Condividi:        

possibile hacker e serie di virus

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

possibile hacker e serie di virus

Postdi godot » 07/10/06 12:44

Premetto ke sono messo male, malissimo quindi semmai c sarà
un essere umano disposto ad aiutarmi, deve avere pazienza e ne deve sapere "a pacchi", "a randellate".


dunqe spiego in sintesi la mia situation: ho formattato il pc una settimana fa (x cui nn ho la benchè minima intenzione di rifarlo),
ho installato subito avast ed ewido. tt procedeva alla perfezione quando lunedi sera verso le 22:13 mi appare un messaggio di errore cn scritto hallo i'm hacker.. (è tutto quello ke sono riuscito a leggere dato ke il messaggio è scomparso dopo un secondo netto <<p.s.nn avrei capito cmq il contenuto visto ke l'inglese nn l'ho mai ne capito ne studiato, ma almeno avrei copiato il contenuto>>)
Ora, siccome dubito fortemente ke si sia trattato di un hacker vero visto ke nn posseggo contenuti di livello
internazionale e ke nn ho mai fatto torti a nessuno (apparte un uomo di mezza età alto 1,50 ke ho sprezzatamente sorpassato nella fila x la cassa del conad proprio domenica, aveva un po la faccia da hacker ma nn credo sia stato lui), potrebbe essere un virus ke si diverte a lanciare siddetti messaggi boh!!

cmq entrando nell'analisi tecnica della questione, il gg dopo il messaggio di errore, accendo il pc cn l'intenzione di aprire il "task manager" x vedere se c'è qualche processo anomalo. purtroppo xò il buon vecchio TASK resta aperto mezzo secondo e scompare, quindi nn ho la possibilità di visualizzare i processi.
A questo punto ho la brillante idea di cercare nel web delucidazioni ma nn faccio in tempo a collegarmi ke un susseguirsi di messaggi di avast (cn quel suono acustico ke rompe i maroni in un modo esagerato),
mi avverte ke sn presenti nel pc una serie di trojan, malwer, adawer ecc. ke nonostante io cancelli, si rigenerano di continuo; sto parlando di "Trojano-2873", "Lookme-gen", "Small-BIW" e "Adware-gen."
inizio quindi (oltre a bestemmiare come un baghino) a provare le soluzioni ke sono pubblicate in questo sito ma ecco
ke appare un nuovo problema: quando provo a eseguire windows update mi da il seguente errore:

[Numero errore: 0x8DDD0018]
Impossibile continuare poiché uno o più dei seguenti servizi di Windows non sono in esecuzione:

Aggiornamenti automatici che consente di attivare il rilevamento, il download e l'installazione degli aggiornamenti ad alta priorità per il computer in uso.
Servizio trasferimento intelligente in background (BITS) che consente il download rapido e riavviabile degli aggiornamenti.
Registro eventi che consente di registrare le attività di aggiornamento per la risoluzione dei problemi.


ho successivamente installato ad-aware SE prsonal ke mi ha trovato una 30ina di robe infette ma nemeno dopo il suo utilizzo ho ottenuto risultati,
quindi ho provato a fare la scansione di avast all'avio (cancellando quello ke mi ha trovato), e successivamente
facendo partire avast, ewido, ad-aware dalla modalità provvisoria..
niente di tutto ciò ha funzionato x cui ogni volta ke mi collego si aprono le "infezioni" ke ho elencato prima e si creano in c: una decina di applicazioni cn nomi incomprensibili tipo "drsmartload", "kybrdff_e24", "installer4" ecc..ke
riesco a fatica a kiudere visto ke il task menager da quel problema.

come ultimo tentativo prima di prendere a calci il pc mi affido al blog e vi posto (se così si dice) il risultato di HijackThis ke ho dovuto far partire dalla modalità provvisoria..visto ke in modalità normale mi dava un errore..ecco il
risultato:

Logfile of HijackThis v1.99.1
Scan saved at 10.55.32, on 07/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Stefano\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programmi\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\FlyNet\CnxDslTb.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Genuine Host Service ] genuin32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Managments Service] nccgjqs.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e24.exe
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e24.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e24.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [Microsoft Genuine Host Service ] genuin32.exe
O4 - HKLM\..\RunServices: [Managments Service] nccgjqs.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9958754186
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: kq72 - Unknown owner - C:\WINDOWS\kq72.exe
O23 - Service: Remote Plugin Service - Unknown owner - C:\WINDOWS\system32\lsyss.exe


help me please :'(

p.s.+ ke una sintesi ho fatto la prosa..hihi
p.p.s. ho dimenticato di scrivere ke una volta collegato dopo aver fatto "cancella" nei messaggi di avast, ho 5 min
di autonomia prima ke s blocchi tutto, x questo motivo nn posso cercare nel web i virus ke ho, o i casi simili al mio...
è la mia ultima spiaggia davvero..
MO va LA..
godot
Newbie
 
Post: 3
Iscritto il: 07/10/06 12:36

Sponsor
 

Postdi Luke57 » 07/10/06 15:03

Ciao, Apri hijackthis, premi “do a system scan only”, cerca e spunta le seguenti voci:

R3 - Default URLSearchHook is missing
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programmi\Deskbar\deskbar.dll
O4 - HKLM\..\Run: [Microsoft Genuine Host Service ] genuin32.exe
O4 - HKLM\..\Run: [Managments Service] nccgjqs.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e24.exe
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e24.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e24.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [Microsoft Genuine Host Service ] genuin32.exe
O4 - HKLM\..\RunServices: [Managments Service] nccgjqs.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O23 - Service: kq72 - Unknown owner - C:\WINDOWS\kq72.exe
O23 - Service: Remote Plugin Service - Unknown owner - C:\WINDOWS\system32\lsyss.exe

Premi fix checked.

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK
cerchi ed elimini, se ci sono, i seguenti file:
C:\Programmi\Deskbar\deskbar.dll
genuin32.exe (da cercare)
nccgjqs.exe "
c:\\nwnmff_e24.exe
c:\\dfndrff_e24.exe
c:\\kybrdff_e24.exe
mysvcc.exe (da cercare)
C:\WINDOWS\kq72.exe
C:\WINDOWS\system32\lsyss.exe


Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

svuota il cestino.

Da pannello di controllo.installazioni/applicazioni controlla che non vi siano programmi non installati da te

Riavvia in modalità normale modalità normale


Posta nuovo log di controllo
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi godot » 07/10/06 17:53

ciao luke, intanto ti ringrazio x esserti interessato..6 un grande
poi ti posto il nuovo log:

Logfile of HijackThis v1.99.1
Scan saved at 18.37.36, on 07/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Stefano\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\FlyNet\CnxDslTb.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Managments Service] nccgjqs.exe
O4 - HKLM\..\Run: [Microsoft Genuine Host Service ] genuin32.exe
O4 - HKLM\..\RunServices: [Microsoft Genuine Host Service ] genuin32.exe
O4 - HKLM\..\RunServices: [Managments Service] nccgjqs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9958754186
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe


t dico subito ke nn mi si aprono + tt quelle robe (almeno nn è successo fino ad ora e sn connesso da 15 min) quindi mi sbilancio e dico ke il problema dei malwer è stato risolto.
c'è una cosa ke nn mi convince xò in "installazione applicazioni": si tratta di un certo "search bar" di 0.09MB ke io nn ho installato..quando clicco su "rimuovi" nn suddede niente..

e poi c sarebbe quel problema del task menager ke si apre x un millesimo di secondo, quindi nn lo posso usare x chiudere applicazioni ke si bloccano o altro..sapresti delucidarmi anke su questo o devo postare in altre stanze?

ti ringrazio ancora 6 un genio (o forse sono io il patacca)
risp appena puoi se puoi se vuoi..ciao
MO va LA..
godot
Newbie
 
Post: 3
Iscritto il: 07/10/06 12:36

Postdi Luke57 » 07/10/06 18:49

Ciao, ma questo log è sempre dalla modalità provvisoria?
Postalo uno dalla mod.normale.

Scarica MyUninstaller da qui:
http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare search bar.
Apri il programmino (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi search bar, click con il dx e scegli Delected)

Quel genuin32.exe sembra che sia di windows, semmai elimina con hiajckthis queste voci:

O4 - HKLM\..\Run: [Managments Service] nccgjqs.exe
O4 - HKLM\..\RunServices: [Managments Service] nccgjqs.exe
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "possibile hacker e serie di virus":


Chi c’è in linea

Visitano il forum: Nessuno e 54 ospiti