virus alert

[mistralivo]

ciao a tutti ,mi succede questo: mi compare un icona a forma di triangolo giallo con in mezzo un punto esclamativo con relativa finestra che dice: system alert:trojan- spy win 32 ecc ecc, apre internet explorer in una pagina dove devo scaricare un anrivirus e ho gia provato ad-aware(niente) hijackthis(niente). lo tolgo dalla barra e lui dopo un po ritorna(il triangolo). cosa posso fare?grazie

[Roberto Trizio]

Ti viene fuori System Alert:Trojan-Spy.Win32@mx?

Se sì, scarica SmitfraudFix da qui

http://www.alground.com/site/modules...?cid=3&lid=151

Scompatta il file zippato, clicca su

smitfraudfix.cmd

Seleziona l'opzione 1 e posta il relativo report. Il report te lo crea solitamente in C:\rapport.txt.

[mistralivo]

SmitFraudFix v2.212

Scan done at 23.50.37,75, 17/08/2007
Run from D:\PROVA\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
D:\PROGRA~2\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
D:\PROGRAMMI\Comodo\Firewall\CPF.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programmi\Softwin\BitDefender10\bdagent.exe
D:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRAMMI\FreePOPs\freepopsd.exe
C:\WINDOWS\system32\rundll32.exe
D:\PROGRAMMI\Comodo\Firewall\cmdagent.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAMMI\Mozilla Firefox\firefox.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\PROGRAMMI\7-Zip\7zFM.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mistralivo


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mistralivo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MISTRA~1\PREFER~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programmi


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="about:Home"
"SubscribedURL"="about:Home"
"FriendlyName"="Pagina iniziale corrente"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 85.37.17.8
DNS Server Search Order: 85.38.28.73

HKLM\SYSTEM\CCS\Services\Tcpip\..\{36066CC5-D805-46AD-A218-722CF863F260}: NameServer=85.37.17.8 85.38.28.73
HKLM\SYSTEM\CS1\Services\Tcpip\..\{36066CC5-D805-46AD-A218-722CF863F260}: NameServer=85.37.17.8 85.38.28.73


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

[Roberto Trizio]

Adesso controlla in installazione applicazione se hai i programmi

- Seekmo Toolbar o Seekmo
- AWS o Weatherbug

Se ci sono prova a rimuoverli, e rifai smitfraudfix in modalità provvisoria (f8 al boot) poi togli se ci sono le cartelle

- C:\Program Files\Seekmo Programs
- C:\Program Files\AWS

[mistralivo]

allora prma di tutto grazie per avermi aiutato,ieri sera aspettavo una risposta e intanto il "virus" mi martellava continuamente ,poi ho spento e sono andato a dormire, stamane ho acceso ho visto la risposta al messaggio ma di quei files non c'era traccia e come per incanto il "virus o trojan" se n'e' andato, adesso come mi connetto va tutto bene, prima come mi connettevo dopo 10 secondi arrivava il maledetto triangolo giallo,ora tutto ok. ancora grazie ciao

[Roberto Trizio]

Felice di averti dato una mano

[mistralivo]

ciao mi sono sbagliato ho acceso adesso il computer e aprendo la connessione mi e' spuntato di nuvo il triangolo giallo.non so piu cosa fare

[Roberto Trizio]

Riavvia in modalità provvisoria (f8 al boot) rifai la scansione con smitfraudfix. Poi, sempre in modalità provvisoria fai uno scan con avg free e qualunque cosa trovi mettila in "virus vault".

POi scarica questo

http://www.ccleaner.com/download/builds.aspx

e lancialo.

Poi riavvia. Fai un log hijackthis e se trovi delle voci così

O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - C:\Program Files\Seekmo Programs\Seekmo Toolbar\SeekmoTB.dll

O4 - HKCU\..\Run: [Weather] C:\PROGRA~1\AWS\WEATHE~1\Weather.exe 1

O11 - Options group: [INTERNATIONAL] International*

disabilita il ripristino di configurazione, riavvia in modalità provvisoria,rifai il log hijack, e metti il segno di spunta accanto a questi valori e clicca su "Fix".

Riavvia. Poi fai uno scan qui

http://www.kaspersky.com/virusscanner e posta il risultato

[mistralivo]

Quote:

Originariamente inviato da Roberto Trizio

Riavvia in modalità provvisoria (f8 al boot) rifai la scansione con smitfraudfix. Poi, sempre in modalità provvisoria fai uno scan con avg free e qualunque cosa trovi mettila in "virus vault".

POi scarica questo

http://www.ccleaner.com/download/builds.aspx

e lancialo.

Poi riavvia. Fai un log hijackthis e se trovi delle voci così

O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - C:\Program Files\Seekmo Programs\Seekmo Toolbar\SeekmoTB.dll

O4 - HKCU\..\Run: [Weather] C:\PROGRA~1\AWS\WEATHE~1\Weather.exe 1

O11 - Options group: [INTERNATIONAL] International*

disabilita il ripristino di configurazione, riavvia in modalità provvisoria,rifai il log hijack, e metti il segno di spunta accanto a questi valori e clicca su "Fix".

Riavvia. Poi fai uno scan qui

http://www.kaspersky.com/virusscanner e posta il risultato

"forse" ho risolto con trojan remover,per adesso non compare nulla,ti faccio sapere qualcosa ,per adesso grazie.ciao

[Roberto Trizio]

Si fammi sapere se si è risolto, che poi devo fare una scheda su questo virus

[mistralivo]

Quote:

Originariamente inviato da Roberto Trizio

Si fammi sapere se si è risolto, che poi devo fare una scheda su questo virus

per adesso e' piu di un ora che e' acceso non e' comparso piu nulla,ho poi fatto un'altra scansione con trojan remover e non mi ha piu trovato niente,per ora tutto ok. ciao

[mistralivo]

Quote:

Originariamente inviato da Roberto Trizio

Si fammi sapere se si è risolto, che poi devo fare una scheda su questo virus

sono le ore 12,20 di 19/08/2007 tutto ok. ciao