Sos.... Spyware.winspy

[*Divina* Rousel]

Ragazzi sono confusa, ho bisogno di un chiarimento e di un piccolo aiuto...

Questa sera durante una scansione automatica di Norton mi sono stati rilevati 7 spyware...esattamente questi:

File.............................Nome

00107421.exe ............(Spyware.winspy)
00107424.exe ............(Spyware.winspy)
00107459.exe ............(Spyware.winspy)
00107509.exe ............(Spyware.winspy)
00107534.exe ............(Spyware.winspy)
Uniner.exe ............(Spyware.winspy)
Wrd.exe ............(Securityrisk.Downldr)

Premetto che non facevo scansione con il Norton da diverse settimane
lascio che vada in automatico (nonostante provvedo quasi ogni giorno a verificarne l'aggiornamento)...il fatto è che ero tranquilla di non avere minacce sul pc in quanto dopo esperienze passate di dialer ho l'abitudine maniacale, quasi ogni giorno di lanciare HijackThis (che analizzando i risultati di volta in volta sul sito apposito non ha mai rilevato nulla che non fosse sicuro)...
In più faccio girare spessissimo SpyBot che tengo sempre aggiornatissimo, Ad-Aware e RegSeeker...senza trovare alcun tipo di minaccia particolare.

C'è da dire pero che più di una volta in questi giorni ho fatto scansione online dal sito Trend-Micro e la prima volta mi ha rilevato un virus chiamato (Troy-Dloader.bmw) questo circa 2 settimane fa che però mi ha eliminato automaticamente.

Non sono molto pratica di virus, spyware etc e vorrei quindi chiedervi se potete dirmi qualcosa in merito a questo tipo di minacce trovate, come si prendono per esempio, visto che negli ultimi giorni non mi risulta aver aperto nessuna email contenenti allegati, nè ho scaricato nulla da siti sconosciuti...

Inoltre vorrei chiedervi se conoscete specificatamente questo tipo di spyware trovato, qualche dettaglio specifico...
per quello che so io in generale so che si tratta di spie,
ma non so altro e non conosco le caratteristiche di questo.
Pensate che abbiano intercettato anche le pass?

Illuminatemi vi prego, mi fa impazzire il pensiero di essere spiata ma soprattutto
pesante che averli eliminati con Norton sia stato sufficiente
per riavere la mia privacy o devo fare qualcos'altro?


Ringrazio coloro che risponderanno a questo post
e che vorranno darmi una mano...

[*Divina* Rousel]

Ragazzi ho appena terminato una scansione online dal sito "kaspersky.com"
dice che ha trovato 2 virus e 7 file infetti
e riporta quanto incollo di seguito:


c:windows\dll32\service.exe
c:windows\dll32\csrss.exe
c:windows\taskmgr.exe
c:windows\msn32.exe
c:windows\Outlook.exe
c:windows\wsdll32.exe
c:windows\winup32.exe

Li definisce tutti come "Trojan-spy.win32.winspy.j"

Che devo fare...vi prego non voglio formattare e leggendo "c:windows" ho paura a cancellarli, non ci capisco niente e temo di togliere file importanti


Vi prego, vi prego aiutatemi, non so che fare....

[*Divina* Rousel]

Ho appena fatto scansione anche con HijackThis
e questo è quanto risulta...



Logfile of HijackThis v1.99.1
Scan saved at 6.06.08, on 04/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Utilities\NPROTECT.EXE
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\CtrlVol.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Norton Utilities\SYSDOC32.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmi\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [WorksFUD] c:\Programmi\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Programmi\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton Utilities\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programmi\Speed Disk\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe


Help

[MatterGM]

Sei sicura che tutto non sia partito da un semplice errore di Norton? Ti spiego meglio, spesso e volentieri Norton rileva come spyware anche programmi come eMule etc. Per i virus vabbè, in un pc bene o male ce ne sono sempre, ma sono quasi sicuro che quanto ti ha segnalato norton non è altro che qualche parte di un eseguibile normalissimo.

[*Divina* Rousel]

non credo si tratti di un errore di norton perchè come ho già scritto, facendo scansione online usando kaspersky mi ha rilevato lo stesso tipo di spyware, chiamato "winspy".


nessun'altro sa dirmi qualcosa?

[MatterGM]

Scusa ma un Anti-Spyware a questo punto no?

http://www.kaspersky.com/

vai li e scaricati l'anti-spywar così almeno elimini il problema alla radice

[Habanero]

premesso che in rilievo c'è una discussione con una bella scaletta sulle procedure di disinfestazione che sarebbe utile seguire...
http://forum.html.it/forum/showthrea...hreadid=811189

Norton ti rileva il problema ma non te lo elimina? hai provato in modalità provvisoria?

[MatterGM]

EDIT: scusate, topic sbagliato

[*Divina* Rousel]

Habanero, ti spego meglio,
a parte che prima di aprire questo post avevo già letto ed eseguito le procedure scritte e consigliate da te su quel link e già per mia abitudine cerco di fare sempre scansioni anche in modalità provvisoria...
il problema non è che Norton non me li elimina,
in quanto apparentemente dice di averli eliminati, infatti non li rileva più ma nonostante questo avendo eseguito successivamente per maggiore sicurezza la scansione online dal sito da te suggerito "Kaspersky" mi ha trovato lo stesso tipo di spyware che aveva trovato Norton,
7 file infetti e 2 virus (di cui ho scritto i nomi) ma che non ho cancellato per paura di eliminare file di sistema in quanto preceduti da "c: windows"....gli stessi trovati ed eliminati in precedenza da Norton e aventi la stessa denominazine...."winspy"

è questo che mi preoccupa!

[Habanero]

la maggior parte del malware predilige la cartella c:\windows proprio per mascherasi tra i file di sistema. Ti tranquillizzo, quelli puoi assoulutamente eliminarli.