MsgPlusLive-460.exe spinstall.exe

[stellastai]

salve

ho fatto una scansione con nod32 (ho questo programma da poco e non son sicura di usarlo nel modo giusto) e trova un file infetto:

C:\Users\***\MsgPlusLive-460.exe »RAR »spinstall.exe - variante modificata di Win32/TrojanDownloader.Swizzor.D cavallo di troia

mi chiede di scegliere un'azione da esguire ma l'uinica possibilità è "nessuna azione", nel senso che glia altri "tasti" sono grigi e non posso cliccarli.

io uso un account senza i privilegi di amministratore, ho ripetuto la scansione eseguendo il nod come amministratore ma il risultato è lo stesso.

cosa devo fare?

[Deifobe]

ciao,
potrebbe anche essere un falso positivo...
comunque esegui una scansione on line

vai su Kaspersky_virusscanner
clicca su "kaspersky online scanner"
clicca su "accept"
--- verrà eseguito il download dei componenti necessari alla scansione
quando è terminato clicca su "next"
clicca su "my computer" (così non ti limiti solo a fare una scansione delle aree critiche ma fai analizzare tutto il pc, pen compresa)
--- da questo momento in poi, puoi anche disconnettere il pc da internet

al termine della scansione clicca su "View Scan Report"
clicca su "Save Report As" => salva e posta il rapporto

[stellastai]

ho fatto la scansione ma no ha trovato file infetti. purtroppo non mi sono ricordata di salvare il rapporto. se necessario ripeterò la scansione.

nel frattempo è successo questo :
sto ricevendo da un mio contatto messenger dei file compressi accompagnati da un messaggio in inglese con cui mi avverte che ha trovato una mia foto su un sito e mi invita ad aprire il file che sta in inviando.

anche al mio contatto stanno arrivando lo stesso tipo di file da parte di un'altra persona.

io e il mio contatto abiamo i pc in rete.

io mi sono limitata a non accettare il trasferimento e a bloccare il contatto.
devo fare altro?
la persona che me li sta mandando cosa deve fare?

[hell's bells]

Hai fatto bene a bloccare il contatto da quello che dici sembra uno dei famosi file che provoca infezioni a msn, per buona regola non accettare mai file da nickname che non conosci ed eviterai molte scocciature, inoltre evita di contattare il nick che ti sta inviando l'allegato.

[Deifobe]

bene...

riguardo il tuo amico, se ha Xp fagli eseguire Norman Malware Cleaner (da modalità provvisoria), MSNFix (se infetto dovrà digitare in ordine: I, R, N, A, R, Q), Panda AntiRootkit e fagli ripulire cookie e temp con CCleaner

se al termine non ha più problemi, allora ok..

altrimenti fagli aprire una nuova discussione qui sul forum

(Norman Malware Cleaner potresti eseguirlo anche tu)

ciao

[stellastai]

ho eseguito i programmi che mi hai detto ma non in modalità provvisoria perchè aveva bisogno del pc.
tutti hanno trovato e rimosso qualcosa, in particolare Norman Malware Cleaner ha trovato oltre 3000 files infetti (può essere ?! è stato senza antivirus almeno un anno però... ) e li ha rimossi quasi tutti.

il pc continua ad avere una cpu a circa l80%. non manda finti messaggi da msn.

[deleted_20230418_1]

Originariamente inviato da stellastai

il pc continua ad avere una cpu a circa l80%.

Prova a fare una scansione con HijackThis lo installi e poi clicca sul tasto Do a system scan and save log file .

Alla fine della scansione ti presenta un file di testo , lo copi e incolli qui nel forum .

[stellastai]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.38.42, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programmi\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\jre\bin\jusched.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\Eset\nod32kui.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\jre\bin\jucheck.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://virgilio.alice.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programmi\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programmi\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunServices: [couquur] C:\WINDOWS\system32\witoo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Rinera Streaming Control) - http://portal3.rinera.com/download/RineraProxy-1.4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CC73E30-925E-4C87-9E51-2B1EBF65856D}: NameServer = 151.99.125.2,212.216.112.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CC73E30-925E-4C87-9E51-2B1EBF65856D}: NameServer = 151.99.125.2,212.216.112.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CC73E30-925E-4C87-9E51-2B1EBF65856D}: NameServer = 151.99.125.2,212.216.112.222
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: ASUSKeyboardService (wlu2oige) - Unknown owner - C:\WINDOWS\system32\witoo.exe (file missing)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/alex/IMPOST~1/Temp/msoclip1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - http://notizie.alice.it/generated/im...9_74E1DBEA.jpg
O24 - Desktop Component 2: (no name) - http://graphic.ps.tin.it/pstin/image...ro_content.gif

--
End of file - 8792 bytes

[deleted_20230418_1]

Attendere prego .................................................. ...............stiamo lavorando per voi ....................

Intanto ti consiglio di aggiornare Internet explorer con la 7

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

e anche Xp con Sp3 , prima pero fai tutti gli aggiornamenti che ci sono disponibili

Platform: Windows XP SP2 (WinNT 5.01.2600)


Occhio Nod32 e Avg non vanno d accordo insieme o uno o l altro io ti consiglio Nod32 oppure se non ce l hai originale prendi Avast

Ho visto che hai anche Adaware installato , fai la collezione per caso ? uno basta e avanza

Altro programma di protezione o cosa ?

C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

Molto sospetto

O4 - HKLM\..\RunServices: [couquur] C:\WINDOWS\system32\witoo.exe
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Rinera Streaming Control) - http://portal3.rinera.com/download/RineraProxy-1.4.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ASUSKeyboardService (wlu2oige) - Unknown owner - C:\WINDOWS\system32\witoo.exe (file missing)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/alex/IMPOST~1/Temp/msoclip1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - http://notizie.alice.it/generated/i...09_74E1DBEA.jpg
O24 - Desktop Component 2: (no name) - http://graphic.ps.tin.it/pstin/imag...rro_content.gif

Piu o meno il tuo Pc è come la RAI di tutto e di piu !!
Fai una bella pulizia e togli minimo 2 antivirus altrimenti e ovvio che sia carico .

[stellastai]

c'è più di un antivirus perchè ho seguito la guida qui sul forum, che dice di fare diverse scansioni.
il pc non è il mio... il mio è tenuto meglio!
comunque sul pc in questione c'è installato il nod32 originale, ma solo da quaqlche giorno, prima non c'era nulla. una volta ripulito disinstallo gli altri.

elimino quelli dopo "molto sospetto"?

rinera dovrebbe essere qualcosa che si installa per ascoltare radio deejay dal sito...ma non ne sono sicura. safenet sentinel non so proprio cosa sia...
il mio collega non si ricorda di averlo installato ma prima di lui il pc lo usava un'altra persona.
questi li elimino?

O4 - HKLM\..\RunServices: [couquur] C:\WINDOWS\system32\witoo.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ASUSKeyboardService (wlu2oige) - Unknown owner - C:\WINDOWS\system32\witoo.exe (file missing)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/alex/IMPOST~1/Temp/msoclip1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - http://notizie.alice.it/generated/i...09_74E1DBEA.jpg
O24 - Desktop Component 2: (no name) - http://graphic.ps.tin.it/pstin/imag...rro_content.gif