Da qualche giorno la pagina di avvio di Internet explorer si setta automaticamente su
C:\WINNT\system32\spywarewarning.mht
dove compare un warning rifertito a eventuali infezioni del pc e la pubblicità per il software di pulizia.
Qualcuno mi puo aiutare a rimuoverlo?
(so che Topdrake ha gia aiutato un'altro utente in questo ma il mio caso è leggermente diverso e non riesco a trovare il file da lui indicato come infetto)
Grazie
Scarica Hijackthis e mettilo in un cartella dedicata (tipo: c:\programmi\Hijackthis).
Lancialo e clicca sul tasto "Do a system scan and save a log file". Posta il file di testo ottenuto.
Ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ti ringrazio per la pronta replica.
Purtroppo se vado al link che mi hai indicato si chiude Internet explorer.
Ho scaricato HiJackThis_v2 da un altra parte ma appena lo faccio partire si chiude immediatamente prima che io accetti la licenza.
E' come se qualcosa nel pc verificasse la presenza di HiJackThis_v2 e lo inpossibilitasse a funzionare.
Ci sono altre soluzioni?
proviamo.
Scarica SystemScan
Disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ecco il link generato
http://www.freefilehosting.net/download/3c6m8
Tieni presente che ho dovuto togliere lo spunto dall'opzione Autoplay settings (autorun.inf)
perchè diversamente l'applicazione si bloccava.
Grazie ancora per l'aiuto
ciao
Analizza C:\WINNT\system32\ => dzbryce6.dll e 3ivxDSAudioDecoderp.exe su Virustotal e posta i risultati.
I files da eliminare sono parecchi (e non credo proprio ti funzionera' avenger...). Vediamo prima se riuscimo ad utilizzare qualche programma.
Scarica SmitfraudFix e CCleaner
Entra in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
-----
Apri il registro (start => Esegui => digita: regedit => dai l'ok)
Segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Seleziona la cartella Winlogon e, nella finestra di destra, fare doppio click su USERINIT
Nella finestra che si apre devi lasciare scritto solo:
c:\windows\system32\userinit.exe,
e cancellare il resto (cioe' devi cancellare solo c:\winnt\siemensnetwork.exe)
(mi raccomando, devi lascia anche la virgola dopo userinit.exe)
Chiudi il registro (poi aggiusteremo anche "System"="lsass.exe")
-----
Esegui SmitfraudFix, Seleziona l'opzione 2 (Clean) e premi invio (elimina i file infetti).
Alla domanda "Registry cleaning - Do you want to clean the registry ?", rispondi "si", digitando "Y" e dai l'invio (rimuove tutto quanto associato con l'infezione - se non erro reimposta lo sfondo del desktop, quindi il tuo potrebbe sparire).
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale).
Sul desktop verra' visualizzato un file di testo con risultati: dovresti trovare questo report anche in C:\rapport.txt.
Posta il log di SmitfraudFix
Se poi preferisci farlo a mano (ma sempre da provvisoria e terminando i processi attivi dal task manager), devi eliminare:
C:\svchost.exe
C:\svchost2.exe
C:\WINNT\jyvxy1.dll <=== :/
C:\WINNT\svx.exe
C:\WINNT\svw.exe
C:\WINNT\svc.exe
C:\WINNT\svhoster.exe
C:\WINNT\svzip.exe
C:\WINNT\runsql.exe
C:\WINNT\sv.exe
C:\WINNT\system32\415427707.dat
C:\WINNT\system32\adsmsextr.exe
C:\WINNT\system32\96482.exe
C:\WINNT\system32\spywarewarning.mht
C:\WINNT\system32\lpt4.zpo
C:\WINNT\tasks\ipqtig.job
C:\WINNT\tasks\jdvj.job
C:\WINNT\tasks\fevzl.job
C:\WINNT\tasks\qbdkgy.job
C:\WINNT\tasks\nknd.job
C:\WINNT\tasks\ffommvfu.job
C:\WINNT\tasks\vul.job
C:\WINNT\tasks\kancpwr.job
C:\WINNT\tasks\oaiipgo.job
C:\WINNT\tasks\hymqwt.job
C:\WINNT\tasks\ukfth.job
C:\WINNT\tasks\tdhohf.job
C:\WINNT\tasks\glsp.job
C:\WINNT\tasks\zsw.job
C:\WINNT\tasks\epe.job
C:\WINNT\tasks\knmpm.job
C:\WINNT\tasks\avog.job
C:\WINNT\tasks\semhyfk.job
C:\WINNT\tasks\nwze.job
C:\WINNT\tasks\lfqr.job
C:\WINNT\tasks\ckngvdzz.job
C:\WINNT\tasks\kxuerz.job
C:\WINNT\tasks\njsesi.job
C:\WINNT\tasks\qqzno.job
C:\WINNT\tasks\oqnnepk.job
C:\WINNT\tasks\gsgffp.job
C:\WINNT\tasks\rvm.job
C:\WINNT\tasks\gabtn.job
C:\WINNT\tasks\meuz.job
C:\WINNT\tasks\dhpbroeg.job
C:\WINNT\tasks\rplvrv.job
C:\WINNT\tasks\iqbhtuj.job
C:\WINNT\tasks\bvatnt.job
C:\WINNT\tasks\wybhm.job
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\1146281.exe
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro. Se non te lo fa eseguire, svuota la cartella C:\WINNT\temp e tutti i ~DFxxxx.tmp dalla cartella C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp.
Posta anche un nuovo rapporto di systemscan.
Ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
mammamia, procediamo con ordine
ecco il risultato dell'analisi con virustotal
File dzbryce6.dll ricevuto il 2008.02.18 13:49:23 (CET)
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.2.18.0 2008.02.18 -
AntiVir 7.6.0.67 2008.02.18 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.18 -
AVG 7.5.0.516 2008.02.18 -
BitDefender 7.2 2008.02.18 -
CAT-QuickHeal 9.50 2008.02.16 -
ClamAV 0.92.1 2008.02.18 -
DrWeb 4.44.0.09170 2008.02.18 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5546 2008.02.18 -
Ewido 4.0 2008.02.18 -
FileAdvisor 1 2008.02.18 -
Fortinet 3.14.0.0 2008.02.18 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.18 -
Ikarus T3.1.1.20 2008.02.18 -
Kaspersky 7.0.0.125 2008.02.18 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.18 -
NOD32v2 2882 2008.02.18 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.18 -
Rising 20.32.02.00 2008.02.18 -
Sophos 4.26.0 2008.02.18 -
Sunbelt 3.0.884.0 2008.02.18 -
Symantec 10 2008.02.18 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.17 -
Webwasher-Gateway 6.6.2 2008.02.18 -
Informazioni addizionali
File size: 32256 bytes
MD5: c24e14d236e8a230e7904618f4ef4a18
SHA1: 9be942db543285bf5c332c04a273165270a339eb
PEiD: -
File 3ivxDSAudioDecoder.ax ricevuto il 2008.02.18 13:58:39 (CET)
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.2.18.0 2008.02.18 -
AntiVir 7.6.0.67 2008.02.18 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.18 -
AVG 7.5.0.516 2008.02.18 -
BitDefender 7.2 2008.02.18 -
CAT-QuickHeal 9.50 2008.02.16 -
ClamAV 0.92.1 2008.02.18 -
DrWeb 4.44.0.09170 2008.02.18 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5546 2008.02.18 -
Ewido 4.0 2008.02.18 -
FileAdvisor 1 2008.02.18 -
Fortinet 3.14.0.0 2008.02.18 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.18 -
Ikarus T3.1.1.20 2008.02.18 -
Kaspersky 7.0.0.125 2008.02.18 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.18 -
NOD32v2 2882 2008.02.18 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.18 -
Rising 20.32.02.00 2008.02.18 -
Sophos 4.26.0 2008.02.18 -
Sunbelt 3.0.884.0 2008.02.18 -
Symantec 10 2008.02.18 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.17 -
Webwasher-Gateway 6.6.2 2008.02.18 -
Informazioni addizionali
File size: 360448 bytes
MD5: 6f27a00bd494ef6b8ee6d1a0032490af
SHA1: ba0ddeecc0d19f106a2e0a86c05c6edd238d09c3
PEiD: -
Quindi proseguiamo
Non sono riuscito a disattivare il ripristino configurazione pioiche con windows 2000 professional il percorso da te indicato non era presente e il piu vicino
pannello di controllo / sistema / avanzate
aveva una sezione avvio e ripristino ma con opzioni differenti da quelle indicate
Ho quindi saltato questo step
In modalità provvisoria ho lanciato il primo programma ecco il report
SmitFraudFix v2.290
Scan done at 14.24.00,85, lun 18/02/2008
Run from H:\apps\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Versione 5.00.2195] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
67.15.57.172 auto.search.msn.com #NETVISION
160.128.161.153 bute2ieh.com
98.142.154.12 catolcwxcav.com
164.105.11.128 ukjp9mn2.com
26.61.135.9 vkipqugtsx.com
74.155.15.232 wvdimh98zhq.com
21.43.177.216 zobcslgff.com
217.65.130.117 fullows.com
0.0.0.0 shiptrop.com
7.19.148.180 thumbstring.net
46.227.219.28 wschooler.com
237.198.174.168 addwjf6zoy.com
42.9.237.234 itqoipyqsq.com
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\config.sy_ Deleted
C:\WINNT\system32\ot.ico Deleted
C:\WINNT\system32\ts.ico Deleted
C:\DOCUME~1\ADMINI~1\PREFER~1\Antivirus Test Online.url Deleted
C:\Programmi\Safety Bar\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AA80B141-C181-4C6D-A85C-3C5EE0D4C1B4}: NameServer=85.255.116.153,85.255.112.12
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AA80B141-C181-4C6D-A85C-3C5EE0D4C1B4}: NameServer=85.255.116.153,85.255.112.12
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AA80B141-C181-4C6D-A85C-3C5EE0D4C1B4}: NameServer=85.255.116.153,85.255.112.12
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="lsass.exe"
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
quindi sono passato a pulire manualmente quanto non era stato eliminato e risultava presente nella tua lista
c:/svchost.exe
c:/svchost2.exe
c:/system32/415427707.dat
c:/system32/adsmsextr.exe
c:/system32/96482.exe
c:/system32/415427707
c:/system32/spywarewarning.mht
altri files da te indicati erano gia stati da me eliminati e non risultavano essere presenti
Ora al riavvio la maledetta pagina spywarewarning.mhtl non appare piu (EVVIVA)
quindi il problema sembrerebbe risolto ma domani (ora sto uscendo) ti postero il nuovo report di systemscan
Per ora ti ringrazio infinitamente per il tempo che mi stai dedicando e la competenza delle tue indicazioni.
Ci tengo comunque a inviarti il report systemscan per vedere se il pc puo ritenersi pulito al di la del problema iniziale che sembra risolto
Grazie ancora
C'è un'altra pagina lunga uguale a quella che ti avevo postato, tutte cose da farese avessi scritto tutto insieme ti saresti avvilito.. Quindi comunciamo con il secondo step
Prendo gli appunti e li aggiungo in questo post
1) Scarica e scompatta questo file hosts. Fai clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc (NB: li' troverai già un altro file hosts, quindi accetta la sostituzione).
2) Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => "esporta" => salva la copia del registro in c:\
3) Segui questo percorso:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\servic es\WebEjt
Se trovi il servizio WebEjt, cliccasi sopra con il tasto destro del mouse, seleziona "esporta" e salva la chiave così:
Nome: web.txt
Tipo di file: tutti i file
salvala in c:\
Dovrai caricare questo file di testo su freefilehosting quando ti connetterai la prossima volta.
..... troppo lungo eliminare tutto a mano..
Scarica Panda AntiRootkit, Symantec_removal_tool_linkOpt e Prevx_Gromozon.
Vedi se riesci a fare delle scansioni.
Fammi anche sapere se riesci a scaricare Avenger.
Se si, prova anche ad eseguirlo: seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script" copia/incolla:
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato (se....).Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | kyidk
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | netx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | netw
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | netc
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | net64
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | netzip
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | runsql
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | netsv32
Fammi sapere
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
OOPS mi blocco gia all'inizio:
Il link Hosts ha scaricato un file zip che contiene un eseguibile mvps.bat che non so se devo estrarre nella directory da te indicata insieme al file HOSTS.
Per ora non l'ho fatto e mi sono limitato a copiare il File hosts salvando il vecchio con un nome provvisorio.
Il fatto è che il pc ha rallentato improvvisamente al punto da non poter quasi piu lavorare per cui sono tornato alla vecchia versione del file.
Mi chiarisci gentilmente se è normale e se devo eseguire il file mvps.bat ?
Ciao
(scusa sono imbranato)
Un'altra cosa il servizio WebEjt è disponibile ma non riesco ad accederci (mi da un errore di apertura della chiave quando ch clicko sopra) e nemmeno mi fa creare una nuova chiave (sempre un messaggio di errore dice che è impossibilitato a crearla)
Per quanto riguarda ol problema lentezza di cui ti ho accennato prima per ora l'ho risolto disabilitando services.exe nei DNS allo startup
spero di aver fatto bene
Permessi di invio
Rispondi quotando