messaggi "system at risk, spyware detected"

[Huzzz]

ciao a tutti,
il pc di mio fratello e quello di un mio amico hanno i seguenti problemi simili fra loro:

quello di mio fratello ogni tanto, compare un ballon tip di win con scritto in inglese che il sistema è a rischio, sono presenti spyware e i programmi antivirus non sono adeguati. il pc non ha installato alcun antivirus e passa tramite il mio pc per avere la connessione.
con scansioni di spybot, hijackthis e compagnia bella ho eliminato tutto ciò che non era necessario//sospetto.
Ora i programmi in esecuzione sono pochissimi (ati controlpanel, pannello della sk audio... etc).
ma il problema persiste.

per quanto riguarda il pc del mio amico, a lui è comparso uno sfondo sul desktop con descrizioni simili, computer a rischio etc.
da notare che stava scaricando con emule, ha aperto explorer, quest ultimo si è impiantato ed è comparso quel mex. il sistema è protetto con firewall zonealarm.

consigli?
grazie

[bluepix]

Disabilita il servizio "Messenger"

ciao

[Huzzz]

Quote:

Originariamente inviato da bluepix
Disabilita il servizio "Messenger"

ciao

il servizio messenger è disabilitato su tutti i pc.
qui con messaggio sullo sfondo intendo proprio una pagina html piazzata come sfondo di windows!

[juninho85]

inanzitutto piazzati il service pack2.mettiti un antivirus,un buon firewall e qualche programmino(anche con scan in real-time)per i malware.

un pc senza questi 4 elementi e come una vergine in balia di 40 alluppati

[Huzzz]

devo proprio piazzarlo il service pack 2?
cmq i sistemi sono già protetti con firewall...
sinceramente gli antivirus mi stanno sulle palle, avevo già letto in precedenza che molti consigliano AVG dato che c'è anche fre... ma è invasivo come pochi... se trova qualcosa e non riesce a cancellarlo continua a spuntare fuori la finestra... 0.o

però non capisco una cosa: il registro nella stringa /currentversion/run
è pulito, ci deve essere un programma in background che fa apparire queste cose... oppure no?

[th3fast3r]

Stesso identico problema mio e di un altro mio amico....ormai questo script è sempre + diffuso ed è altamente fastidioso... io ad esempio sono sotto nat, firewall integrato, nod32, adware eccc...ma nulla nn si riesce a rimuovere...qualcuno conosce qualke tool in merito per risolvere?

[bluepix]

in

MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

c'è qualche valore contenente: bargains ?

[th3fast3r]

no... qualke altra idea?

[bluepix]

Se mettessi un report di HijackThis magari si riesce a capire di più.

ciao

[Huzzz]

no niente bargain...
hijackthis log?
ecco a voi

Codice:

Logfile of HijackThis v1.99.0
Scan saved at 21.07.54, on 23/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Messenger\msmsgs.exe
D:\Programmi\Starcraft\SCXE Launch Wizard.exe
C:\Documents and Settings\Tizi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

[th3fast3r]

up : /

[th3fast3r]

news: Ho notato ke con ad-ware nn si riesce a rimuovere questi 2 Objects:

Gator Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Gator.com


Possible Browser Hijack attempt Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Run
Value : sp

Cosa ne dite ragazzi? grazie per eventuali risposte.

[bluepix]

Questo è sicuramente un problema.

Possible Browser Hijack attempt Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Run
Value : sp

vedi a: http://securityresponse.symantec.com....ntsearch.html

quello che non capisco è come mai non appare nella sezione O4 di Hijackthis

[th3fast3r]

niente nn si risolve : /

[Huzzz]

neanche a me, eppure sia spybot sia adaware non rilevano nulla di anomalo.
con hijackthis il egistro sembra ok.
boh?

format

[halduemilauno]

Quote:

Originariamente inviato da Huzzz
neanche a me, eppure sia spybot sia adaware non rilevano nulla di anomalo.
con hijackthis il egistro sembra ok.
boh?

format

tra quei due antispyware e il format passa a un livelo superiore di antispyware con microsoft e spysweeper.
ciao.

[Huzzz]

microsoft?
ok provo spysweeper.
thx

[halduemilauno]

Quote:

Originariamente inviato da Huzzz
microsoft?
ok provo spysweeper.
thx

si esatto l'ex giant. veramente ottimo. provali tutti e due.
ciao.

[Huzzz]

ok thx a lot
ora li provo

[Huzzz]

spysweeper è veramente una gallata!
ha trovato molta roba che gli altri non hanno trovato!
geniale!


thx a lot!
vediamo se ora è a posto.