Torno dalle vacanze e...

[valepu]

Salve a tutti, sono appena tornato dalle vacanze, e quando apro il Pc me lo trovo invaso da spyware e adware, e forse anke qualche trojan...per fortuna è tutto bloccato da zone alarm per ora, però se cerco tutti i file creati fra il 20 luglio ed il 5 agosto ho trovato un bel po' di file strani, tra cui:

octe.exe nella cartella Dati Applicazioni
apphj.exe, sdkwi.exe e appps32.exe nella cartella Winnt
d2kgar.exe iegs.exe netxo32.exe sdkao32.exe winme.exe wnsintit.exe in system32
a cui si aggiungono una centinaia di Dll tutte uguali (occupano tutte 56Kb) sparse nelle cartelle winnt e system32, alcuni nomi:
nknjh.dll obwdv.dll ohxop.dll dvmjj.dll
Eccetera eccetera...il bello è ke che si inseriscono come pagine iniziali in internet explorer e mi fanno apparire un bel po' di pubblicità! infatti quando apro internet explorer mi appare una pagina come questa: res://vcxtu.dll/index.html#26512 e non riesco a modificarla in alcun modo.
Ora...sono così scoraggiato che non voglio neanche sapere in che schifo di pagine è andato mio fratello...cmq vorrei sapere come eliminare tutta questa robaccia dal mio computer, e se possibile anche un modo per punire mio fratello, per ora sono indeciso fra la ruota o la vergine di norimberga ma sono accettati nuovi consigli

La prox volta che parto cancello la password di rete, promesso!

[amvinfe]

dovresti postare un log di HijackThis, lo trovi in Rilievo (metti l'eseguibile dentro una nuova cartella)

[valepu]

Ho provato a cancellare le cose che mi sembravano sospette ma sono riapparse subito

Logfile of HijackThis v1.98.1
Scan saved at 23.35.31, on 09/08/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
d:\server\DIRECT~1\DUService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\appps32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\iegs.exe
C:\Programmi\Winamp\Winampa.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\WinMX\WinMX.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\valepu\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://fbbwb.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://fbbwb.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://fbbwb.dll/index.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {61EC0CB7-AE7B-B655-97E6-39712CAE7085} - C:\WINNT\apptl.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\W
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programmi\Corel\Graphics10\Register\NAVBrowser .exe" /r /i "C:\Programmi\Corel\Graphics10\Register\NavLoad.in i"
O4 - HKLM\..\Run: [iegs.exe] C:\WINNT\system32\iegs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF97FE79-989B-43AB-A8DE-D00B927CA0A5}: NameServer = 193.70.192.25 193.70.152.25
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)
O21 - SSODL: System - {300A2951-CB31-4D31-9BC9-943C9F21598B} - C:\WINNT\system32\system32.dll (file missing)

[amvinfe]

Scaricati AdAware e assicurati che le definizioni siano aggiornate al 6 agosto (Reffile 01R336)
Per verificarlo apri AdAware e dalla finestra principale controlla il n° del Reffile e la data




Scaricati poi:
sphjfix
mettilo all'interno di una nuova cartella

CWShredder

Disconnettiti da internet(!)
Ora con tutti i programmi chiusi (!),anche il browser dev'essere chiuso (!), apri la cartella precedentemente creata e clicca sul file sphjfix e poi su "start disinfection" finita la scansione riavvia e fai una nuova scansione.

Riavvia in modalità provvisoria.

Apri HijackThis (tutti i programmi DEVONO essere chiusi, anche il browser) clicca su Scan e metti la spunta al fianco dei valori e clicca su Fix Checked.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://fbbwb.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://fbbwb.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://fbbwb.dll/index.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fbbwb.dll/sp.html#26512
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {61EC0CB7-AE7B-B655-97E6-39712CAE7085} - C:\WINNT\apptl.dll
O4 - HKLM\..\Run: [iegs.exe] C:\WINNT\system32\iegs.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)
O21 - SSODL: System - {300A2951-CB31-4D31-9BC9-943C9F21598B} - C:\WINNT\system32\system32.dll (file missing)


Sempre dalla provvisoria cerca ed elimina:

C:\WINNT\system32\iegs.exe <=== il file

C:\WINNT\apptl.dll <=== il file

C:\WINNT\msopt.dll <=== il file, se presente

C:\WINNT\system32\system32.dll <=== il file, se presente


Apri, sempre dalla modalità provvisoria, AdAware e settalo così:

Dalla finestra principale del programma portati in alto e clicca sull'icona Configurazione (icona ingranaggio), troverai 4 voci metti la spunta selle ultime tre (devono diventare verdi)
1) salva log file
2) in quarantena prima di rimuovere
3) Modo sicuro
Ora clicca su Personalizza (sempre dalla stessa finestra)
Metti la spunta su "Usa la mia configurazione di default" e clicca al suo fianco su Personalizza
Metti la spunata su
"Controlla all'interno delle cartelle"
Nella parte "Memoria & Registro" metti la spunta a tutte e 5 le voci (devono sempre diventare verdi)
Clicca su Continua (in basso)
Ora clicca con tutte le applicazioni chiuse, su Inizio (in basso a dx) e poi su Avanti.
Finita la scansione elimina tutti i valori in rosso che AdAware ti ha trovato, riavvia il pc in modalità normale.

Apri CWShredder e clicca su Fix. Riavvia il pc.

Fai un nuovo Scan con HJT e posta il Log

[valepu]

non riesco a scaricare sphjfix! il sito è in tedesco e se provo a cercarlo su google mi trova solo collegamenti a quella pagina!

[valepu]

non riesco a scaricare sphjfix! il sito è in tedesco (non ci capisco niente) e se provo a cercarlo su google mi trova solo collegamenti a quella pagina!

[amvinfe]

http://www.trojaner-info.de/cgi-bin/...i?file=sphjfix

[valepu]

Ora funziona tutto bene, cmq sphjfix e cwsheredder non hanno trovato niente, è stato solo quando ho usato adaware ke ha trovato ed eliminita tutto

Logfile of HijackThis v1.98.1
Scan saved at 13.45.38, on 10/08/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
d:\server\DIRECT~1\DUService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Winamp\Winampa.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Documents and Settings\valepu\Desktop\Italianpatch\HijackThis.ex e

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\W
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programmi\Corel\Graphics10\Register\NAVBrowser .exe" /r /i "C:\Programmi\Corel\Graphics10\Register\NavLoad.in i"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com

[valepu]

posso sapere da quante cose e da che cosa sono stato infettato?

[amvinfe]

Originariamente inviato da valepu
posso sapere da quante cose e da che cosa sono stato infettato?

da una delle varianti CoolWebSearch conosciuto meglio forse come Trojan Winshow
all'url la descrizione di una delle varianti
http://www.alground.com/virus/scheda...p?cod_virus=84