Condividi:        

SOS....spyware

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

SOS....spyware

Postdi divina » 06/03/06 00:51

Mi aiutate ad eliminare uno spyware?

Durante una scansione automatica di Norton mi sono stati rilevati 7 spyware...esattamente questi:

File.............................Nome

00107421.exe ............(Spyware.winspy)
00107424.exe ............(Spyware.winspy)
00107459.exe ............(Spyware.winspy)
00107509.exe ............(Spyware.winspy)
00107534.exe ............(Spyware.winspy)
Uniner.exe ............(Spyware.winspy)
Wrd.exe ............(Securityrisk.Downldr)


Premetto che non facevo scansione con il Norton da diverse settimane
lascio che vada in automatico (nonostante provvedo quasi ogni giorno a verificarne l'aggiornamento)...il fatto è che ero tranquilla di non avere minacce sul pc in quanto dopo esperienze passate di dialer ho l'abitudine maniacale, quasi ogni giorno di lanciare HijackThis (che analizzando i risultati di volta in volta sul sito apposito non ha mai rilevato nulla che non fosse sicuro)...
In più faccio girare spessissimo SpyBot che tengo sempre aggiornatissimo, Ad-Aware e RegSeeker...senza trovare alcun tipo di minaccia particolare.

C'è da dire pero che più di una volta in questi giorni ho fatto scansione online dal sito Trend-Micro e la prima volta mi ha rilevato un virus chiamato (Troy-Dloader.bmw) questo circa 2 settimane fa che però mi ha eliminato automaticamente.


Successivamente per maggior sicurezza ho eseguito una scansione online dal sito "kaspersky.com"
e mi ha trovato 2 virus e 7 file infetti

questi:

c:windows\dll32\service.exe
c:windows\dll32\csrss.exe
c:windows\taskmgr.exe
c:windows\msn32.exe
c:windows\Outlook.exe
c:windows\wsdll32.exe
c:windows\winup32.exe


che definisce tutti col nome di "Trojan-spy.win32.winspy.j"

quest'ultimi però non li ho eliminati per timore di sbagliare e di cancellare file importanti di sistema... visti i nomi ed essendo tutti contenuti nella cartella di windows.

In fine fatto scansione anche con HijackThis
e questo è quanto risulta attualmente...



Logfile of HijackThis v1.99.1
Scan saved at 6.06.08, on 04/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Utilities\NPROTECT.EXE
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\CtrlVol.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Norton Utilities\SYSDOC32.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmi\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [WorksFUD] c:\Programmi\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Programmi\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/englis...can_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/M...pDownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton Utilities\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\S
BServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programmi\Speed Disk\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe




Cosa devo eliminare?
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Sponsor
 

Postdi lucas/s » 06/03/06 02:23

ciao,scarica kill box
http://www.downloads.subratam.org/KillBox.zip
Estrai l'eseguibile sul desktop
Avvia il programma
Adesso metti il puntino nella casella "Delete on reboot"
Clicca sul bottone "All files"(in basso a destro)
(senza chiudere kill box)
Seleziona TUTTI i file in rosso e premi al combinazione di tasti CONTROL+C

c:windows\dll32\service.exe
c:windows\dll32\csrss.exe
c:windows\taskmgr.exe
c:windows\msn32.exe
c:windows\Outlook.exe
c:windows\wsdll32.exe
c:windows\winup32.exe

Adesso torna sul kill box assicurati che il cursore lampeggi nello spazio bianco nel caso non lampeggi basta che ci clicchi con il mouse
Adesso da kill box file> clicca su "Past from clipboard"
Clicca sulla X bianca a sfondo rosso
Rispondi SI al primo messaggio
Rispondi SI al secondo
Il pc si riavvierà
Ricollegati e ripeti la scansione con Kaspersky
ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi divina » 06/03/06 02:48

Ma sei sicuro che posso eliminare quei file?
Dai nomi pensavo fossero file di windows...
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi divina » 06/03/06 03:05

Sto provando lo stesso a fare come mi hai spiegato :D
ed è tutto chiarissimo fino a questo punto:

"Adesso da kill box file> clicca su "Past from clipboard"....."


quì però mi blocco perchè non riesco a trovare queste voci...

dove sta scritto "Past from clipboard"?
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi Luke57 » 06/03/06 08:34

Ciao, è la seconda voce del menu "file". Se non ti riesce con killbox, puoi provare a eliminare i file con hijackthis. Apri il programma, clicchi su "open the misc tools section", alla pagina successiva " delete a file on reboot..", inserisci i file , uno alla volta, e dici no alla proposta di riavviare fino a che non avrai inserito l'ultimo da eliminare.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi divina » 06/03/06 10:15

Ok grazie mille....adesso provo :D


....quindi mi confermi anche tu che non sono file di windows
perchè visti i nomi dei file, temevo che cancellandoli non mi funzionassero più alcuni prigrammi.

Vado sicura quindi? :oops:
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi Luke57 » 06/03/06 10:31

Ciao, sono quelli che ha segnalato Kaspersky, quindi li puoi eliminare.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi divina » 06/03/06 12:29

Allora, mi scuso per la mia inesperienza :(
sono proprio imbranata....ho provato ad eliminarli con killbox ma non ci riesco, :cry:
ho evidenziato i file in rosso, ho pressato si ctrl + c ma quando clicco su "paste froam clipboard" non mi incolla nulla nella striscia bianca, e cliccando poi sulla X mi dice che non ho selezionato nessun flie e la striscia diventa gialla...

...allora ho provato con Hijahthis ma non capisco dove devo inserire i file uno alla volta, perchè quando clicco su "delete a file on reboot"
mi si apre solamente la finestra della cartella contenente il programma di Hijahthis...che faccio?

Scusate la mia inesperienza :(
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi Luke57 » 06/03/06 12:49

Ciao, non ti preoccupare ; con killbox, seleziona "delete on reboot "e inserisci uno alla volta i seguenti file (riavvia SOLO dopo aver inserito l'ultimo) cliccando dopo ognuno sulla croce bianca in campo rosso:
c:windows\dll32\service.exe
c:windows\dll32\csrss.exe
c:windows\taskmgr.exe
c:windows\msn32.exe
c:windows\Outlook.exe
c:windows\wsdll32.exe
c:windows\winup32.exe
Se vuoi utlizzare hijackthis, dopo aver premuto "delete a file on reboot", sulla finesra che si apre vai a cercare i file nel loro percorso, ad esempio il primo della suddetta lista (service.exe) lo cercherai cliccando su C, poi sulla cartella dll32 e poi su service.exe, e così farai per gli altri, scegliendo di non riavviare il compuer finoa a che non avai finito l'eliminazione di tutti e 6.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi divina » 06/03/06 13:18

Appena ho cancellato il primo file "service.exe"
mi si è resettato il pc all'istante e da solo
e quando si è riavviato ha fatto il controllo del disco a causa di un errore grave mi è uscito scritto....

che significa?
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi Luke57 » 06/03/06 13:25

Ma quale file hai cancellato? e il messaggio di errore che cosa dice?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi divina » 06/03/06 13:26

ok adesso li ho cancellati tutti tranne l'ultima

"c:windows\winup32.exe"

perchè non me lo fa cancellare....che faccio?
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi Luke57 » 06/03/06 13:42

Ma provi con killbox o con hijackthis?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi divina » 06/03/06 13:50

Con killbox,
me li ha eliminati tutti tranne l'ultimo forse perchè sarà in eseguzione,
non lo....adesso comunque ho riavviato e sto ripetendo la scanzione con Kaspersky, a questo punto dovrebbe trovarmene solo uno...
giusto?
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi divina » 06/03/06 14:06

Sono appena entrata nella cartella di windows per cercare manualmente
il file che non sono riuscita a cancellare e capire perchè.....
ma mi sono accorta che questo file ha sopra il simboletto di windows
e se ci clicco sotto ci sta scritto windows up date società win32....con data di creazione il 24 febbraio :o
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi divina » 06/03/06 14:25

Niente da fare...
Ho rifatto la scanzione online con Kaspershy ma purtroppo
mi ha ritrovato gli stessi file infetti che avevo eliminato con Killbox praticamente ci sono tutti come prima :cry:
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi lucas/s » 06/03/06 14:26

devi cliccare sul bottone "All files" altrimenti devi sempre ripremere pee ogni file
Immagine

ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi divina » 06/03/06 14:37

Ho fatto esattamente così ma evidentemente si sono ricreati....

e se li cancellassi manualmente?
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Postdi lucas/s » 06/03/06 14:43

kaspersky trova i files infetti qui? c:\!killbox\logs
ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi divina » 06/03/06 14:48

No, i file infetti si trovano esattamente dove erano prima e cioè dentro Windows...
divina
Utente Junior
 
Post: 34
Iscritto il: 18/12/04 20:26

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "SOS....spyware":

spyware
Autore: babart
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 113 ospiti