Virus e Spyware "invisibili"?

[LordBerisha]

Ciao a tutti, lo so che il titolo non è molto chiaro e mi spiego subito meglio.

1)
Un primo problema è lo spyware "Cool Web Search", che nel mio caso viene segnato come coolWWW da SpySweeper.
Questo spyware mi cambia ripetutamente la pagina iniziale e sembra essere ineliminabile.
Ho provato con SpySwepeer, con un programma creato APPOSTA per quel worm ed eliminando manualmente tutte le chiavi di registro riferite alla pagina iniziale ma niente, nulla da fare.

Sembra che nessuno sappia dove risieda fisicamente questo spyware sul pc, se in un file o in chiavi di regisro...

2)
Norton continua a segnalarmi un virus (un trojan generico) dicendo che è impossibile cancellare il file infetto.
Mi era già successo, evidentemente il file infetto è in esecuzione ma non riesco a capire di quale processo si tratti.
Ho provato anche a ripetere la scansione in modalità provvisoria ma in quel caso il virus non viene rilevato.
Il file ctlmknn.dll che dovrebbe essere infetto in realtà NON ESISTE sul mio pc....


Qualche suggerimento? Ciao

[netquik]

molti suggerimenti...

Adaware aggiornato e settato così
http://forum.hwupgrade.it/showthread...hreadid=728094

magari effettua la pulizia da provvisoria dopo esserti assicurato che sia attiva la visualizzazione dei file nascosti e di sistema



se non risolvi
posta qui i logs di questi due programmi

HijackThis 1.98
http://www.spywareinfo.com/~merijn/files/HijackThis.exe

e FINDnFIX
http://freeatlast100.100free.com/index.html

e leggiti questo 3D
http://forum.hwupgrade.it/showthread...4&pagenumber=3

[LordBerisha]

Dunque, inizio innanzitutto a postare il log HjT, ditemi se c'è qualcosa di sospetto..
Continuo con gli altri consigli e vi farò sapere.
Grazie

Dimenticavo : uso win2k sp4

Logfile of HijackThis v1.97.7
Scan saved at 19.58.21, on 19/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
D:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mdm.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\PROGRA~1\DAP\DAP.EXE
d:\Documenti\Downloads\Programmi\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...lInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab

[netquik]

qualcosa di sospetto c'è


comunque scarica ti il nuovo HijackThis!



O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com


http://uk.trendmicro-europe.com/ente...e=WORM_BEREB.B

[LordBerisha]

Grazie per i preziosi consigli netquick.
Dunque, il problema coolWebSearch sembra essere stato risolto con Adaware.

La chiave di registro sospetta è stata anch'essa eliminata....

Rimane questo problema, un avviso virus di Norton che fa riferimento ad un fantomatico ctlmknn.dll che è impossibile eliminare e che NON ESISTE sul mio hd....

Strano no?

P.S. non ho scaricato l'ultima versione di HjT perchè il link che avevi dato tu non funzionava..

[wgator]

Hehehe, questa volta, prima di premere "invia" ho premuto "aggiorna"

Comunque quoto

[netquik]

allora HijackThis scaricalo da qui

http://www.majorgeeks.com/download3155.html


poi

sei sicuro di aver abilitato la vis dei file nascosti e di sistema?

ti consiglio caldamente di postare anvhe il log di FindnFIX



hai provato a usare per esempio lo scan online di trendmicro?

[ercolino]

Prova anche con questo

http://www.spywareinfo.com/downloads...CWShredder.exe

[Oaichehai]

Quote:

Originariamente inviato da ercolino
Prova anche con questo

http://www.spywareinfo.com/downloads...CWShredder.exe

cwshredder è l'ideale x i coolwebsearch...

[netquik]

avete ragion ma io pensavo

Quote:

Ho provato con SpySwepeer, con un programma creato APPOSTA per quel worm ed eliminando manualmente tutte le chiavi di registro riferite alla pagina iniziale ma niente, nulla da fare.

che il porgramma fatto apposta fosse cwsshredder

[LordBerisha]

Quote:

Originariamente inviato da netquik
avete ragion ma io pensavo


che il porgramma fatto apposta fosse cwsshredder

Esatto, era proprio cwsshredder ma NON funzionava...
Comunque con adaware ho risolto il problema CWS...

Rimane il virus "invisibile" .... che strano.

Durante la scansione con HjT sono sicuro che la visualizzazione nascosti-sistema fosse attiva.

[netquik]

hai per caso provato FINDnFIX

e lo scan online trendmicro?

[LordBerisha]

Lo scan online ti trendmicro mi ha trovato due trojan ma l'altro problema virus rimane.....

FindnFix scusate se sono ignorante ma non ho capito quale dei vari .exe inclusi devo lanciare...

[netquik]

http://forum.hwupgrade.it/showthread...4&pagenumber=3

leggi qui il mio post a riguardo

leggilo bene perchè nel caso poi devi seguire quei passi precisamente

[LordBerisha]

Perfetto, le tue istruzioni per usare FindnFix erano chiarissime.

Come ho riavviato con FIX.bat Norton ha automaticamente eliminato il file, ma io ho preferito disattivarlo e finire la procedura consigliata da te.

Ora sembra tutto pulito.
Grazie mille, il tuo aiuto è stato preziosissimo.

[netquik]

Perfetto!


quindi hai trovato la dll incriminata?


solo per curiosità il nome della dll era quello detto prima?

[LordBerisha]

Sì, era proprio quella "fantasma" che veniva trovata da Norton ma non era possibile eliminare.

Eseguendo Fix.bat è apparsa ed è stato possibile fraggarla.