Antispyware indesiderato

Baldas · 13-12-2006, 14:07

Navigando ho acchiapato un bel malware ..penso.
Il fatto è che oltre al malevolo (che però non da particolari problemi) mi è apparsa anche un'iconcina sulla barra in basso di xp che mi avvisa tramite baloon che sono infetto e mi linka ad un sito internet di un prodotto software antivirus (che dovrei acquistare per eliminare tutti i miei problemi)...mi chiedo ...cosa c'è sotto..è la ditta che produce l'antivirus ad avermi inoculato lo spyware o in caso contrario com'è può sapere che sono infetto???...qualcuno ha avuto esperienze simili??

FOXYLADY · 13-12-2006, 16:28

Posta un log di hijackthis che diamo un occhiata

http://www.hwupgrade.it/forum/showthread.php?t=937676

Baldas · 14-12-2006, 11:30

grazie per la solerzia...ma come avevo detto ?

..non dava problemi.

.beh il pc è diventato inutilizzabile...lentissimo ..risponde ai comandi dopo 15 min....quindi non riesco a fare nessuna operazione...proverò ad aggirare l'ostacolo operando dalla ripartizione linux...vi faccio sapere

Baldas · 14-12-2006, 18:32

eccco finalmente ci sono riuscito....se puoi darci un'occhiata...grazie.

Logfile of HijackThis v1.99.1
Scan saved at 19.28.29, on 14/12/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Softwin\BitDefender9\bdmcon.exe
C:\Programmi\Softwin\BitDefender9\bdnagent.exe
C:\Programmi\Softwin\BitDefender9\bdswitch.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\Softwin\BitDefender9\vsserv.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ospite\IMPOST~1\Temp\Rar$EX02.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {799B9DAA-E010-9A49-F7AE-B24111022866} - C:\WINDOWS\lehnh1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Programmi\Video ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programmi\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programmi\Softwin\BitDefender9\bdswitch.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NetKhh - Unknown owner - C:\:XKW.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

FOXYLADY · 14-12-2006, 19:46

Scarica questi tool
Drwb Cureit
Sophos
Il primo non necessita di installazione, il secondo si.
Avvia il pc in modalità provvisoria e fixa in hijackthis queste voci
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {799B9DAA-E010-9A49-F7AE-B24111022866} - C:\WINDOWS\lehnh1.dll (file missing)
O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Programmi\Video ActiveX Object\iesplugin.dll (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

Fai una scansione con i due tool e rimuovi eventuali voci trovate.

Riavvia in modalità normale e fai una pulizia dei file temporanei con Ccleaner

Poi riposta un log di hijackthis.
Se ci sarà ancora qualcosa bisognerà vedere anche un log di gmer, ma intanto incomincia a fare quello che ti ho detto.

Baldas · 16-12-2006, 11:44

non riesco ad entrare in modalità provvisoria....ho fixato le voci che mi hai indicato...e ad una sucessiva scansione ritrovo solo la riga

23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

che sia questa la voce incriminata?

purtroppo il pc è lentissimo (scrivo da un'altro)...quindi le operazioni le svolgo quando ho tempo perdendo un scco di tempo

per entrare in modalità provvisoria come faccio?
all'inizio posso scegliere tra linux , windos , self... (che però mi rimanda a dos con un sacco di righe di comando)...boh? mi rendo conto di essere in alto mare con le conoscenze marittime di un montanaro.
proverò in ogni caso a seguire le tue indicazioni....grazie per la disponibilità

FOXYLADY · 16-12-2006, 13:37

Per entrare in modalità provvisoria puoi anche usare il metodo 3 indicato a questo link
http://collectiontricks.p2pforum.it/...p?articleid=90

comunque puoi anche provare a fare le scansioni in modalità normale prima.

Quello 023 è un servizio indicato come filemissing, quindi potrebbe non essere più attivo.
Tra l'altro csrss.exe è anche un processo legittimo di windows, solo che dovrebbe trovarsi in C:\Windows\Sistem32.
Eventualmente fai una ricerca per nome file csrss.exe e controlla le proprietà dei file che saltano fuori.

Baldas · 18-12-2006, 18:02

grazie infinitamente

ho finalmente risolto il problema seguendo le tue istruzioni

la mossa decisiva è stata Sophos che ha individuato è eliminato con sucesso
C:\WINDOWS\System32:c_125x.nls
al sucessivo riavvio uscendo dalla modalità provvisoria infatti l'icona che mi avvertiva di un errore del sistema è sparita

Grazie nuovamente

13-12-2006, 14:07	#1
Baldas Member Iscritto dal: Aug 2005 Messaggi: 222	Antispyware indesiderato Navigando ho acchiapato un bel malware ..penso. Il fatto è che oltre al malevolo (che però non da particolari problemi) mi è apparsa anche un'iconcina sulla barra in basso di xp che mi avvisa tramite baloon che sono infetto e mi linka ad un sito internet di un prodotto software antivirus (che dovrei acquistare per eliminare tutti i miei problemi)...mi chiedo ...cosa c'è sotto..è la ditta che produce l'antivirus ad avermi inoculato lo spyware o in caso contrario com'è può sapere che sono infetto???...qualcuno ha avuto esperienze simili??

13-12-2006, 16:28	#2
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Posta un log di hijackthis che diamo un occhiata http://www.hwupgrade.it/forum/showthread.php?t=937676 __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

14-12-2006, 19:46	#5
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Scarica questi tool Drwb Cureit Sophos Il primo non necessita di installazione, il secondo si. Avvia il pc in modalità provvisoria e fixa in hijackthis queste voci R3 - Default URLSearchHook is missing O2 - BHO: Class - {799B9DAA-E010-9A49-F7AE-B24111022866} - C:\WINDOWS\lehnh1.dll (file missing) O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Programmi\Video ActiveX Object\iesplugin.dll (file missing) O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing) Fai una scansione con i due tool e rimuovi eventuali voci trovate. Riavvia in modalità normale e fai una pulizia dei file temporanei con Ccleaner Poi riposta un log di hijackthis. Se ci sarà ancora qualcosa bisognerà vedere anche un log di gmer, ma intanto incomincia a fare quello che ti ho detto. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci Ultima modifica di FOXYLADY : 14-12-2006 alle 22:11.

16-12-2006, 13:37	#7
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Per entrare in modalità provvisoria puoi anche usare il metodo 3 indicato a questo link http://collectiontricks.p2pforum.it/...p?articleid=90 comunque puoi anche provare a fare le scansioni in modalità normale prima. Quello 023 è un servizio indicato come filemissing, quindi potrebbe non essere più attivo. Tra l'altro csrss.exe è anche un processo legittimo di windows, solo che dovrebbe trovarsi in C:\Windows\Sistem32. Eventualmente fai una ricerca per nome file csrss.exe e controlla le proprietà dei file che saltano fuori. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

14-12-2006, 11:30	#3
Baldas Member Iscritto dal: Aug 2005 Messaggi: 222	grazie per la solerzia...ma come avevo detto ? ..non dava problemi. .beh il pc è diventato inutilizzabile...lentissimo ..risponde ai comandi dopo 15 min....quindi non riesco a fare nessuna operazione...proverò ad aggirare l'ostacolo operando dalla ripartizione linux...vi faccio sapere

14-12-2006, 18:32	#4
Baldas Member Iscritto dal: Aug 2005 Messaggi: 222	eccco finalmente ci sono riuscito....se puoi darci un'occhiata...grazie. Logfile of HijackThis v1.99.1 Scan saved at 19.28.29, on 14/12/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\Softwin\BitDefender9\bdmcon.exe C:\Programmi\Softwin\BitDefender9\bdnagent.exe C:\Programmi\Softwin\BitDefender9\bdswitch.exe C:\Programmi\Spamihilator\spamihilator.exe C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe C:\Programmi\Softwin\BitDefender9\vsserv.exe C:\Programmi\WinRAR\WinRAR.exe C:\DOCUME~1\ospite\IMPOST~1\Temp\Rar$EX02.516\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Class - {799B9DAA-E010-9A49-F7AE-B24111022866} - C:\WINDOWS\lehnh1.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Programmi\Video ActiveX Object\iesplugin.dll (file missing) O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender9\bdmcon.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programmi\Softwin\BitDefender9\bdnagent.exe" O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programmi\Softwin\BitDefender9\bdswitch.exe" O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe" O4 - Global Startup: Acrobat Assistant.lnk.disabled O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk.disabled O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: NetKhh - Unknown owner - C:\:XKW.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

16-12-2006, 11:44	#6
Baldas Member Iscritto dal: Aug 2005 Messaggi: 222	non riesco ad entrare in modalità provvisoria....ho fixato le voci che mi hai indicato...e ad una sucessiva scansione ritrovo solo la riga 23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing) che sia questa la voce incriminata? purtroppo il pc è lentissimo (scrivo da un'altro)...quindi le operazioni le svolgo quando ho tempo perdendo un scco di tempo per entrare in modalità provvisoria come faccio? all'inizio posso scegliere tra linux , windos , self... (che però mi rimanda a dos con un sacco di righe di comando)...boh? mi rendo conto di essere in alto mare con le conoscenze marittime di un montanaro. proverò in ogni caso a seguire le tue indicazioni....grazie per la disponibilità

18-12-2006, 18:02	#8
Baldas Member Iscritto dal: Aug 2005 Messaggi: 222	grazie infinitamente ho finalmente risolto il problema seguendo le tue istruzioni la mossa decisiva è stata Sophos che ha individuato è eliminato con sucesso C:\WINDOWS\System32:c_125x.nls al sucessivo riavvio uscendo dalla modalità provvisoria infatti l'icona che mi avvertiva di un errore del sistema è sparita Grazie nuovamente

Strumenti
Mostra una versione stampabile Invia questa pagina per email