your computer is infected!

miaghy7 · 21-02-2006, 09:56

Ragazzi mi compare in basso a destra un pallino rosso con un punto esclamativo e passandoci sopra mi appare la scritta"your computer is infected"

vi posto qui il risultato di hijackthis........aiutatemi!

Logfile of HijackThis v1.99.1
Scan saved at 10.53.30, on 21/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\LEXPPS.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
E:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\MsPMSPSv.exe
E:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe
E:\Programmi\Internet Explorer\iexplore.exe
E:\WINDOWS\System32\msiexec.exe
E:\Programmi\MSN Messenger\msnmsgr.exe
E:\Programmi\Internet Explorer\iexplore.exe
E:\Documents and Settings\Asuka\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [intell321.exe] E:\WINDOWS\System32\intell321.exe
O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - E:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

andorra24 · 21-02-2006, 10:04

Fixa:
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [intell321.exe] E:\WINDOWS\System32\intell321.exe
O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe

Metti al piu' presto il SP2 e la prossima volta il log devi postarlo nell'apposito thread in rilievo dedicato ad hijackthis.

fester40 · 21-02-2006, 10:13

edit

blacko · 21-02-2006, 11:32

è successo anche a me! nn sono riuscito a fare nulla se non pararmi il fondoschiena con il ripristino del sistema ( fortunatamente windows mi era crashato il giorno prima... w microsoft ^^ )

Stev-O · 21-02-2006, 11:40

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

questa qua ho notato che a volte si toglie e a volte no: siccome amo che 2+2 faccia sempre 4, vorrei capirne la ragione

svetonio · 21-02-2006, 11:51

http://www.bleepingcomputer.com/forums/topic40303.html

Stev-O · 21-02-2006, 12:04

miaghy7 · 21-02-2006, 12:10

[quote=andorra24]Fixa:
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe

devo eliminarli manualmente? nell'elnco di HT nn li trovo.

andorra24 · 21-02-2006, 12:17

[quote=miaghy7]

Quote:

Originariamente inviato da andorra24

Fixa:
E:\WINDOWS\downlo~1\rsna\sw0y7l.exe
C:\web.exe
E:\WINDOWS\System32\intell321.exe

devo eliminarli manualmente? nell'elnco di HT nn li trovo.

Se non li trovi nell'elenco di hijackthis allora eliminali manualmente. Se dovessero essere duri a morire usa killbox:http://www.bleepingcomputer.com/files/killbox.php

Stev-O · 21-02-2006, 13:01

Quote:

Originariamente inviato da Stev-O

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

questa qua ho notato che a volte si toglie e a volte no: siccome amo che 2+2 faccia sempre 4, vorrei capirne la ragione

Quote:

Originariamente inviato da svetonio

http://www.bleepingcomputer.com/forums/topic40303.html

non ho capito in che modo sono collegate le 2 cose

svetonio · 21-02-2006, 22:15

Queste parole:
"Ragazzi mi compare in basso a destra un pallino rosso con un punto esclamativo e passandoci sopra mi appare la scritta"your computer is infected"

descrivono SICURAMENTE questo TROJAN http://securityresponse.symantec.com...phijack.c.html

Se non riesci a risolvere con Hijackthis... segui i consigli della Symantec.

scusate, prima avevo sbagliato link

un saluto

Stev-O · 21-02-2006, 22:25

Quote:

Originariamente inviato da Stev-O

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

questa qua ho notato che a volte si toglie e a volte no: siccome amo che 2+2 faccia sempre 4, vorrei capirne la ragione

ok
allora io testone, mi RIQUOTO

andorra24 · 21-02-2006, 22:35

Quote:

Originariamente inviato da Stev-O

ok
allora io testone, mi RIQUOTO

Che intendi dire ?

Stev-O · 21-02-2006, 22:38

volevo solo sapere perchè a volte lo si fixa il proxy override e a volte no

andorra24 · 21-02-2006, 22:43

Quote:

Originariamente inviato da Stev-O

volevo solo sapere perchè a volte lo si fixa il proxy override e a volte no

Perche' se uno sta usando un proxy allora non va fixato, se uno non usa nessun proxy e' anomalo ed e' giusto fixarlo

Stev-O · 21-02-2006, 22:51

Quote:

Originariamente inviato da andorra24

Perche' se uno sta usando un proxy allora non va fixato, se uno non usa nessun proxy e' anomalo ed e' giusto fixarlo

ma cosa cambia?

perchè è anomalo?
uno può avere messo un proxy pronto all'uso anche se non lo usa sempre

andorra24 · 21-02-2006, 23:01

Quote:

Originariamente inviato da Stev-O

ma cosa cambia?

perchè è anomalo?
uno può avere messo un proxy pronto all'uso anche se non lo usa sempre

Purtroppo molti malware si servono di quella voce.

Stev-O · 21-02-2006, 23:04

anche se "vuota"? cioè con 127.0.0.1?

vabbè abbiamo capito: d'ora in avanti la togliamo: eventualmente si reinserirà l'indirizzo a mano

andorra24 · 21-02-2006, 23:07

Se non si usa un proxy non dovrebbe proprio apparire nel log quella voce altrimenti e' stata messa da un malware. Meglio starci attenti.

Stev-O · 21-02-2006, 23:15

non saprei: devo indagare

21-02-2006, 09:56	#1
miaghy7 Member Iscritto dal: Nov 2005 Messaggi: 190	your computer is infected! Ragazzi mi compare in basso a destra un pallino rosso con un punto esclamativo e passandoci sopra mi appare la scritta"your computer is infected" vi posto qui il risultato di hijackthis........aiutatemi! Logfile of HijackThis v1.99.1 Scan saved at 10.53.30, on 21/02/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\LEXBCES.EXE E:\WINDOWS\system32\LEXPPS.EXE E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\downlo~1\rsna\sw0y7l.exe E:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\MsPMSPSv.exe E:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\web.exe E:\WINDOWS\System32\intell321.exe E:\Programmi\Internet Explorer\iexplore.exe E:\WINDOWS\System32\msiexec.exe E:\Programmi\MSN Messenger\msnmsgr.exe E:\Programmi\Internet Explorer\iexplore.exe E:\Documents and Settings\Asuka\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programmi\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [lich] lich.exe O4 - HKLM\..\Run: [intell321.exe] E:\WINDOWS\System32\intell321.exe O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - E:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - E:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

21-02-2006, 10:13	#3
fester40 Senior Member Iscritto dal: Mar 2005 Città: West Liguria Messaggi: 2330	edit __________________ .....sono solo un praticone che si arrangia.....

21-02-2006, 11:32	#4
blacko Member Iscritto dal: Oct 2005 Messaggi: 65	è successo anche a me! nn sono riuscito a fare nulla se non pararmi il fondoschiena con il ripristino del sistema ( fortunatamente windows mi era crashato il giorno prima... w microsoft ^^ ) __________________ SAP

21-02-2006, 11:40	#5
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost questa qua ho notato che a volte si toglie e a volte no: siccome amo che 2+2 faccia sempre 4, vorrei capirne la ragione __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

21-02-2006, 12:04	#7
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	__________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

21-02-2006, 10:04	#2
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Fixa: E:\WINDOWS\downlo~1\rsna\sw0y7l.exe C:\web.exe E:\WINDOWS\System32\intell321.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O4 - HKLM\..\Run: [lich] lich.exe O4 - HKLM\..\Run: [intell321.exe] E:\WINDOWS\System32\intell321.exe O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe Metti al piu' presto il SP2 e la prossima volta il log devi postarlo nell'apposito thread in rilievo dedicato ad hijackthis.

21-02-2006, 11:51	#6
svetonio Member Iscritto dal: Jan 2006 Messaggi: 158	http://www.bleepingcomputer.com/forums/topic40303.html

21-02-2006, 12:10	#8
miaghy7 Member Iscritto dal: Nov 2005 Messaggi: 190	[quote=andorra24]Fixa: E:\WINDOWS\downlo~1\rsna\sw0y7l.exe C:\web.exe E:\WINDOWS\System32\intell321.exe devo eliminarli manualmente? nell'elnco di HT nn li trovo.

21-02-2006, 22:15	#11
svetonio Member Iscritto dal: Jan 2006 Messaggi: 158	Queste parole: "Ragazzi mi compare in basso a destra un pallino rosso con un punto esclamativo e passandoci sopra mi appare la scritta"your computer is infected" descrivono SICURAMENTE questo TROJAN http://securityresponse.symantec.com...phijack.c.html Se non riesci a risolvere con Hijackthis... segui i consigli della Symantec. scusate, prima avevo sbagliato link un saluto Ultima modifica di svetonio : 21-02-2006 alle 22:18.

21-02-2006, 22:38	#14
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	volevo solo sapere perchè a volte lo si fixa il proxy override e a volte no __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

21-02-2006, 23:04	#18
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	anche se "vuota"? cioè con 127.0.0.1? vabbè abbiamo capito: d'ora in avanti la togliamo: eventualmente si reinserirà l'indirizzo a mano __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

21-02-2006, 23:07	#19
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Se non si usa un proxy non dovrebbe proprio apparire nel log quella voce altrimenti e' stata messa da un malware. Meglio starci attenti.

21-02-2006, 23:15	#20
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	non saprei: devo indagare __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

Strumenti
Mostra una versione stampabile Invia questa pagina per email