Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

spy falcon

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

spy falcon

Postdi yanez78 » 10/02/06 15:26

ciao ragazzi, spero possiate essermi d'aiuto:
credo di aver contratto un malware, una evoluzione di spyaxes, che si chiama spyfalcon... tenendo conto che non posso usare la modalità provvisoria qualcuno saprebbe dirmi come riuscire a debellarlo?
per ora l'ho abbastanza neutralizzato grazie a spybot search and destroy(mi si installava un programma e mostrava frequenti ads) ma mi resta l'icona sulla barra delle applicazioni e i noiosi messaggi di virus alert. ho provato pure con Xoftspy ma non ne ho cavato un ragno dal buco. grazie fin d'ora a chi vorrà essermi d'aiuto.
vi posto il log:


Logfile of HijackThis v1.99.1
Scan saved at 15.20.06, on 10/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programmi\XoftSpy\XoftSpy.exe
C:\Programmi\File comuni\System\MAPI\1040\nt\MAPISP32.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\floriane\IMPOST~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it/firefox?client=fir ... S:official
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/firefox?client=fir ... S:official
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it/firefox?client=fir ... S:official
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/firefox?client=fir ... S:official
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - Startup: Microsoft Outlook.lnk = ?
O16 - DPF: {42C559C0-2E84-11D5-A3C6-00010219529D} (siacapi-core-install) - https://www.unibanking.it/common/applet ... nstall.cab
O16 - DPF: {446A606F-1DAF-4EA1-A6E6-522883C44908} (libRegistry.clsRegistry) - https://www.unibanking.it/common/applet/libRegistry.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cctv
O17 - HKLM\Software\..\Telephony: DomainName = cctv
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cctv
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
yanez78
Newbie
 
Post: 6
Iscritto il: 10/02/06 15:15

Sponsor
 

Postdi fabrizius » 10/02/06 17:06

tenendo conto che non posso usare la modalità provvisoria qualcuno saprebbe dirmi come riuscire a debellarlo?


come mai non ci riesci?

comunque prova a fixare le voci che non conosci tra le seguenti:
O16 - DPF: {42C559C0-2E84-11D5-A3C6-00010219529D} (siacapi-core-install) - https://www.unibanking.it/common/applet ... nstall.cab

O16 - DPF: {446A606F-1DAF-4EA1-A6E6-522883C44908} (libRegistry.clsRegistry) - https://www.unibanking.it/common/applet/libRegistry.CAB

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cctv

O17 - HKLM\Software\..\Telephony: DomainName = cctv

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cctv

Prova a fare uno scan online con trend micro:
http://it.trendmicro-europe.com/consumer/housecall/housecall_launch.php
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi yanez78 » 10/02/06 17:25

fabrizius ha scritto:
tenendo conto che non posso usare la modalità provvisoria qualcuno saprebbe dirmi come riuscire a debellarlo?


come mai non ci riesci?

:D eh, perchè servono i privilegi di amministratore per avviare la modalità provvisoria (son al lavoro ovviamente)
ho provato a fixare le voci suggerite e riavviare ma nada de nada...
trend micro è pure l'antivirus in uso sulla macchina, ho cmq eseguito lo scan on line e pure questo ha dato esito negativo.
il fastidio evidente del programma è quello che si vede in quest'immagine
Immagine
yanez78
Newbie
 
Post: 6
Iscritto il: 10/02/06 15:15

Postdi fabrizius » 10/02/06 17:37

non potendo andare in modalità provvisoria la vedo dura.....
ma lo conosci il percorso in cui si trova quell'affarino grazioso :evil: ?
se si potresti provare a cancellarlo con killbox:http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Inserisci il percorso completo del file in Full Path,
poi seleziona DELETE ON REBOOT
e clicca sulla X rotonda a destra
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi yanez78 » 10/02/06 17:50

fabrizius ha scritto:non potendo andare in modalità provvisoria la vedo dura.....
ma lo conosci il percorso in cui si trova quell'affarino grazioso :evil: ?
se si potresti provare a cancellarlo con killbox:http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Inserisci il percorso completo del file in Full Path,
poi seleziona DELETE ON REBOOT
e clicca sulla X rotonda a destra

era venuto in mente pure a me di usare killbox...
ho cercato di "killare" i file sospetti secondo i percorsi che mi suggeriva search and destroy, col risultato che all'inzio mi classificavano lo spyware come "vcodec" e adesso come "psguard"
yanez78
Newbie
 
Post: 6
Iscritto il: 10/02/06 15:15

Postdi yanez78 » 11/02/06 16:32

fabrizius ha scritto:ma lo conosci il percorso in cui si trova quell'affarino grazioso :evil: ?

uhm... esiste un modo per snidare il percorso di quel malware?
yanez78
Newbie
 
Post: 6
Iscritto il: 10/02/06 15:15

Postdi fabrizius » 11/02/06 16:48

se ti ricordi il giorno di quando l'hai beccato prova a fare un ripristino del sistema al giorno antecedente.....in un forum un tipo con lo stesso problema ha risolto cosi....
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 11/02/06 17:02

fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi yanez78 » 11/02/06 17:46

fabrizius ha scritto:dai un occhiata anche qui:http://www.2-spyware.com/remove-spyfalcon.html


;)

ottimo, lunedì provo a testare il metodo... grazie 1000 ;-)
yanez78
Newbie
 
Post: 6
Iscritto il: 10/02/06 15:15

feedback

Postdi yanez78 » 13/02/06 09:20

fabrizius ha scritto:dai un occhiata anche qui:http://www.2-spyware.com/remove-spyfalcon.html


;)

perfetto! il metodo manuale descritto nel link è + ke affidabile.
con le varie scansioni di search destroy, ewido, spyware doctor e successive rimozioni avevo comunque già ripulito il registro.
l'ultimo passo che mi restava era ripulire la directory dalla dll C:\Windows\System32\dxmpp.dll,
ho provveduto tramite killbox e ora son di nuovo libero.
Grazie mille a tutti. maggici!
yanez78
Newbie
 
Post: 6
Iscritto il: 10/02/06 15:15

Postdi fabrizius » 13/02/06 12:16

ok ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55


Torna a Sicurezza e Privacy


Topic correlati a "spy falcon":

SPY FALCON
Autore: DANIELE 12
Forum: Sicurezza e Privacy
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti