Pop Up e dopo messaggio trojan

[tecnico75]

Ciao ragazzi,mentre navigavo su internet prima ho visitato un sito di automazione,per errore ho messo .com anzichè .it e mi è comparso anche un Pop Up,con scritto in inglese congratulazioni bla bla,poi next,io ovviamente ho chiuso tutto,ripulito con CCleaner,Spibot S&D più scansione profonda con Nod32,che mi rilevava 3 virus o meglio cavalli di troia ho fatto elimina,però anche dopo averli eliminati mi comparivano ancora dopo scansione,almeno uno.
Ho disattivato ripristino configurazione di sistema,riavviato rifatto scansione e ora non mi da più nulla NOD32.

Il nome era !KillBox probabilmente variante doubleclick.exe invece l'altro era un numero WINDOWS/B09543*******ecc...

Posso essere tranquillo ora?

Posto lo screen di NOD32 :

[juninho85]

ma quello non è per caso un backup del programma killbox per chiudere file in esecuzione/bloccati?

[tecnico75]

Quote:

Originariamente inviato da juninho85

ma quello non è per caso un backup del programma killbox per chiudere file in esecuzione/bloccati?

Precisazione : Mi sono accorto di avere un "programmino" chiamato !KillBox che mi avevano dato tempo fa per rimuovere qualcosa,tipo spyware appunto.
Per essere sicuro l'ho eliminato,anche se non mi dava già più niente prima.

Tu lo conosci?

Potrebbe essere quello?
Il messaggio mi è apparso nel sito,ma magari era innocuo?

Potrebbe essere un falso positivo? Anche se di fatto prima c'era ed ora non più

[juninho85]

si che lo conosco...il file service32.exe si trova li perchè è stato precedentemente rimosso da te con killbox.
comunque non dovrebbe esserci nessuna correlazione tra questo e gli altri 2 file rilevati,ancor meno col pop-up anche se stavolta a culo c'ha preso visto che sei veramente infetto...soltanto che cliccando sul link che ti propone lui ti saresti scaricato un controllo activex o un fasullo programma di rimozione che altro che non era che l'ennesimo file infetto

[tecnico75]

Dici che c'ha preso l'antivirus NOD32 ?
Io adesso ho appunto rimosso KillBox.

[ste_95]

scansiona online con kaspersky e postane il risultato finale...

[juninho85]

Quote:

Originariamente inviato da tecnico75

Dici che c'ha preso l'antivirus NOD32 ?
Io adesso ho appunto rimosso KillBox.

certo che c'ha preso,sta rilevando qualcosa che tu in passato hai rimosso con killbox e che ora si trova nella sua cartella di backup.
però,tralasciando questo file che in quella posizione è innocuo,dovresti preoccuparti delle altre infezioni

[tecnico75]

Quote:

Originariamente inviato da juninho85

certo che c'ha preso,sta rilevando qualcosa che tu in passato hai rimosso con killbox e che ora si trova nella sua cartella di backup.
però,tralasciando questo file che in quella posizione è innocuo,dovresti preoccuparti delle altre infezioni

Ma se adesso non mi rileva più nulla,dovrebbe essere tutto a posto no?

[Riverside]

Quote:

Originariamente inviato da tecnico75

Ma se adesso non mi rileva più nulla,dovrebbe essere tutto a posto no?

Scusa, perchè non leggi, prima di postare??

Quote:

Originariamente inviato da juninho85

certo che c'ha preso,sta rilevando qualcosa che tu in passato hai rimosso con killbox e che ora si trova nella sua cartella di backup .... però,tralasciando questo file che in quella posizione è innocuo,dovresti preoccuparti delle altre infezioni

Traduzione breve del "juninho pensiero": il tuo P.C. è infetto.

[tecnico75]

Quote:

Originariamente inviato da Riverside

Scusa, perchè non leggi, prima di postare??

Traduzione breve del "juninho pensiero": il tuo P.C. è infetto.

Come fai a dire che è infetto se NOD32 non rileva più nulla!!!

[tecnico75]

Quote:

Originariamente inviato da Riverside

Scusa, perchè non leggi, prima di postare??

Traduzione breve del "juninho pensiero": il tuo P.C. è infetto.

Guarda che io i post li leggo,chiedevo se con questa schermata che posto sono infetto oppure no

[juninho85]

Quote:

Originariamente inviato da tecnico75

Come fai a dire che è infetto se NOD32 non rileva più nulla!!!

non ho detto di esser certo che il tuo pc sia infetto,piuttosto di verifica che effettivamente nod abbia rimosso lo small.clicker....le ipotesi son due,supponendo che tu sia ancora infetto:
1)la prima volta che ha beccato questo trojan non l'hai rimosso completamente
2)l'hai rimosso completamente ma avevi(come si deduce anche dallo screen da te postato)il ripristino configurazione sistema attivo dunque successivamente è riuscito a rigenerarsi

[tecnico75]

Adesso apparso questo durante la navigazione e suggerito di inviarlo per esame,centra qualcosa?

Fatto scansione e non rileva nulla,grazie.

[juninho85]

questa è ancora un altra faccenda...
senti,nel caso utilizzassi ancora IE passa a opera oppure firefox,li setti a dovere e con un firewall in esecuzione tutta questa roba non entra nel tuo pc,o per lo meno ti chiede il consenso prima di infettarti
magari posta un log di hijackthis per vedere se c'è ancora qualcosa da rimuovere....comunque ti infetti veramente con troppa facilità

[tecnico75]

Quote:

Originariamente inviato da juninho85

questa è ancora un altra faccenda...
senti,nel caso utilizzassi ancora IE passa a opera oppure firefox,li setti a dovere e con un firewall in esecuzione tutta questa roba non entra nel tuo pc,o per lo meno ti chiede il consenso prima di infettarti
magari posta un log di hijackthis per vedere se c'è ancora qualcosa da rimuovere....comunque ti infetti veramente con troppa facilità

Ma io vado in siti classici,tipo questo,non scarico cose strane... non capisco...

Anche il NOD non dovrebbe avere una risposta più affidabile?

[tecnico75]

Avrei anche intenzione di mettere al posto di NOD32 Kaspersky Internet Security,sul portatile l'ho e mi sembra efficiente!

[tecnico75]

Ho effettuato una scansione completa di tutti i dischi,con esito negativo.

Nessun virus.

Volevo dire però che navigando stamane mi è apparsa la finestra in cui NOD mi diceva di spedire un file per analisi e andando a vedere in eventi virus ho trovato questo:



può essere correlata agli avvisi precedenti,oppure non centra nulla visto che il pc in tutte le unità pare pulito?

Grazie

[tecnico75]

hijackthis l'avevo usato tempo fa,ma non so come si usa

[lancetta]

Pulizia temporanei e index:scarica ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected"
il soft è senza installazione.........oppure puoi usare CCleaner( QUI)disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" più completo.

log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricalo da QUI LINK è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post....fai anche una scansione degli ads Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan" e riporta qui cosa ha rilevato,se c'è qualcosa.

[tecnico75]

Logfile of HijackThis v1.99.1
Scan saved at 16.07.33, on 02/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE
C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\ALCMTR.EXE
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE /P30 "EPSON Stylus Photo R320 Series" /O6 "USB002" /M "Stylus Photo R320"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R1800] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE /P24 "EPSON Stylus Photo R1800" /O6 "USB001" /M "Stylus Photo R1800"
O4 - HKLM\..\Run: [EEventManager] C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tecnico75.spaces.live.com//Ph...d/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1156600422468
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://tecnico75.spaces.live.com/Pho...d/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe