekonda fase qnd installo ATF-cleaner una volta aperta la finstra mi kiede di selezionare tutte le caselle solo ke una casella nn si seleziona cioè qlla PREFETCH(disable) e dato ke qsta nn si seleziona nn poxo clikkare su firefox e opera..

[Chill-Out]

Quote:

Originariamente inviato da giovanna sequino

SCUSATE A TUTTI IO HO UN MALWARE SU MSN ..SN RIUSCITA AD ESEGUIRE LA PRIMA FASE MA..
Nella sekonda fse qnd installo ATF-cleaner una volta aperta la finstra mi kiede di selezionare tutte le caselle solo ke una casella nn si seleziona cioè qlla PREFETCH(disable) e dato ke qsta nn si seleziona nn poxo clikkare su firefox e opera.. PUOI AIUTARMI?? GRAZIE!!!

Quote:

Originariamente inviato da giovanna sequino

ciao a tuttii io ho un MALWARE su MSN 2009 e ho Vista..ho eseguito la prim fase di rimozione ma Nella sekonda fase qnd installo ATF-cleaner una volta aperta la finstra mi kiede di selezionare tutte le caselle solo ke una casella nn si seleziona cioè qlla PREFETCH(disable) e dato ke qsta nn si seleziona nn poxo clikkare su firefox e opera..

Evidentemte perchè Firefox e Opera non sono installati

[giovanna sequino]

kome faccio ad installarli???

[Chill-Out]

Quote:

Originariamente inviato da giovanna sequino

kome faccio ad installarli???

Non li devi installare, seleziona tutto il selezionabile ->> Select All e clicca su ->> Empty Selected

[MissF1]

Buonasera a tutti! Ahimè sono costretta di nuovo a chiedere il vostro aiuto!
Già qualche mese fa sono stata "disinfettata" dalla spazzatura di messenger......ma negli ultimi giorni molti amici mi hanno avvisato che dal mio contatto partono ancora link pericolosi! Ho seguito di nuovo la procedura ecco i risultati:

MSN Virus Removal
http://www.mediafire.com/?4nm3nm2dozw

MSN Cleaner
http://www.mediafire.com/?jg2mmlkowng

A-Squared
http://www.mediafire.com/?zzzgjmvobwz

Hijack
http://www.mediafire.com/?z4wmmmmdonm

Per quanto riguarda Clean Virus Msn non trovo il report, ma comunque non aveva individuato alcun virus. Inoltre volevo sottolineare che io mi connetto a msn anke dal notebook che però è nuovissimo, ha un paio di mesi....credo e spero che non sia lì il problema!
Grazie mille a tutti, buona serata.

MissF1

[wjmat]

Quote:

Originariamente inviato da MissF1

Buonasera a tutti! Ahimè sono costretta di nuovo a chiedere il vostro aiuto!
Già qualche mese fa sono stata "disinfettata" dalla spazzatura di messenger......ma negli ultimi giorni molti amici mi hanno avvisato che dal mio contatto partono ancora link pericolosi! Ho seguito di nuovo la procedura ecco i risultati:

MSN Virus Removal
http://www.mediafire.com/?4nm3nm2dozw

MSN Cleaner
http://www.mediafire.com/?jg2mmlkowng

A-Squared
http://www.mediafire.com/?zzzgjmvobwz

Hijack
http://www.mediafire.com/?z4wmmmmdonm

Per quanto riguarda Clean Virus Msn non trovo il report, ma comunque non aveva individuato alcun virus. Inoltre volevo sottolineare che io mi connetto a msn anke dal notebook che però è nuovissimo, ha un paio di mesi....credo e spero che non sia lì il problema!
Grazie mille a tutti, buona serata.

MissF1

ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/it/uno1/GAME_UNO 1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1241112995015
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55. cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[MissF1]

Grazie mille per l'aiuto wjmat. Ho seguito le tue indicazioni e mi pare sia filato tutto liscio!

Provvedo ad aggiornare service pack ed internet explorer!

Buona giornata
MissF1

[Amph]

a me avira continua a rilevarmi questo 'HTML/Feebs.Gen' , io continuo a fare nega accesso,ma continua puntalmente ad apparirmi la scritta che mi dice che sono infetto...

[wjmat]

Quote:

Originariamente inviato da Amph

a me avira continua a rilevarmi questo 'HTML/Feebs.Gen' , io continuo a fare nega accesso,ma continua puntalmente ad apparirmi la scritta che mi dice che sono infetto...

ciao

configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo le modalità
il problema è collegato a msn?

[Amph]

non so, ma leggendo su google potrebbe esserlo

[xcdegasp]

up

[Amph]

ho configurato avirama quando faccio lo scan non riporta niente, intanto il virus continua a comparire a random(tipo oggi, dopo 3 giorni di tregua, è tornato alla luce...)

[wjmat]

Quote:

Originariamente inviato da Amph

ho configurato avirama quando faccio lo scan non riporta niente, intanto il virus continua a comparire a random(tipo oggi, dopo 3 giorni di tregua, è tornato alla luce...)

comincia a caricare il log di avira e quelli richiesti nel 1° post

[gnogno1985]

Salve a tutti,

mi metto di nuovo nelle vostre sapienti mani
Avevo preso un virus da msn aprendo scioccamente uno di quei fastidiosi indirizzi.Il mio nod32 aveva però trovato una serie di virus e quindi non capitava più che uscissero quelle solite scritte verso i miei contatti.
Ho seguito comunque la guida per sicurezza e vi posto i logs:

http://www.mediafire.com/?iwtumtymmdn
http://www.mediafire.com/?jhztedzytyz
http://www.mediafire.com/?2d11jztymgy
http://www.mediafire.com/?otmocxmxnny

Ditemi voi se sono pulito e se il mio msn necessita di un cambio di password.

[wjmat]

Quote:

Originariamente inviato da gnogno1985

Salve a tutti,

mi metto di nuovo nelle vostre sapienti mani
Avevo preso un virus da msn aprendo scioccamente uno di quei fastidiosi indirizzi.Il mio nod32 aveva però trovato una serie di virus e quindi non capitava più che uscissero quelle solite scritte verso i miei contatti.
Ho seguito comunque la guida per sicurezza e vi posto i logs:

http://www.mediafire.com/?iwtumtymmdn
http://www.mediafire.com/?jhztedzytyz
http://www.mediafire.com/?2d11jztymgy
http://www.mediafire.com/?otmocxmxnny

Ditemi voi se sono pulito e se il mio msn necessita di un cambio di password.

Ciao

dal log di asquared non si capisce se hai eliminato tutto

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\msnmgr.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Programmi\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[maxcarra]

Salve a tutti io ho questo problema,una volta effetuato l'accesso a msn sia io che i miei contatti risulatno off-line,ovviamente non accedo come invisibile,ho seguito la guida ma il problema non cambia.
Ho risolto il problema msn anche se adesso ho un altro virus

[wjmat]

Quote:

Originariamente inviato da maxcarra

Salve a tutti io ho questo problema,una volta effetuato l'accesso a msn sia io che i miei contatti risulatno off-line,ovviamente non accedo come invisibile,ho seguito la guida ma il problema non cambia.

Ciao

ci servono tutti i log e caricati secondo le regole di sezione, grazie

[Nexus66]

Salve a tutti
in questi giorni mi sono ritrovato infettato da virus presi con MSN.
Nello specifico, MSN veniva avviatao da solo e si apriva una finestra che diceva "server occupato", dando la scelta tra "riprova" o "passa a"
Inoltre l'antivirus (AVG free) continuava a trovare files infetti: csrss.exe e mdm.exe. Anche ad ogni riavvio.

Ho eseguito uno per uno i passaggi indicati dalla guida e ho l'impressione che sia stata trovata molta robbaccia.

Ora non so se i virus sono stati eliminati ma ogni volta che riavvio mi appaiono finestre del tipo "impossibile caricare o eseguire il file cmstp.exe indicato nel registro"
Era un virus? Devo eliminare qualche chiave di registro?

Di seguito fornisco i log richiesti nella guida:

MSN virus removal
http://wikisend.com/download/900966/MSN Virus Removal Log 11_4_2010 10_20_9.txt

MSN cleaner
http://wikisend.com/download/514578/...4-19_33_56.txt

A-squared
http://wikisend.com/download/663562/...411-110829.txt

HiJackThis
http://wikisend.com/download/451380/hijackthis.log

Vi ringrazio se sarete così gentili da offrirmi un aiuto e dei chiarimenti

Massimo

[wjmat]

Quote:

Originariamente inviato da Nexus66

Salve a tutti
in questi giorni mi sono ritrovato infettato da virus presi con MSN.
Nello specifico, MSN veniva avviatao da solo e si apriva una finestra che diceva "server occupato", dando la scelta tra "riprova" o "passa a"
Inoltre l'antivirus (AVG free) continuava a trovare files infetti: csrss.exe e mdm.exe. Anche ad ogni riavvio.

Ho eseguito uno per uno i passaggi indicati dalla guida e ho l'impressione che sia stata trovata molta robbaccia.

Ora non so se i virus sono stati eliminati ma ogni volta che riavvio mi appaiono finestre del tipo "impossibile caricare o eseguire il file cmstp.exe indicato nel registro"
Era un virus? Devo eliminare qualche chiave di registro?

Di seguito fornisco i log richiesti nella guida:

MSN virus removal
http://wikisend.com/download/900966/MSN Virus Removal Log 11_4_2010 10_20_9.txt

MSN cleaner
http://wikisend.com/download/514578/...4-19_33_56.txt

A-squared
http://wikisend.com/download/663562/...411-110829.txt

HiJackThis
http://wikisend.com/download/451380/hijackthis.log

Vi ringrazio se sarete così gentili da offrirmi un aiuto e dei chiarimenti

Massimo

ciao

con asquared sembra tu non abbia rimosso tutto o sbaglio?


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)

Codice:

F3 - REG:win.ini: load=C:\WINDOWS\System32\drivers\cmstp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programmi\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\WINDOWS\rsvp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [IEudinit] C:\Documents and Settings\Massimo\LOCALS~1\APPLIC~1\MICROS~1\ieudinit.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\Documents and Settings\Massimo\LOCALS~1\APPLIC~1\MICROS~1\cisvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\Massimo\IMPOST~1\Temp\cmstp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System32\drivers\esentutl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [MqtgSVC] C:\DOCUME~1\Massimo\DATIAP~1\mqtgsvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\DOCUME~1\Massimo\DATIAP~1\MICROS~1\comrepl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Massimo\DATIAP~1\MICROS~1\dllhst3g.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\System32\drivers\sessmgr.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\DOCUME~1\Massimo\DATIAP~1\MICROS~1\mstinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\System\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\System32\drivers\comrepl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\System32\drivers\comrepl.exe /waitservice (User 'Default user')
O8 - Extra context menu item: Download with NetPumper - C:\Programmi\NetPumper\AddUrl.htm
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1222705666562
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

fai anche due scansioni complete + log con questi
Malwarebytes' Anti-Malware
F-Secure online