Spy che non se ne vuole andare....

[Giatar]

per la prima volta mi sono beccato uno spyware che mi faceva apparire uno sfondo di desktop nero con tante cavolate scritte e un invito a ccliaccre un link per rimuovere

Il sistema è XP SP2 (gfull update), ho ripulito ma mi è rimasto questo strascico: al riavvio parte la finestra di connessione e il task manager è bloccato; quindi iavvio ad-ware Personal SE e mi trova due chiavi di reg no buone così le rimuovo ed in effetti già mi si sblocca il task manager.
Ma il problema che al riavvio è tutto come prima e se avvio ad-ware mi ritrova le due chiavi di registro.

Spybot invece non rileva nulla se non i soliti DSO, l'antivirus (Kasper) nemmeno ha trovato nulla di anomalo (solo dei trojan nella temp di internet explorer quando mi beccai lo spy di cui sopra)

Qualcuno sa suggerirmi come cavolo mi tolgo dalle palle sto spy!!!




P.S. dal log ad-ware
Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Windows Object Recognized!
Type : RegData
Data :
Category : Vulnerability
Comment : Possible unintended lockout from Task Manager (Task manager access disabled)
Rootkey : HKEY_USERS
Object : S-1-5-21-2000478354-1957994488-94965379-1001\software\microsoft\windows\currentversion\policies\system
Value : DisableTaskMgr
Data :

Windows Object Recognized!
Type : RegData
Data : explorer.exe c:\windows\system32\kernels32.exe
Category : Vulnerability
Comment : Shell Possibly Compromised
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows nt\currentversion\winlogon
Value : Shell
Data : explorer.exe c:\windows\system32\kernels32.exe

[juninho85]

aggiornati spybot all ultima beta,rimuovi lo spiware e installati spyware blaster aggiornato

[Giatar]

spybot è aggiornato ad oggi e non rileva noto che per questo caso mi va meglio ad-ware.

ora sto navigando e ogni tanto Kasper mi rileva nella temp dei file .qtdfmp infetti da virus TrojanDownloader.Win32.Delf.dg che io puntualmente elimino

a cosa serve di rpeciso spyware balster?

[juninho85]

che firewall utilizzi?

[Giatar]

ah nessuno.....

ho solo quello standard di win sp2

[juninho85]

Quote:

Originariamente inviato da Giatar
ah nessuno.....

ho solo quello standard di win sp2

e fai male
installati subito sygate

[Giatar]

maa non capisco....

xchè ricorrere ad un firewall esterno.. fino ad oggi non ce ne è stata la minima necessità

ci sarà pure qualcosa a monte?

[juninho85]

Quote:

Originariamente inviato da Giatar
xchè ricorrere ad un firewall esterno.. fino ad oggi non ce ne è stata la minima necessità

il fatto che tu sia infestato di spyware e trojan farebbe pensare a tutt'altro

[Giatar]

non mi sembra di esserne infestato a ciuccio

ho uno spyware visto solo adware e che se eliminato mi si ripresenta al riavvio

spybot non vede nulla (eppure al riavvio mi appare la richiesta di connessione remota che nessuno vuole ed il task è bloccato

l'antivirus non trova nulla, solo oggi e solo mentre navigo saltano fuori nella cartella C:\Documents and Settings\Giacomo Tarantini\Impostazioni locali\Temp dei file tipo 1.qtdfmp infetti da virus TrojanDownloader.Win32.Delf.dg che io puntualmente elimino

[juninho85]

Quote:

Originariamente inviato da Giatar
non mi sembra di esserne infestato a ciuccio

ho uno spyware visto solo adware e che se eliminato mi si ripresenta al riavvio

spybot non vede nulla (eppure al riavvio mi appare la richiesta di connessione remota che nessuno vuole ed il task è bloccato

l'antivirus non trova nulla, solo oggi e solo mentre navigo saltano fuori nella cartella C:\Documents and Settings\Giacomo Tarantini\Impostazioni locali\Temp dei file tipo 1.qtdfmp infetti da virus TrojanDownloader.Win32.Delf.dg che io puntualmente elimino

contento te,contenti tutti

[Giatar]

bah io lo metto su il firewall ma non so cosa dovrebbe farmi considerando che quello di sp2 non è che fa poi così schifo

cmq asp che vado di firewall.....

[Giatar]

ho installato anche hijackthis

ecco il log

Logfile of HijackThis v1.99.0
Scan saved at 1.43.57, on 03/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\Programmi\Symantec\WinFax\WFXMOD32.EXE
C:\Programmi\CpuIdle\cpuidle.exe
C:\Programmi\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\system32\kernels32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mapiicon.exe
C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programmi\Html2pop3\html2pop3.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Giacomo Tarantini\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 iframedollars.biz
O1 - Hosts: 127.0.0.3 www.iframedollars.biz
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 iframedollars.biz
O1 - Hosts: 127.0.0.3 www.iframedollars.biz
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 iframedollars.biz
O1 - Hosts: 127.0.0.3 www.iframedollars.biz
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5017F3DB-36A8-49C1-B168-74FA75085E54} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {D90CF071-B81E-4CE0-8ABC-CB2F0A9F2BBE} - C:\WINDOWS\system32\lbgm.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CpuIdle] C:\Programmi\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programmi\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: html2pop3.exe.lnk = C:\Programmi\Html2pop3\html2pop3.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK = C:\WINDOWS\system32\mapiicon.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102791693256
O17 - HKLM\System\CCS\Services\Tcpip\..\{68A21609-50CD-40E7-A508-075202E2B28A}: NameServer = 80.19.114.21 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{68A21609-50CD-40E7-A508-075202E2B28A}: NameServer = 80.19.114.21 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: WinFax PRO - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

[bluepix]

is safe mode (occhio al ripristino di XP)

Vanno assolutamente eliminati tutti i riferimenti a kernels32.exe
chè è un virus

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels32.exe

e occorre editare il file hosts per togliere le seguenti vociTroj/Harnig-AL)

O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 iframedollars.biz
O1 - Hosts: 127.0.0.3 www.iframedollars.biz
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 iframedollars.biz
O1 - Hosts: 127.0.0.3 www.iframedollars.biz
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 iframedollars.biz
O1 - Hosts: 127.0.0.3 www.iframedollars.biz

[Giatar]

grazie mille dottore
che dice è grave?


cmq ora sono in studio appena torno a casa per la pausa pranzo provvedo.
Posso cancellare le voci usando sempre hijackthis? In caso negativo come edito il file hosts, semplicemente con notepad?


cosa intendi per
is safe mode (occhio al ripristino di XP)

il ripristino l'ho disattivato


uaoo però per la prima volta mi so beccato un virusso un bel capoDANNO

[juninho85]

Quote:

Originariamente inviato da Giatar
grazie mille dottore
che dice è grave?


cmq ora sono in studio appena torno a casa per la pausa pranzo provvedo.
Posso cancellare le voci usando sempre hijackthis? In caso negativo come edito il file hosts, semplicemente con notepad?


cosa intendi per
is safe mode (occhio al ripristino di XP)

vai in modalita provvisoria e editi il file host su system32\drivers\etc...poi cancelli le voci da regedit.exe e sopratutto ti metti un bel firewall

[Giatar]

tutto fatto e tutto ok

un buon firewall leggero, semplice ma efficace?

[juninho85]

Quote:

Originariamente inviato da Giatar
tutto fatto e tutto ok

un buon firewall leggero, semplice ma efficace?

io ripeto:sygate personal firewall,pero evita la 5.5 e la 5.6,mettiti la 5.1 pro aggiornata

[FOXYLADY]

Quote:

Originariamente inviato da Giatar
tutto fatto e tutto ok

un buon firewall leggero, semplice ma efficace?

Sygate.

Comunque se hai preso le infezioni segnalati dal tuo log i casi sono due:
1 hai ricevuto ed aperto l'allegato di una mail contenente le infezioni

2 hai navigato in qualche sito poco raccomandabile (warez o porno) ed hai cliccato su si od ok in una di quelle finestre che regolarmente compaiono in suddetti siti.

In ogni caso, il tuo antivirus ha fatto cilecca e la cosa mi sorprende visto che dal tuo log mi pare di aver capito che usi il kav.

Comunque il firewall centra poco secondo me.

Stai più attento ai siti in cui navighi e a non cliccare indiscriminatamente su ogni finestra che ti compare in internet.
Usa firefox al posto di internet explorer ed installa spywereblaster.
Qui:
http://www.sicurezzainrete.com/SpywareBlaster_1.htm
puoi trovare una guida ed il link da cui scaricare il programma che è veramente molto utile.

In spybot attiva l'opzione teatimer che consente un controllo in tempo reale di ogni modifica al registro di sistema di windows.
Se usata con intelligenza, questa opzione può prevenire molti guai.

Ciao

[Giatar]

grazie mille

in effetti io stesso sin dall'inizio dubitavo fosse un difetto di protezione di porte e cmq di firewall
uso Kasper AV poi spybot e ad-ware (perchè moltre volte l'uno vede ciò che sfugge all'altro)


attiverò la funzione di spybot (ma dove la trovo precisamente?)



un altra cosa a proposito di firewall dato che i software secondo me o sono troppo restrittivi opure cmq non sevono a nulla posso tirare a campare con quello di xp sp2?

[Jena73]

Quote:

Originariamente inviato da FOXYLADY
Sygate.

Comunque se hai preso le infezioni segnalati dal tuo log i casi sono due:
1 hai ricevuto ed aperto l'allegato di una mail contenente le infezioni

2 hai navigato in qualche sito poco raccomandabile (warez o porno) ed hai cliccato su si od ok in una di quelle finestre che regolarmente compaiono in suddetti siti.

In ogni caso, il tuo antivirus ha fatto cilecca e la cosa mi sorprende visto che dal tuo log mi pare di aver capito che usi il kav.

Comunque il firewall centra poco secondo me.

Stai più attento ai siti in cui navighi e a non cliccare indiscriminatamente su ogni finestra che ti compare in internet.
Usa firefox al posto di internet explorer ed installa spywereblaster.
Qui:
http://www.sicurezzainrete.com/SpywareBlaster_1.htm
puoi trovare una guida ed il link da cui scaricare il programma che è veramente molto utile.

In spybot attiva l'opzione teatimer che consente un controllo in tempo reale di ogni modifica al registro di sistema di windows.
Se usata con intelligenza, questa opzione può prevenire molti guai.

Ciao

quoto quanto sopra