warning,your computer is infected [era:Aiuto Perfavore!]

[giannyx]

ciao ragazzi,ho un problema che mi sta facendo mangiare la testa da giorni...
nella mia barra delle applicazioni,sulla destra mi appare l'icona tonda e rossa con la x al centro che mi dice "warning,your computer is infected"...
mi parla della necessita di avere un antispyware e che windows provvederà a farlo.
ma windows non fa nulla,in più adaware mi dice che il pc è pulito,inoltre non riesco ad impostare nessuno sfondo,ho perso le icone nella sezione "preferiti" di explorer e non mi si avvia task manager(mi dice che è stato disabilitato dall'amministratore,che sarei io).
che faccio?grazie!
VVoVe:

[thomas_anderson]

ciao e benvenuto nel forum! (purtroppo in un'occasione poco felice)
leggi attentamente questa guida:

http://forum.html.it/forum/showthrea...hreadid=811189

mi raccomando, segui tutte le istruzioni passo passo. ciao

[giannyx]

non ho risolto il problema in nessun modo indicatomi da voi!che ne pensate?


Logfile of HijackThis v1.99.1
Scan saved at 22.00.12, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\svchost.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\System32\per.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\System32\tt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148647045169
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FA9B76-03ED-4BD0-B003-9DEEC5BC08E6}: NameServer = 85.255.116.168,85.255.112.183
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4F55C45-06BA-4DAD-BF24-7B33214E617C}: NameServer = 85.255.116.168 85.255.112.183
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

grazie!

[Habanero]

Fai attenzioni a premere su Rispondi e non su Nuovo. Ho unito le discussioni.

Inoltre se leggi bene le istruzioni è importante chiudere tutte le finestre del browser prima di ottenere il log di Hijackthis.
Prima di "fixare" le voci dannose è essenziale tu chiuda IE!.

Da ultimo ti consiglio vivamente di aggiornare il tuo windows tramite windows update.

Fixa:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\svchost.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

fixa anche i DNS Ucraini

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FA9B76-03ED-4BD0-B003-9DEEC5BC08E6}: NameServer = 85.255.116.168,85.255.112.183
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4F55C45-06BA-4DAD-BF24-7B33214E617C}: NameServer = 85.255.116.168 85.255.112.183


Riavvia il sistema e cancella i file:
C:\WINDOWS\System32\per.exe
C:\WINDOWS\svchost.exe


A questo punto riposta nuovamente un log di Hijackthis.

[holifay]

ovviamente cancella anche il file winstall.exe in C:

Dato che tra le altre cose hai anche Smitfraud, se dopo le indicazioni di Habanero non hai ancora risolto (potresti avere la wininet.dll infetta), segui questa procedura: http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

Ciao

[amvinfe]

scusate se m'intrometto

oltre ai consigli dati da Habanero, è probabile che anche questo C:\WINDOWS\System32\tt.exe sia un file infetto riferibile ad una variante di un trojan downloader.

Vedo che hai installato Norton, alla data del 23 marzo scorso sicuramente non era in grado di riconoscere winstall.exe (adware SpySheriff).
http://www.suspectfile.com/forum/viewtopic.php?t=44


per cortesia prima di eliminare i file, puoi mandarmene copia zippata all'indirizzo presente nella mia firma? Grazie.

C:\WINDOWS\svchost.exe (fai attenzione alla directory, quello postoin system32 è legittimo)
C:\WINDOWS\System32\per.exe
C:\WINDOWS\System32\tt.exe

ops vedo ora... ed ai consigli di holifay

[giannyx]

scusate l'ignoranza,ma quali sono i DNS ucraini?
dalle faccine ho capito che tipo di informazioni vi danno, ,ma non li so riconoscere in tutto questo casino di righe...
p.s. proverò a mandarti il file zippato.
thanks!

[giannyx]

ho eseguito per filo e per segno tutto quello che mi avete consigliato...
una parte dei problemi è andata via (niente più icona rompiballe e ora posso selezionare lo sfondo),ma quando cerco di eliminare C:\WINDOWS\svchost.exe mi dice accesso negato,controllare se è in esecuzione o il disco è pieno (una cosa del genere).
in più task manager risulta ancora disabilitato dall'amministratore (sempre io).

che faccio?

grazie.

[giannyx]

allego il nuovo log...

Logfile of HijackThis v1.99.1
Scan saved at 5.28.32, on 30/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\svchost.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148647045169
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

[amvinfe]

Disabilita il Ripristino di configurazione di sistema
- Click di destro su Risorse del computer> Proprietà>seleziona la scheda "Ripristino configurazione di sistema">metti la spunta su "Disattiva Ripristino configurazione di sistema>Applica>OK
-Riavvia in modalità provvisoria (premi più volte il tasto F8 al Boot)
- Apri HijackThis (sempre dalla provvisoria), fai lo scan, metti la spunta ai valori. Clicca su Fix checked

-F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\svchost.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

- Chiudi HijackThis
- Cerca ed elimina (sempre dalla provvisoria)

C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\per.exe
C:\winstall.exe

-Riavvia in modalità normale
-Riattiva il Ripristino di configurazione di sistema (Togli la spunta da ""Disattiva Ripristino configurazione di sistema>Applica>OK)
-Riavvia
- esegui una scansione con Ewido (aggiornato)
Posta un nuovo log di HJT