Guida alla rimozione di malware presi da MSN-Messenger

[wjmat]

Quote:

Originariamente inviato da basetta82

Questo è il file di log di HijackThis

aspettiamo anche gli altri, possibilmente in un unico post

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!

Codice:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Program Files\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows] C:\Windows\services.exe
O4 - HKCU\..\Run: [Windows Update] C:\Windows\csrss.exe
O4 - HKCU\..\RunOnce: [System Update] C:\Windows\system32\Drivers\smss.exe
O4 - HKCU\..\RunOnce: [System] C:\Windows\system32\Drivers\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O13 - Gopher Prefix:
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolb...lerControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/reso...PUpldit-it.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/us/securityadvisor...n/pestscan.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

[wjmat]

Quote:

Originariamente inviato da titolabieno

Bene finalmente sono riuscito ad iscrivermi.
Purtroppo tempo fà mi sono beccato da un mio contatto msn il virus Photo.zip e nonostante avessi installato AVG 7.5 e AVG Antispyware il virus me lo sono beccato. Praticamente da allora cosa succede? Che viene inviato il file zip Photo.zip a tutti i miei contatti, inoltre io accedo a Msn, vedo la schermata iniziale con tutti i contatti che sono in linea e quelli che non sono in linea, quando clicco su uno dei contatti on line per interagirci, non mi si apre la pagina del contatto. L'unico modo per riuscire ad aprire la pagina del contatto e chatarci è quello di cliccare col tasto dx del mouse sul contatto e poi cliccare su video e poi su visualizza webcam del contatto. A questo punto la pagina del contatto si apre. AVG quando fa la scansione rileva prima un file con la scritta ntoskrnl STATUS changed e poi rileva il virus Trojan Agent Gen, F12.
Ma non li elimina. Dopo diverse ricerche ho individuato il file Photo.zip nella cartella Cocuments and Settings\Simone\impostazioni locali\temp
lho eliminato col tasto dx del mouse ma niente da fare ad ogni riaccensione riappare, ed inoltre il problema msn persiste. Dopo altre ricerche sono riuscito ad individuare un altro file infetto. si tratta di un file eseguibile xdmnl.exe\o che si trova in Cocuments and settings\Simone\impostazioni locali
Ho provato ad eliminarlo col tasto destro del mouse ma mi da errore e non me lo fa eliminare. Scansionandolo con AVG Spyware mi dice che è un Trojan Mondera. A questo punto ho cercato su Regedit digitando xdmnl e me lo ha trovato, ho fatto modifica ed ho eliminato solo il suffisso finale di tutto il percorso ovvero xdmnl.exe\o a questo punto msn funziona correttamente. Per curiosita sono tornato nella cartella per eliminare il file eseguibile ma è sempre bloccato e dopo un quarto d'ora msn torna al problema di prima. anche se su regedit il suffisso xdmnl.exe non appare più

ciao

segui la guida del primo post e carica tutti i log richiesti, secondo le modalità e possibilmente in un unico post

[titolabieno]

allora ho iniziato a fare come scritto in questo forum. ho disattivato il ripristino di sistema, poi ho fatto la scansione con hijackthis e mi fa vedere una serie di righe legate a msn, poi ho fatto la scansione con msn photo virus remover ed ecco il tool, dimenticavo inizialmente ho fatto l'esecuzione di atf cleaner. Il tool di msn photo virus remover è questo
Version: 3.92 Virus DataBase: 6.46

Avvio scansione in corso...
Processi SmartScanning in corso...
Voci di registro SmartScanning...
SmartScanning AutoRuns...
Ricerca di servizi virali in corso...
Ricerca di processi virali in corso...
Ricerca di file di virus in corso...
Scansione del registro in corso...
Enabling:
Task Manager
Regedit
System Restore Config
Command Prompt
Folder Options
Run
Scansione file Hosts in corso...
Salvataggio file di registro in corso...

poi ho fatto msn cleaner e dice che non trova nulla
- File di log MSNCleaner 1.3.4
- File di log creato: 09/12/2008 on 23.24.04
- Sistema Operativo: Windows XP
- Modalità d'avvio: Normale
_________________________________________

File trovati: 0
File rimossi: 0
File non rimossi: 0

<<<<<<< Nessun file trovato >>>>>>>


Ora sto scaricando a squared e poi vediamo cosa esce fuori

[FRATO83]

Quote:

Originariamente inviato da wjmat

wlm per garantire la sicurezza pone un pò di limitazioni, sta a te decidere se tenerlo

i tuoi contatti si lamentano ancora?

conta che non abbiamo visto mezzo log...

scusa hai ragione provvedo a postare quello di hijackthis
erm il log di hijack ottenuto è di 94kb ,molto + grande delle dimensioni massime consentite,come potrei fare?

[wjmat]

Quote:

Originariamente inviato da FRATO83

scusa hai ragione provvedo a postare quello di hijackthis
erm il log di hijack ottenuto è di 94kb ,molto + grande delle dimensioni massime consentite,come potrei fare?

modalità in firma

[FRATO83]

Quote:

Originariamente inviato da wjmat

modalità in firma

ok posto allora quello di hijackthis http://www.mediafire.com/file/bxohd8yqbjw/adsspy.txt

[titolabieno]

Allora Signori ricapitolo la situazione. Tempo fà su MSN ho ricevuto un file zippato chiamato Photo Zip, da perfetto pirlone lho accettato e mi sono beccato un virus. Il mio antivirus AVG 7.5 rilevava due file, il primo ntskrnl con la scritta changed, poi il Trojan Agent come ho postato in precedenza. Ma non li eliminava. Questo virus quale effetto aveva sul mio pc? In pratica se mi connettevo su Msn vedevo la lista dei contatti on line, poi però se cliccavo su uno di questi contatti per accedere alla sua scheda e chattarci, la cosa non era possibile a meno che io non avviassi la videochiamata, in quel caso mi apriva il contatto. AVG antispyware rilevava il Trojan Mondera, anche l'antivirus AVIRA rileva questo. Ma il virus era sempre residente. Alla fine ho trovato su C: Documents and Settings, Simone, IMpostazioni locali, Temp il file Photo Zip, lho eliminato ma questo ad ogni riaccensione riappariva. Poi con AVG Antispyware ho rilevato un file eseguibile .exe il file si chiamava xdmnl.exe, lho cercato con regedit lho trovato e lho eliminato ma nella cartella impostazioni locali di document and settings non riuscivo ad eliminarlo. Poi ho eseguito le vostre istruzioni oggi pomeriggio e vi posto qui di seguito i risultati delle scansioni, strana cosa sembrerebe che Kaspersky sia riuscito ad eliminare il file xdmnl.exe da IMpostazioni locali e ora pare che Msn funzioni. Cmq seguendo le vostre istruzioni alla fine su Regedit digitando la ricerca di wksvcsc.exe trovo le seguenti chiavi
ab001 REG_SZ photo.zip
ab000 REG_SZ ntoskrnl
ab002 REG_SZ Win32/Slenfbot.gen!B
ab003 REG_SZ wksvcsc.exe
Vorrei sapere se devo eliminarle

Qui di seguito comunque posto i report delle varie scansioni fatte seguendo le Vostre istruzioni tranne ASquared che non riesco ad utilizzare.

Log rimosso leggere le Regole di sezione e le Regole in prima pagina della presente Guida

[RoMix91]

ciao a tutti, non so cosa sia stato se un virus o no ma mentre ero su messenger e stavo sistemando il mio messaggio personale mi si sono aperte all'impazzata 15 finestre di internet explorer, le ho chiuse di fretta ma mi sembrava di aver visto che stessero come aprendo la posta di messenger...mah...


ora ho fatto scansioni con kaspersky, Malwarebytes' Anti-Malware e Ad-aware ma zero.

può essere stato un qualcosa di messenger (forse ho schiacciato qualcosa ma non penso proprio) o qualcos'altro?

[Chill-Out]

Quote:

Originariamente inviato da RoMix91

ciao a tutti, non so cosa sia stato se un virus o no ma mentre ero su messenger e stavo sistemando il mio messaggio personale mi si sono aperte all'impazzata 15 finestre di internet explorer, le ho chiuse di fretta ma mi sembrava di aver visto che stessero come aprendo la posta di messenger...mah...


ora ho fatto scansioni con kaspersky, Malwarebytes' Anti-Malware e Ad-aware ma zero.

può essere stato un qualcosa di messenger (forse ho schiacciato qualcosa ma non penso proprio) o qualcos'altro?

Hai aperto una discussione per la quale hai già avuto risposta, ti ricordo che il crossposting è vietato da regolamento, grazie per la collaborazione.

[Misery_Died]

salve. mia sorella oggi su msn ha preso un virus tramite un suo contatto.
il virus si presentava così:

mira esta foto
usuarios.lycos.es/cape5/foto.com

dopodichè le finestre di msn quando le apro si chiudono da sole e succede questo a volte anche a tutte le cartelle legate ad msn.

Che fare? Seguo la guida principale della discussione nella prima pagina o devo effettuare scansioni con altri programmi?

[wjmat]

Quote:

Originariamente inviato da Misery_Died

salve. mia sorella oggi su msn ha preso un virus tramite un suo contatto.
il virus si presentava così:

mira esta foto
usuarios.lycos.es/cape5/foto.com

dopodichè le finestre di msn quando le apro si chiudono da sole e succede questo a volte anche a tutte le cartelle legate ad msn.

Che fare? Seguo la guida principale della discussione nella prima pagina o devo effettuare scansioni con altri programmi?

ciao

edita il link in maniera che non sia cliccabile, non si sa mai...

poi caricaci i log richiesti dalla guida nel primo post

[Chill-Out]

Quote:

Originariamente inviato da wjmat

ciao
edita il link in maniera che non sia cliccabile, non si sa mai...

E tu quoti senza editarlo

[Misery_Died]

grazie e scusate per il link ^^'

[Misery_Died]

allora ragazzi ecco i log.

E non ho trovato questo file C:\WINDOWS\wksvcsc.exe nel task manager.
Ps.Hijackthis l'ho eseguito in ultimo. Quindi come vedete i file tolti da prima ci sono ancora ovvero C:\WINDOWS\system32\Drivers\lsass.exe e C:\WINDOWS\aa.
Cercando con la cronologia dell'hard disk io so quali sono i file infetti ma ho paura a rimuoverli manualmente perchè ho terrore di far danno. Kmq aspetto vostre notizie prima di fare qualcosa.

[Misery_Died]

Ho aggiunto adesso un altro log. Si riferisce alla scansione che ho fatto poco fa con Malwarebytes. Scusate i milioni di post ^_^''''''''''''''''''''

[wjmat]

Quote:

Originariamente inviato da Misery_Died

Ho aggiunto adesso un altro log. Si riferisce alla scansione che ho fatto poco fa con Malwarebytes. Scusate i milioni di post ^_^''''''''''''''''''''

non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo

altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log

[Misery_Died]

ragazzi io non ho fatto nulla con le infezioni. Con malware ha trovato quello che ha riportato con nel log ma non li ho tolti nè nulla perchè aspetto di fare come mi dite voi, non voglio magari togliere qualcosa di fondamentale.

kmq ora scannerizzo di nuovo, elimino quello che trova e ti posto il log.

per il log precedente che mi dici?

[wjmat]

Quote:

Originariamente inviato da Misery_Died

ragazzi io non ho fatto nulla con le infezioni. Con malware ha trovato quello che ha riportato con nel log ma non li ho tolti nè nulla perchè aspetto di fare come mi dite voi, non voglio magari togliere qualcosa di fondamentale.

kmq ora scannerizzo di nuovo, elimino quello che trova e ti posto il log.

per il log precedente che mi dici?

si elimina tutto

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NSLauncher] C:\Programmi\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [RegistryMechanic] C:\Programmi\Registry Mechanic\RegMech.exe /H
O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Programmi\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\csrss.exe
O4 - HKCU\..\RunOnce: [System] C:\WINDOWS\system32\Drivers\lsass.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h ttp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {BB3B91F7-1070-4BFD-AA42-6C523B9162B9} (McciHTTPClient Class) - h ttp://aiuto.alice.it/ata/static/installers/WebflowActiveXInstaller_4-1-5.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h ttp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

spybot rimuovilo pure

[Misery_Died]

scusa non ho capito una cosa, spybot mi dici lo disinstallo direttamente perchè non serve? pensavo che andasse bene.

kmq ecco il log di hijackthis

[wjmat]

Quote:

Originariamente inviato da Misery_Died

scusa non ho capito una cosa, spybot mi dici lo disinstallo direttamente perchè non serve? pensavo che andasse bene.

kmq ecco il log di hijackthis

il log di asqured ce l'hai completo?
aspettiamo anche quello nuovo di mbam

poi esegui la scansione prevista al punto 4 di questa guida e carica il log
http://www.hwupgrade.it/forum/showthread.php?t=1599737