sono disperata!! virus, dialer o spyware?? ...help...

di **milano73** » 24/03/07 21:12

Ciao a tutti,
vi chiedo una mano d'aiuto. dopo aver speso 2 giorni fa 90 euro dal centro assistenza per ripulirmi il pc da virus e altre "infezioni" oggi sono al punto d'inizio!

il problema? è su internet explorer, quanto lo lancio ci vogliono circa 3 minuti prima che si apra la pagina (okkio ho adsl tiscali 4 mega), poi se navigo nella stessa pagina tutto ok, ma se apro una nuova pagina ricomincia la lunga attesa!
è veramente snervante! sono disperata!
oggi per tutto il giorno ho provato a leggere i forum, e ho lanciato le scansioni con "Spybot - Search & Destroy" e poi con "Adware se personal" e infine "SUPERAntiSpyware Free Edition" ma non mi hanno risolto nulla.
ho lanciato il HiJckThis, ma non riesco a interpretare...
mi sapreste aiutare voi?
GRAZIE!!!!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.02.39, on 24/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\NVATray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programmi\HiJackThis\HiJackThis_v2.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
c:\programmi\internet explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{70EC9CE6-4F1C-482C-A966-D247A3FB2816}: NameServer = 213.205.32.70 213.205.36.70
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Personal Firewall\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8483 bytes

di **Luke57** » 24/03/07 22:06

Ciao, scarica SystemScan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su:
http://www.easy-share.com
carica il file (premendo Sfoglia e poi il tasto Upload) , ti sarà fornito l'URL per scaricarlo. Incolla in un post tale URL

di **milano73** » 24/03/07 22:15

Grazie 1000 Luke!!!
ci provo subito!

di **milano73** » 24/03/07 22:40

Luke, ho fatto come hai detto
sono stata attenta a non fare casini!
ecco le informazioni, però non so a quale "url" ti riferissi, sicchè te le indico entrambe

Your download url:
file url: http://w12.easy-share.com/941462.html

Use this url to delete this file:
http://w12.easy-share.com/941462/del_f0ymq93n2c2xl2vf

pensi si possa fare qualcosa?

di **Luke57** » 24/03/07 23:18

Ciao, scarica questo file sul desktop http://noahdfear.geekstogo.com/FindAWF.exe
Esegui il file, si apre una finestra dos, premi invio per continuare, finito tutto si aprirà il block notes, seleziona tutto il contenuto e fai un copia e incolla nella tua risposta.

di **milano73** » 24/03/07 23:30

ciao Luke,
ecco il responso,
per me è ancor più incomprensibile!

che ne dici?

Find AWF report by noahdfear ©2006

bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 542A-0A79

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 23.050.047.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 542A-0A79

Directory di C:\WINDOWS\SYSTEM32\BAK

02/03/2006 13.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 23.050.047.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 542A-0A79

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 23.050.043.392 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 542A-0A79

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\121128~1.546\BAK

19/03/2007 22.57 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 23.050.043.392 byte disponibili

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 2 Mar 2006 "C:\WINDOWS\system32\ctfmon.exe"
15360 2 Mar 2006 "C:\WINDOWS\system32\bak\ctfmon.exe"
52272 19 Mar 2007 "C:\Programmi\Google\googletoolbar2user.exe"
458820 17 Nov 2005 "C:\Programmi\Google\Google Earth\GoogleEarth.exe"
124152 23 Mar 2007 "C:\Programmi\Google\Google Updater\GoogleUpdater.exe"
136952 23 Mar 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
24076 20 Mar 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe"
124152 23 Mar 2007 "C:\Programmi\Google\Google Updater\2.1.794.19080\GoogleUpdaterRestartManager.exe"
171448 19 Mar 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
780632 23 Mar 2007 "C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5UBGLUR\Google Updater[1].exe"

end of report

di **Luke57** » 25/03/07 10:45

Ciao, in pratica il malware sostituisce files legittimi dei processi di avvio con copie infette, mettendo gli originali in cartelle bak nelle directory stesse dove sono collocati i file.
In pratica devi fare così:

Scarica ATF cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare i file temporanei)

riparti in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Copia il file C:\WINDOWS\system32\bak\ctfmon.exe e sovrascrivilo nella cartella C:\WINDOWS\system32;

Copia il file "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe e sovrascrivilo nella cartella C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462.

Poi avvia ATFCleaner. Clicca sul menu main e poi seleziona la casella Select All. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.

di **milano73** » 25/03/07 18:59

Grazie Luke!!!!!
ha funzionato!!!
sei un grande, caspita che gioia!!

ero ormai affranta e pensavo al peggio!
ora però per non ricadere nel problema cosa devo fare o meglio non fare?
pensi debba installare un firewall? come antivirus uso norton.
spero un giorno di poter ricambiare l'aiuto!
ciao ciao

di **mluigiyduek** » 27/03/07 21:03

Oggi ho avuto lo stesso problema partendo dal fatto che riavviando il PC non partivano piùà i programmi (errore segnalato nel modulo user32.dll); dopo un po di indagini ho scoperto che tutti i programmi eseguiti all'avvio presentavano nella loro directory una cartella "bak" e soprattutto la cosa che mi ha insospettito era quella che la dimensione dell'eseguibile referenziato in startup era sempre la stessa.

Mi ha aiutato PROCEXP della Sysinternals a capire meglio e risolvere; Luke ti volevo chiederti notizie approfondite su questo tipo di malware di cui avete discusso (nome, modalità di ingresso nel sistema).

CIAO

di **Luke57** » 27/03/07 21:14

Ciao, segui questo link in cui sono riepilogate le istruzioni della symantec:
http://www.wininizio.it/forum/index.php ... ntry328423

di **mluigiyduek** » 28/03/07 07:56

Luke57 ha scritto:Ciao, segui questo link in cui sono riepilogate le istruzioni della symantec:
http://www.wininizio.it/forum/index.php ... ntry328423

Un sentito grazie per l'ulteriore indicazione ed i suggerimenti trovati in questi post.

CIAO

sono disperata!! virus, dialer o spyware?? ...help...

sono disperata!! virus, dialer o spyware?? ...help...

ecco il responso di easy-share.com

eccolo...

GRAZIE!!! GRAZIE!!! GRAZIE!!!

Re: sono disperata!! virus, dialer o spyware?? ...help...

Topic correlati a "sono disperata!! virus, dialer o spyware?? ...help...":

Chi c’è in linea