Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Sfondo schermo bloccato con messaggio di SPYWARE

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Sfondo schermo bloccato con messaggio di SPYWARE

Postdi wazxsq » 29/06/06 17:01

Ciao a tutti, dopo aver letto le vostre istruzioni su come liberare il computer da spyware e dopo aver fatto vari tentativi inutili, mi sono deciso a chiedervi aiuto.
Da un paio di giorni ho lo sfondo del computer con un messaggio in cui mi viene detto che il mio computer e in pericolo di SPYWARE su sfondo rosso, non ho la possibilità di modificare il tipo di immagine del andando su pannello di controllo e schermo, per il resto sembra che funzioni tutto come prima.
La presenza di questo sfondo mi angoscia molto, potreste darmi una mano a liberarmene.

Vi allego il logfile appena eseguito, ho provato già and inserirlo nel sito consigliato da voi, ma le voci che mi dice di eliminare non se ne vogliono proprio andare, mi viene detto che probabilmente sono in uso e quindi irrimovibili.

Grazie grazie tante per l'aiuto

Logfile of HijackThis v1.99.1
Scan saved at 17.48.10, on 29/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\huvckf.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\mdm.exe
C:\Programmi\Microsoft Office\Office\excel.exe
D:\Daniele\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\Programmi\Larson Software Technology\Larson WebView CGM\cgmopenbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NI.UERST_0001_N68M0602] "C:\Documents and Settings\PC04.MAURI.000\Impostazioni locali\Temporary Internet Files\Content.IE5\2JC3W1MJ\ErrorSafeScannerInstall_it[1].exe" -nag
O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\system32\huvckf.exe r
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [suthlmt] C:\WINNT\system32\huvckf.exe r
O4 - Global Startup: Avvia Outlook Express.lnk = C:\Programmi\Outlook Express\msimn.exe
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.xxx-content.name
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Unknown owner - C:\Programmi\HP\e-DiagTools\Service.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
wazxsq
Newbie
 
Post: 6
Iscritto il: 29/06/06 16:44

Sponsor
 

Postdi andorra24 » 29/06/06 17:47

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'' :

C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
C:\WINNT\system32\huvckf.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O4 - HKLM\..\Run: [NI.UERST_0001_N68M0602] "C:\Documents and Settings\PC04.MAURI.000\Impostazioni locali\Temporary Internet Files\Content.IE5\2JC3W1MJ\ErrorSafeScannerInstall_it[1].exe" -nag
O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\system32\huvckf.exe r
O4 - HKLM\..\Run: [suthlmt] C:\WINNT\system32\huvckf.exe r
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.xxx-content.name
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe

Scarica killbox da qui: http://www.bleepingcomputer.com/files/killbox.php
con killbox elimina i seguenti files:

command.exe in C:\WINNT\YWRtaW5pc3RyYXRvcg\ (elimina anche la cartella YWRtaW5pc3RyYXRvcg )
huvckf.exe in C:\WINNT\system32\
svcproc.exe in C:\WINNT\
Nail.exe in C:\WINNT\

Scarica ATFCleaner e mettilo sul destop :
http://www.atribune.org/ccount/click.php?id=1
Avvia ATF cleaner ( serve ad eliminare i files temporanei di windows e di IE) clicca sul menu "main" e poi seleziona la casella "Select All". Poi
clicca sul pulsante "Empty selected" e attendi il messaggio "Done Cleaning!".

Fai una scansione con questo tool:
http://www.simplytech.it/ETRemover/ETRemover_v212.zip

e una con Superantispyware:
http://www.superantispyware.com/downloa ... PYWAREFREE
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Luke57 » 29/06/06 18:43

Ciao, siccome command service è un "osso duro", in questo link Dinop suggerisce addirittura due tool per la rimozione, con annesse spiegazioni d'uso:
http://forum.wininizio.it/index.php?showtopic=33498
Sarebbe il caso di approfittarne ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi wazxsq » 30/06/06 08:43

Grazie a tutti per il vostro aiuto, ma purtroppo lo sfondo dello schermo è rimasto invariato, ho eseguito tutte le operazioni indicate, ad un primo giro di procedura sono stati rilevati una marea di difetti, al secondo giro di procedure i vari programmi dicono che è tutto ok.
Il Hijackthis mi consiglia di eliminare alcuni file che comunque anche se selezionati si ripresentano al riavvio.

Vi allego il logfile attuale, sperando in un ulteriore aiuto, grazie tante

Logfile of HijackThis v1.99.1
Scan saved at 9.35.07, on 30/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\mdm.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Outlook Express\msimn.exe
D:\Daniele\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.254:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\Programmi\Larson Software Technology\Larson WebView CGM\cgmopenbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NI.UERST_0001_N68M0602] "C:\Documents and Settings\PC04.MAURI.000\Impostazioni locali\Temporary Internet Files\Content.IE5\2JC3W1MJ\ErrorSafeScannerInstall_it[1].exe" -nag
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Avvia Outlook Express.lnk = C:\Programmi\Outlook Express\msimn.exe
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MAURI.locale
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MAURI.locale
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MAURI.locale
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Unknown owner - C:\Programmi\HP\e-DiagTools\Service.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
wazxsq
Newbie
 
Post: 6
Iscritto il: 29/06/06 16:44

Postdi andorra24 » 30/06/06 09:01

Scarica SmitFraudfix e decomprimilo in una cartella a tua scelta estraendo tutti i file:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Riavvia in modalità provvisoria

Apri la cartella che contiene SmitfraudFix avvia smitfraudfix.cmd
Seleziona opzione #2 - Clean cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio.
Rispondi Sì (Y) ad eventuali altre domande

eseguita tutta la scansione dopo il riavvio del pc posta sul forum il rapporto del programma.

Per quanto riguarda hijackthis c'e' da fixare questa voce:
O4 - HKLM\..\Run: [NI.UERST_0001_N68M0602] "C:\Documents and Settings\PC04.MAURI.000\Impostazioni locali\Temporary Internet Files\Content.IE5\2JC3W1MJ\ErrorSafeScannerInstall_it[1].exe" -nag

e poi devi eliminare questa:
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)

Per eliminare la voce 023 fai cosi:
start>esegui>sc stop SvcProc>invio
start>esegui>sc delete SvcProc>invio
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi wazxsq » 30/06/06 16:37

Veramente grazie di tutto l'aiuto che mi avete dato, sono riuscito a liberarmi di quel dannato sfondo.... e oltretutto ho dato anche una bella ripulita a tutto il computer :D :D :D
wazxsq
Newbie
 
Post: 6
Iscritto il: 29/06/06 16:44

Postdi andorra24 » 30/06/06 16:53

wazxsq ha scritto:Veramente grazie di tutto l'aiuto che mi avete dato, sono riuscito a liberarmi di quel dannato sfondo.... e oltretutto ho dato anche una bella ripulita a tutto il computer :D :D :D

Bene, meglio cosi. :)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo


Torna a Sicurezza e Privacy


Topic correlati a "Sfondo schermo bloccato con messaggio di SPYWARE":


Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti