Spyware NetWorm-i.Virus@fp e W32.Myzor.fk@yf

[nicola ardito]

Aiuto!!!!
Spero che col vostro aiuto e la vostra professionalità ci riusciremo!!!
Oggi ho fatto una grossa stupidaggine, per vedere un filmato per windows media player ho scelto di installare un componente. Sapevo che non dovevo farlo.
Adesso sulla barra delle applicazioni mi compaiono sempre un "Alert" che segnala uno spyware attivo ed un'altra icona lampeggiante continua col punto interrogativo "System Alert". Entrambe le icone se si cliccano sia col tasto dx che sx aprono il browser e mi fanno comparire pagine in inglese per l'acquisto di antyspyware. Inoltre un altro avviso mi dice che il Pc può essere infetto dall'ultimo Spyware.CyberLog.-X
Uso sempre Mozilla ma se provo ad aprire I-Explorer mi redireziona al sito http://assureprotection.com/ e non mi fa accedere alla pagina predefinita neanche digitando l'indirizzo. Sulla schermata del sito poi mi appare anche un avviso dicendomi che il pc potrebbe essere infetto dal virus W32.Myzor.fk@yf

Tentativi:
1. L'antivirus non ha trovato nulla
2. Ho provato con Fixlinkopt ma non è cambiato nulla
3. ho fatto una scansione con hijack ed ecco il risultato:

Logfile of HijackThis v1.99.1
Scan saved at 10.35.49, on 19/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://GLOBAL.ACER.COM/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programmi\Video ActiveX Object\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Programmi\Video ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programmi\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe "
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe "
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1128957396562
O20 - AppInit_DLLs:
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - C:\WINDOWS\system32\nbbrhbd.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

PER FAVORE AIUTATEMI QUESTE ICONE MI HANNO GIà STUFATO!!!

[amvinfe]

Scarica
http://www.suspectfile.com/upload/fi...systemscan.exe
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.mytempdir.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

[nicola ardito]

Speriamo bene:
http://www.mytempdir.com/1174830

[amvinfe]

inviami questa .dll collegandoti su www.suspectfile.com
C:\WINDOWS\system32\nbbrhbd.dll

[nicola ardito]

Ciao, ho fatto come mi hai chiesto, ho zippato il file e te l'ho spedito al link che mi hai detto.
Spero tu sia online anche di domenica, avrei bisogno di risolvere questo problema il prima possibile.
Ti ringrazio per il tuo aiuto ed aspetto tue notizie.
Grazie!

[amvinfe]

la .dll è infetta da una variante di SmitFraud, il nome della libreria è random cambia cioè da infezione ad infezione.

Scarica sul desktop
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

1. esegui SmitfraudFix.exe
2. seleziona 1 e clicca su Invio
3. portati in C:\ troverai il file rapport.txt rinominalo in rapport1.txt il contenuto lo posterai nella tua prossima risposta
4. riavvia in modalità provvisoria ed esegui nuovamente SmitfraudFix.exe
5. seleziona 2 e clicca su Invio
6. alla domanda "Do you want to clean the registry ?" clicca su Y e poi su Invio
7. il tool cercherà il file wininet.dll per verificare la sua integrità, qualora fosse infetto ti verrà mostrata la seguente domanda "Replace infected file ?" clicca su Y e poi su Invio
8. verrà riavviato il pc
9. portati in C:\ troverai il file rapport.txt, copierai il contenuto nella tua prossima risposta


Stampati, se puoi, le istruzioni per lavorare in modo più comodo.

Ultima cosa, se vuoi ripristinare la Trusted Zone riavvia sempre in provvisoria, lancia il tool e questa volta seleziona 3 seleziona Y e poi Invio
Riavvia.

NB
alcuni antivirus potrebbero, erroneamente, considerare infetto il tool. E' un falso positivo

esegui una nuova scansione con Systemscan e posta l'URL

[nicola ardito]

Ciao,
ho eseguito le istruzioni alla lettera ma il programma smitfraud non mi ha riavviato il pc automaticamente. Boh!
Eccoti il primo Rapport quello rinominato Rapport1.txt:
SmitFraudFix v2.133

Scan done at 18.24.28,18, 21/01/2007
Run from C:\Documents and Settings\Nicola\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\nbbrhbd.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicola


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicola\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\NICOLA\PREFER~1

C:\DOCUME~1\NICOLA\PREFER~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programmi

C:\Programmi\Video ActiveX Object\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Pagina iniziale corrente"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{fa19bd7e-50bc-4203-80ac-c4edc81ca9a3}"="hirtellous"

[HKEY_CLASSES_ROOT\CLSID\{fa19bd7e-50bc-4203-80ac-c4edc81ca9a3}\InProcServer32]
@="C:\WINDOWS\system32\nbbrhbd.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{fa19bd7 e-50bc-4203-80ac-c4edc81ca9a3}\InProcServer32]
@="C:\WINDOWS\system32\nbbrhbd.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" "


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

ED ECCOTI INFINE IL SECONDO DENOMINATO RAPPORT:
SmitFraudFix v2.133

Scan done at 18.37.18,06, 21/01/2007
Run from C:\Documents and Settings\Nicola\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

SPERO SIA STATO CANCELLATO TUTTO! PER IL MOMENTO NON HO PIù QUEGLI STUPIDI ALERT. FRA POCO RIPRISTINO LA TRUSTED ZONE E FARò LA SCANSIONE CON SYSTEMSCAN. TI POSTERò L'URL COME RICHIESTO.
UN PAIO DI DOMANDE:
1. è SUFFICIENTE IL FIREWALL WINDOWS? HO PROVATO TEMPO FA IL SYGATE DI UN MIO AMICO MA DOPO QUALCHE MESE MI IMPALLAVA TUTTO ED HO DOVUTO RIMUOVERLO. DOVREI REINSTALLARLO?
2. COME FACCIO A CAPIRE SE MI PRENDONO INFORMAZIONI DAL PC?
RIMANGO IN ATTESA...

[nicola ardito]

Adesso ho finito tutto quello che mi hai chiesto. Ecco qui di seguito il link al report dell'ultima scansione:

http://www.mytempdir.com/1178932

c'è da fare altro?
Grazie per l'aiuto!

[amvinfe]

scarica http://swandog46.geekstogo.com/avenger.zip


Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run|none

Files to delete:
C:\WINDOWS\system32\nbbrhbd.zip

Folders to delete:
C:\Programmi\Video ActiveX Object

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger ed uno nuovo di Systemscan

[nicola ardito]

Ecco fatto:

http://www.mytempdir.com/1180634



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\pfcyiwks

*******************

Script file located at: \??\C:\WINDOWS\xlvmnjam.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\nbbrhbd.zip deleted successfully.


Folder C:\Programmi\Video ActiveX Object not found!
Deletion of folder C:\Programmi\Video ActiveX Object failed!

Could not process line:
C:\Programmi\Video ActiveX Object
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run|none deleted successfully.

Completed script processing.

*******************

Finished! Terminate.