Attenzione Potenziale Spyware

**raige** · 23-12-2007, 00:36

Ho piu o meno lo stesso problema del ragazzo di prima.
Ho formattato il pc e mi si è presentato questo virus.
vi posto l'HIJACKTHIS:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.21.25, on 23/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\shovth.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\AdunanzA\eMule_AdnzA.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Alwil Software\Avast4\ashSimpl.exe
C:\Documents and Settings\Chicco\Impostazioni locali\Temporary Internet Files\Content.IE5\D9VQF1SW\HiJackThis_v2[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [sis32] C:\WINDOWS\system32\winsos.exe
O4 - HKLM\..\Run: [winroot] C:\WINDOWS\system32\winsn.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1198437080156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1198437068062
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4279 bytes

**tognazzi** · 23-12-2007, 00:55

benvenuto sul forum raige

lancia hijackthis, scegli "do a system scan only", seleziona le voci che ti indicherò e su di quelle esegui il "fix checked"

O4 - HKLM\..\Run: [sis32] C:\WINDOWS\system32\winsos.exe
O4 - HKLM\..\Run: [winroot] C:\WINDOWS\system32\winsn.exe
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll

dopo avere fixato le voci sopra riavvia il sistema. con "esplora risorse" naviga fino alle cartelle C:\WINDOWS\system32 e C:\WINDOWS e cancella i file nocivi, gli stessi su cui hai eseguito il fix (winsos.exe, ecc. ecc.)

per quanto riguarda la formattazione non è credibile che i virus siano sopravvissuti ad una procedura del genere. più probabilmente li hai ripresi da te stesso (per esempio da una chiavetta usb, ecc. che non hai formattato e che poi hai connesso al pc dopo la formattazione) o tornando su siti poco sicuri e usando adunanza

**raige** · 23-12-2007, 15:19

allora..ho fatto come mi hai detto..ma il virus ritorna.
Appare una finestra di tanto in tanto di un COPIA IN CORSO..che annullo in tempo.L'ora è sfalsata,e il volume del sistema viene abbassato in automatico.Inoltre non posso accedere al taskmanager e il mio utente è limitato.
Non può essere qualcosa riguardo "siti poco sicuri".Potrebbe trattarsi del mulo?Chiavi usb non ne ho inserite,se non l'HD esterno,che però è pieno dei dati che ho tolto prima di formattare il pc.
ecco cmq i sintomi, li copio da un altro utente del forum che ha avuto lo stesso problema:
2) Poi compare una finestra con la seguente scritta:
Attenzione potenziale spyware! Il vostro computer sta facendo copie non autorizzate del vostro sistema e file internet. Avviate la scnsione completa per prevenire l'accesso non autorizzato ai vostri files! Cliccate qui per scaricare lo spyware remover SI NO

3) Ogni tot minuti si apre una finestra con scritto:
Copia in corso ...
Io clicco Annulla prima che termini.

4) Il simbolo del volume in basso a destra vicino all'ora segna disattivato e nonostante io lo riattivi dalle proprietà audio dopo pochi secondi si ridisattiva

5) Si apre una finestra internet con browser IE con indirizzo http://81.13.88.89/alert.htm

**tognazzi** · 23-12-2007, 17:03

dai sintomi che descrivi si capisce che deve esistere un servizio attivato dal malware che sfugge ad hijackthis. il malware è un rogue antispyware, per prima cosa scarica rogue remover e scansiona. se non risolvi (e può essere) scarica systemscan dal sito www.suspectfile.com scansiona, carica il logfile che otterrai su un sito di hosting tipo http://www.easy-share.com/ e incolla qui il link in modo che possiamo scaricare e leggere il tuo logfile.

scarica anche avenger, che servirà in seguito

**raige** · 23-12-2007, 17:44

Ho scansionato con Rogue Remover e non trova nulla.
Il report di Systemscan è qui: http://w14.easy-share.com/13038181.html
Ah,grazie in anticipo per l'aiuto che mi stai dando

**tognazzi** · 23-12-2007, 19:54

ho letto il tuo log di systemscan e non ho trovato niente di particolare tranne le tracce dei file indicati sopra. probabilmente c'è un processo legato al malware che è ancora attivo al momento del fix checked e impedisce la rimozione.

fai anche questo controllo: start -> impostazioni -> pannello di controllo -> installazione applicazioni e controlla che tutte le applicazioni installate siano programmi che conosci. se noti qualcosa di strano posta il nome dell'applicazione qui.

per eliminare il malware devi usare avenger.
seleziona "input script manually" e clicca sull'icona della lente di ingrandimento.
copia e incolla nella finestra che apparirà quello che vedi scritto qui sotto in neretto

files to delete:
C:\WINDOWS\system32\winsos.exe
C:\WINDOWS\system32\winsn.exe
C:\WINDOWS\trayicons.exe
C:\WINDOWS\system32\wowfx.dll

premi "done" e clicca sull'icona del semaforo. clicca su yes o ok alle finestre di dialogo che compariranno. avenger riavvia il sistema, e al riavvio genera un file avenger.txt nella cartella C:/.
posta qui il contenuto del log di avenger

**raige** · 23-12-2007, 20:35

Non posso entrare nel Pannello di Controllo,lo spyware mi impedisce qualsiasi azione da Amministratore del PC,e il pannello è sparito.
Ecco il report di avenge:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\pmcyeovh

*******************

Script file located at: \??\C:\WINDOWS\qeehkxfq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\winsos.exe not found!
Deletion of file C:\WINDOWS\system32\winsos.exe failed!

Could not process line:
C:\WINDOWS\system32\winsos.exe
Status: 0xc0000034

File C:\WINDOWS\system32\winsn.exe deleted successfully.
File C:\WINDOWS\trayicons.exe deleted successfully.
File C:\WINDOWS\system32\wowfx.dll deleted successfully.

Completed script processing.

*******************
Ti riposto anche l'hijackthis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.10.21, on 25/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\Chicco\Impostazioni locali\Temporary Internet Files\Content.IE5\D9VQF1SW\HiJackThis_v2[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programmi\Helper\ifastseek.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1198437080156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1198437068062
O20 - AppInit_DLLs: murka.dat
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4059 bytes

**tognazzi** · 23-12-2007, 23:50

la notizia buona è che dal log di avenger si vede che ha eliminato 3 file nocivi su 4 (uno non lo trova). quella cattiva è che dal log di hijackthis se ne vedono altri.

http://forum.html.it/forum/showthread.php?s=&threadid=811189]la guida antimalware[/URL] al punto 4 spiega come usare hijackthis. tra le altre cose troverai scritto:

Non lanciate HJT direttamente da WinZip o WinRar, dovete estrarlo!
Chiudete tutte le finestre e i programmi attivi (browser compreso). In caso contrario rischiate che l'eliminazione delle voci dannose non abbia effetto.
Disconnettetevi da internet/LAN.

segui questi punti alla lettera.

scarica atf cleaner e utilizzalo per cancellare i file temporanei

inoltre, ripeti la procedura di hijackthis e fixa queste voci:
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programmi\Helper\ifastseek.dll
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe

riavvia il sistema. controlla se è presente il file ifastseek.dll nella cartella C:\Programmi\Helper
con la funzione start -> cerca -> file o cartelle controlla se sono presenti i file medichi.exe e medichi2.exe, se e così cancellali

al termine posta un nuovo log di hijackthis. questo malware sembra duro a morire

**raige** · 24-12-2007, 17:14

Non posso eseguire Hijackthis dal desktop,perchè il malware mi ha reso LIMITATO l'account,quindi posso solo eseguirlo direttamente,senza poterlo salvare...

**its** · 27-01-2008, 13:50

Ciao a tutti, volevo informarvi che ieri sono letteralmente impazzito a causa di questa cosa. In particolare volevo segnalare che secondo me si tratta di un rootkit.

Se si entra in modalità provvisoria si riesce ad entrare. Sia come amministratore che come utente. Se invece si tenta di entrare come Administrator in modalità normale viene detto che esistono delle limitazioni sull'accout. Come utente normale per il momento mi fa entrare.

Poi volevo segnalarvi che secondo me questo virus ha fatto qualche cosa sull'hard disk. Connesso il disco ad un sistema linux non ho i diritti di scrittura mentre dovrei essere DIO in terra. Posso solo leggere. Ho provato a ripristinare con CHMOD i diritti di scrittura ma non ho ottenuto alcun effetto.

Cancellando i file tutti sia con Nod che manualmente il virus al riavvio si reinstalla.

Nota: guardando con linux ho il disco diviso in 2 partizioni: una da 6 giga e una da 90 giga. Non sono ancora riuscito a capire se la partizione da 6 è una partizione per il ripristino del sistema. Infatti è stata nominata "backup".

Saluti

ITS

Discussione: Attenzione Potenziale Spyware

Strumenti discussione

Ricerca discussione

Visualizza

Attenzione Potenziale Spyware

Ancora su medichi2.exe

Permessi di invio