Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

trojan smitfraud

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

trojan smitfraud

Postdi navyluc » 09/05/05 01:23

Il mio pc è infestato da un virus trojan-spy.html.smitfraud.c. Il virus si è manifestato sullo sfondo del desktop con un msg che mi segnalava un fatal error a causa di questo virus; adesso non riesco neanche a cambiare lo sfondo perchè le impostazioni dello schermo e della scheda video sono state limitate. Per il resto crea i soliti problemi di un trojan la pagina iniziale è immodificabile e una serie di pop up che pubblicizzano anti-spyware e antivirus. Già ho beccato un trojan e in questo forum mi hanno aiutato suggerendomi i file da eliminare con il log file di HijackThis.
C'è qualche buona anima pia che può fare lo stesso?
Vi ringrazio molto.
SALVATEMI ANCORA!!!!!!! :cry:
navyluc
Utente Junior
 
Post: 18
Iscritto il: 01/03/05 03:02

Sponsor
 

Postdi Tiseria » 09/05/05 13:26

Leggi questo topic:
Trojan.Win32.FakeAlert
Vi sono gia' state segnalazione di questo Trojan...
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi navyluc » 09/05/05 23:38

Ho seguito tutte le istruzioni, sembrava fatta, ma ha trovato 3 trojan, ma quando l'ho riavviato il problema si è ripresentato...AIUTO!!!!
navyluc
Utente Junior
 
Post: 18
Iscritto il: 01/03/05 03:02

Postdi navyluc » 10/05/05 00:36

sono quasi sicuro che il problemaè questo file che mi individua HijackThis,

O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp8944.tmp

Lo elimino con il programma ma rifacendo lo scan mi compare tutte le volte...sapete come fare per eliminarlo definitivamente?
navyluc
Utente Junior
 
Post: 18
Iscritto il: 01/03/05 03:02

Postdi BianConiglio » 10/05/05 06:15

aggiorna il sistema operativo come prima cosa, poi se nn risolvi con una scansione dell'antivirus, falla in sessione provvisoria o cancella il file dalla console di ripristino
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi navyluc » 10/05/05 13:32

Ho aggiornato il sistema e ho fatto la scansione con avg e con spybot in modalità provvisoria...niente. Scusa, ma qual è la console di ripristino?
(potrebbe servire mandare il mio log file fatto con hijackthis?)
navyluc
Utente Junior
 
Post: 18
Iscritto il: 01/03/05 03:02

Postdi BianConiglio » 10/05/05 15:00

certo, incolla il log sul LORO sito e fagli fare l'analisi automatica ;)

appurato che sia un file da cancellare (magari creato da una dll inserita negli eseguibili..) usare la console di ripristino significa fare boot da cd di windows (presumo tu abbia xp), scegliere la console di ripristino e cancellare a mano il file con un bel DEL. Se hai 98ME lo fai dalla sessione provvisoria con prompt dei comandi ;)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi navyluc » 10/05/05 20:21

:oops: Scusa ma non so neanche che significa fare boot (comunque ho xp) :oops:

Logfile of HijackThis v1.99.1
Scan saved at 21.19.16, on 10/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\System32\intmonp.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\intmon.exe
C:\Programmi\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
navyluc
Utente Junior
 
Post: 18
Iscritto il: 01/03/05 03:02

Postdi Dylan666 » 10/05/05 22:28

incolla quell'elenco qui e cerca informazioni su Google circa le voci segnate in giallo:

http://hijackthis.de/index.php?langselect=italian

Ma forse puoi anche risparmiarti la fatica, questo è una caso analogo al tuo e fanno vedere cosa hanno rimosso:

http://www.geekstogo.com/forum/popupper ... 19627.html
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi navyluc » 10/05/05 23:38

Dylan, non chiamarmi scocciante...
sei tu che mi hai risolto il problema qualche mese fa; hai perfettamente ragione il caso che mi hai postato penso sia proprio uguale al mio...solo che mi perdo in alcuni passaggi per risolvere il problema, tipo come disabilitare il comando file nascosti (io ho xp pro e non so come accedere ai tools da my computer), non capisco cosa devo copiare nel notepad prima di usare killbox in mod provv e come copiarla nel clipboard (che cos'è il clipboard?)...poi che cos'è windows explorer?
Scusa tanto per la mia ignoranza, cmq so che sono vicino alla soluzione e che tu sei tanto paziente ;) :)
navyluc
Utente Junior
 
Post: 18
Iscritto il: 01/03/05 03:02

Postdi navyluc » 11/05/05 00:16

Evviva!
Mi sa proprio che l'ho debellato!!!!
GRAZIE A TUTTI E SOPRATTUTTO A TE DYLAN!!!!
ho risolto postando il mio logfile al sito hijackthis e cancellando in modalità provvisoria i files che mi indicava come sconosciuti.
Grazie, adesso ho solo un altro piccolo problema: come riabilitare i pulsanti dello sfondo e delle risoluzioni del desktop (io ho xp pro e non so dove è il percorso menù>tools per riabilitare questi comandi)
navyluc
Utente Junior
 
Post: 18
Iscritto il: 01/03/05 03:02

Postdi Dylan666 » 11/05/05 00:28

navyluc ha scritto:ho risolto postando il mio logfile al sito hijackthis e cancellando in modalità provvisoria i files che mi indicava come sconosciuti.


Bravissimo, la modalità provvisoria era il metodo più veloce per togliere quei file, molto meglio che la macchinaosa (ma corretta) procedura con il "Killbox by Option^Explicit" che c'era nel mio ultimo link. Diciamo che la prassi normale indica di documentarsi sui file sconosciuti prima di levarne le chiavi, ma tanto nel caso analogo al tuo erano segnalati tutti i file che apparivano in giallo nel log, anzi pure qualcuno in più che però tu non avevi:

C:\wp.exe
C:\wp.bmp
C:\WINNT\sites.ini
C:\WINNT\popuper.exe
C:\WINNT\System32\wldr.dll
C:\WINNT\System32\helper.exe
C:\WINNT\System32\intmonp.exe
C:\WINNT\System32\msmsgs.exe
C:\WINNT\System32\ole32vbs.exe
C:\WINNT\system32\msole32.exe


Per completezza, il Windows Explorer sarebbe l'Esplora Risorse, che trovi in Start fra gli Accessori o fai partire premendo il tasto Win+E.

La parte di menù>tools non l'ho capita... me la spieghi?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 11/05/05 00:36

navyluc ha scritto:Grazie, adesso ho solo un altro piccolo problema: come riabilitare i pulsanti dello sfondo e delle risoluzioni del desktop (io ho xp pro e non so dove è il percorso menù>tools per riabilitare questi comandi)


Mmmmm, questo caso non è identico al tuo ma prova:
http://www.pc-facile.com/forum/viewtopi ... 972#197972

Altrimenti leggi qui
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi navyluc » 12/05/05 19:43

Allora ho restaurato tutti i comandi di proprietà dello schermo del desktop solo che quando provo a sostituire lo sfondo il menù a scorrimento dove sono i files immagine è bloccato e non posso sostituire lo sfondo

P.S. ho inserito il reg file che è indicato nel topic (linea 282) che mi hai segnalato e il reg file della linea 285 restore all display tabs

Secondo te come devo fare?
navyluc
Utente Junior
 
Post: 18
Iscritto il: 01/03/05 03:02

Postdi Dylan666 » 12/05/05 20:18

Ecco la 282:

Codice: Seleziona tutto
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=dword:00000000


E questo è la 285

Codice: Seleziona tutto
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=hex:00,00,00,00
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"SetVisualStyle"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager]
"ThemeActive"="1"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,72,00,65,00,73,00,6f,00,75,00,72,00,63,00,65,00,73,00,5c,\
  00,54,00,68,00,65,00,6d,00,65,00,73,00,5c,00,6c,00,75,00,6e,00,61,00,5c,00,\
  6c,00,75,00,6e,00,61,00,2e,00,6d,00,73,00,73,00,74,00,79,00,6c,00,65,00,73,\
  00,00,00


Detto queto io proverei 2 cose:

1) scrivi SFC /scannow in Start > Esegui

2) se non basta fai un Ripristino configurazione di sistema a quando i tab c'erano e funzionavano. E controlla che lo spyware non sia tornato (tanto ora sai come levarlo).
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi purga » 17/05/05 18:13

Sono anch'io incappato in tale virus. Ho visto la famigerata schermata blu e mi sono subito allarmato, non sono un esperto, anzi ..... di molte cose capisco proprio poco! Sono risalito alle ore di probabile infezione (infezione non notificata da un norton aggiornato a fine aprile!) ed ho trovato una serie di flie EXE (popuper, intmonp, ole32, ecc.) che ho manualmente eliminato (previa rinomina che mi ha permesso l'accesso). Quindi con "Ripristino configurazione di sistema" (ho Win XP home) sono ritornato ad un giorno prima dell'infezione. Tutto sembra funzionare normalmente tranne un misterioso MSMSGS.EXE evidenziato con "Task Manager". Ho eseguito Virit in modalità provvisoria che mi ha trovato 4 troiani, ho eseguito in provvisoria anche un aggiurnato norton che mi ha cancellato un file infetto (A0000504.exe). Riavvio il tutto ma persiste
MSMSGS.EXE; con la funzione cerca trovo un MSMSGS.EXE che sembra essere Windows messanger ed un altro MSMSGS.EXE (icancellabile!) locato in C:\i386\MMSETUP.CAB; il bello è che con Esplora risorse tale cartella non sembra esistere!! Cosa devo fare? Sono ancora infettato? O stò prendendo un abbaglio?
Grazie.
purga
Utente Junior
 
Post: 47
Iscritto il: 11/11/01 01:00
Località: livorno

Postdi Dylan666 » 17/05/05 23:02

Prendi un abbaglio:
http://www.liutilities.com/products/win ... ry/msmsgs/

Clacolando che siamo al 18 maggio avere un antivirus aggiornato ad aprile non è cosa di cui vantarsi ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

HELP ME

Postdi Kitto » 29/06/05 20:24

Ciao a tutti,
mi chiamo Cristiano e sono un super imbranato (ma davvero) di pc.
purtroppo anche io ho beccato sto brutto trojan che mi fa vedere lo sfondo blu.
ho già provato a scaricare e far girare VIRIT ma (anche se ha trovato 4 file infetti) il problema sussiste.
Ho fatto anche il log file con Hijackthis (o come si scrive)....mi ha fatto una diagnosi...ma al momento non so che pesci pigliare !!!

come posos fare?
qualcuno mi può aiutare?
grazie 1000
Cristiano
Kitto
Utente Junior
 
Post: 18
Iscritto il: 29/06/05 20:20

Postdi Kitto » 29/06/05 20:35

cioè, volevo sapere come faccio a cancellare i file che mi indica come sconosciuti nelal modalità provvisoria?

come cancello sti maledetti file 8)

grazie

Cristiano
Kitto
Utente Junior
 
Post: 18
Iscritto il: 29/06/05 20:20

Postdi Tiseria » 30/06/05 08:34

cioè, volevo sapere come faccio a cancellare i file che mi indica come sconosciuti nelal modalità provvisoria?

come cancello sti maledetti file



Posta il log di Virit cosi' possiamo capire che cosa ti ha segnalato...

Hai aggiornato Virit con le ultime firme ?

Per re-impostare lo sfondo del desktop, usa questo trucco:
lancia Virit, dal menu Tools->Ripara Internet Explorer

Oltre a correggere alcune impostazioni di IE, ti corregge anche il pulsante per modifcare lo sfondo di Windows.

Adesso puoi re-impostare lo sfondo a tuo piacere.
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "trojan smitfraud":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti