[win XP] pop up pericolosi

[Ericol 7]

ho un problema quando inizio una navigazione con firefox si aprono dei pop up con IE(ovviamente stra infette di codice maligno e quant'altro)

[murack83pa]

ciao
premesso che anche se nn utilizzato, è sempre bene aggiornare internet explorer, in particolare all'ultima versione 7
ti consiglio di seguire la guida alla disinfezione
posta qui tutti i log richiesti, preferibilmente allegandoli o caricandoli su www.zshare.net e copiando qui il link x il download
grazie
ciao

[xcdegasp]

log rimosso inuanto non rispettava le modalità previste dalle Regole di Sezione

[Ericol 7]

ecco il log di hijackthis

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 21.14.31, on 29/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\Programmi\uTorrent\utorrent.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Dino\Desktop\protezioni\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [avast] C:\\Programmi\\Alwil Software\\Avast4\\ashDisp.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Programmi\uTorrent\utorrent.exe"
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{78ABCCC2-5BC2-4915-8AE4-5B210639FD77}: NameServer = 85.37.17.16 85.38.28.68
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[murack83pa]

stai seguendo tutta la guida?
attendiamo gli altri log, grazie
ciao

[Ericol 7]

ciao purtroppo non è che posso fare molto vorrei fare una scansione on line ma non trovo nei vari collegamenti che ci sono nel 3d"SERVIZI DI SCANSIONE..." qui sul forum uno che vada bene con firefox....IE come lo apro mi comincia a tirar fuori pop up per installazione di robaccia varia.

[murack83pa]

Quote:

Originariamente inviato da Ericol 7

ciao purtroppo non è che posso fare molto vorrei fare una scansione on line ma non trovo nei vari collegamenti che ci sono nel 3d"SERVIZI DI SCANSIONE..." qui sul forum uno che vada bene con firefox....IE come lo apro mi comincia a tirar fuori pop up per installazione di robaccia varia.

la scansione online falla dopo, prima fai le scansioni con asquared e con prevxcsi

[Ericol 7]

ho fatto la scansione con prevxcsi e mi trova un troian precisamente una dll (awtqq.dll)non riesco ada eliminarla ho provato in modalità provvisoria poi con unlocker e anche con dr delete e da prompt dei comandi ma non se ne và

[Ericol 7]

ho appena usato un programmino che si chiama VundoFix e oltre al sudetto file me ne ha trovati degli altri e me li ha rimossi tutti!

speriamo bene per adesso sembra che sia tornato tutto a posto

grazie per il momento

[xcdegasp]

Quote:

Originariamente inviato da Ericol 7

ho appena usato un programmino che si chiama VundoFix e oltre al sudetto file me ne ha trovati degli altri e me li ha rimossi tutti!

speriamo bene per adesso sembra che sia tornato tutto a posto

grazie per il momento

allega il log se puoi così ti diciamos e ha rimosso anche qualche file che non avrebbe dovuto

[Ericol 7]

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 0.40.43, on 30/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Dino\Desktop\protezioni\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: (no name) - {0EF4421A-D484-4BD8-9104-A140C4FDB786} - C:\WINDOWS\System32\awtqq.dll (file missing)
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: {347de13b-b421-66fa-72c4-62e98d022438} - {834220d8-9e26-4c27-af66-124bb31ed743} - C:\WINDOWS\System32\hglxylbu.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [avast] C:\\Programmi\\Alwil Software\\Avast4\\ashDisp.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{78ABCCC2-5BC2-4915-8AE4-5B210639FD77}: NameServer = 85.37.17.16 85.38.28.68
O20 - Winlogon Notify: byxxwxu - byxxwxu.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

ma sbaglio o c'è ne sono delle nuove?tutti quei file mancanti sono i cattivi vero?

[murack83pa]

allora:
prev csi nn puo eliminare nulla, e x questo è molto utile il suo log, cosi individuiamo il tipo di trojan, quindi gentilmente posta il log di prevx csi, casomai fai una nuova scansione
manca ancora la scansione, in deep scan, di asquared e anche qui è necessario che riporti il log
il fatto che c sono dei missing vuol dire che vundofix ha rimosso file pericolosi che adesso risultano mancanti

ricapitolando:
1- allega il post di prevx csi
2- fai la scansione in deep scan con asquared e riporta il log
3-posta un nuovo log di hijackthis

nb: il ripristino configurazione sistema deve essere e rimanere disattivato

ciao ciao

[xcdegasp]

vundofix in alcune occasioni rimuove anche file innocenti per questo è necessario anche il suo log visto che dopo potresti avere programmi che non funzionano o generano errori in determinate occasioni

[Ericol 7]

Quote:

Originariamente inviato da murack83pa

allora:
prev csi nn puo eliminare nulla, e x questo è molto utile il suo log, cosi individuiamo il tipo di trojan, quindi gentilmente posta il log di prevx csi, casomai fai una nuova scansione
manca ancora la scansione, in deep scan, di asquared e anche qui è necessario che riporti il log
il fatto che c sono dei missing vuol dire che vundofix ha rimosso file pericolosi che adesso risultano mancanti

ricapitolando:
1- allega il post di prevx csi
2- fai la scansione in deep scan con asquared e riporta il log
3-posta un nuovo log di hijackthis

nb: il ripristino configurazione sistema deve essere e rimanere disattivato

ciao ciao

allora prevx csi mi trovava soltanto un file infetto e appunto awtqq.dll adesso pero non trova più niente dopo aver usato vundo fix.
adesso faro anche la scansione con a-squared.(ma che è sto a-squared? e pure bello grosso 20 mb!)

Quote:

Originariamente inviato da xcdegasp

vundofix in alcune occasioni rimuove anche file innocenti per questo è necessario anche il suo log visto che dopo potresti avere programmi che non funzionano o generano errori in determinate occasioni

devo rifare di nuovo la scansione con vundo fix?

Le chiavi mancanti che trova hijackthis posso fixarle?

Ah un ultima cosa ho letto in gira che avast non e un granche che AV mi consigliate possibilmente sempre gratuito grazie

[murack83pa]

andiamo con ordine: lascia stare x il momento vundofix e hijackthis
a noi serve il log di prevxcsi x sapere quale trojan ha trovato, gentilmente posta qui il log....
asquared è uno dei migliori antispyware in circolazione: scaricalo e fai una scansione in deep scan( nn in smart scan o quick scan: in deep scan! ) e poi salva il log e lo carichi qui
grazie
ciao

[xcdegasp]

@ Ericol 7:
quando hai fatto le due scansioni suggerite da murack83pa, installa "Avira Antivir Premium" di cui esiste la promo per averlo gratuitamente per 6 mesi, in "AV - discussioni generiche" trovi il thread per avere i dettagli della promo gratuita.
dopo averlo installato fai una bella scansione profonda e posta il log assieme agli altri due richiesti

[Ericol 7]

Quote:

Originariamente inviato da murack83pa

andiamo con ordine: lascia stare x il momento vundofix e hijackthis
a noi serve il log di prevxcsi x sapere quale trojan ha trovato, gentilmente posta qui il log....
asquared è uno dei migliori antispyware in circolazione: scaricalo e fai una scansione in deep scan( nn in smart scan o quick scan: in deep scan! ) e poi salva il log e lo carichi qui
grazie
ciao

ok ecco il log di prevxcsi[/url] (bello lungo!)
http://ericol.altervista.org/prevx.log

(se non dovesse funzionare il link bastera fare un copia incolla nella barra degli indirizzi )

[xcdegasp]

il log di prevxCSI è pulito attendiamo gli altri due log