spyware che non riesco a togliere

[crisma]

Ciao a tutti.
sul pc di un mio amico c'è uno spyware (credo) che mi sta facendo impazzire
Ho gia provato con adaware, spybot e sulla macchina è installato pc-cillin come antivirus e continua ad assillarmi!!! il virus che ho
preso(spyware??) mi fa vedere una schermata nera sopra l'immagine del desktop
con un messaggio del tipo: WARNING you're in danger... secure yourself....etc
e ti collega a una pagina di ricerca di spyware remover.
Inoltre nella taskbar c'è un'icona di allerta che manda un mess del tipo:
Warning your computer is at risk! Spyware detected... etc che se clicchi ti
manda alla solita pagina degli spyware remover!!
Sapete darmi le istruzioni per liberarmi di questo virus?? GRAZIE

[SuperMariano81]

E' già stato postato, non viene rilevato come spyware in quanto è una pagina html innoqua e il desktop è stato impostato come pagina web.
Devi torgliere questa impostazione (click col dx sul desktop > proprietà > desktop > personalizzazioe desktop > scheda Web > togli la spunta)
Per eliminare la pagina (ora non ricordo il nome) fai una ricerca con trova dei file html, ne troverai uno con il nome strano in qualche dir di windows.... cancellala pure


PS la prossima volta cerca nel forum che è stato già postato

[crisma]

hai ragione, scusami se non ho cotrollato altre discussioni...ho fatto quanto mi hai detto per il desktop ed ho eliminato la pagina, quindi, un problema in meno, però rimane l'alert sulla toolbar, non rimane l'impostazione della homepage di internet e continuano ad aprirsi finestre che mi dicono che ho uno spyware....

[crisma]

ho lanciato HijackThis ottenendo questo file di log:
Logfile of HijackThis v1.99.0
Scan saved at 11.28.45, on 17/02/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programmi\Trend Micro\Internet Security\tmproxy.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
C:\WINNT\system32\RunDll32.exe
C:\Programmi\Trend Micro\Internet Security\pccguide.exe
C:\Programmi\Trend Micro\Internet Security\PCClient.exe
C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINNT\system32\rundll32.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINNT\system32\wuauclt.exe
C:\Documents and Settings\retro\Desktop\HijackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\retro\IMPOST~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\retro\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {20BA6144-12B4-4D10-9F30-CE751E30001A} - C:\WINNT\system32\bgch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\retro\IMPOST~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03dd60c6...dxIE601_it.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69CE97E5-A2D1-4F0A-807B-DE0AE1A486BD}: NameServer = 192.168.20.3,192.168.20.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{69CE97E5-A2D1-4F0A-807B-DE0AE1A486BD}: NameServer = 192.168.20.3,192.168.20.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{69CE97E5-A2D1-4F0A-807B-DE0AE1A486BD}: NameServer = 192.168.20.3,192.168.20.2
O18 - Filter: text/html - {5011E31E-A387-43A6-BE4B-F2B845EA356A} - C:\WINNT\system32\bgch.dll
O18 - Filter: text/plain - {5011E31E-A387-43A6-BE4B-F2B845EA356A} - C:\WINNT\system32\bgch.dll
O23 - Service: Servizio amministrativo di Gestione disco logico - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\tmproxy.exe



qualcuno mi saprebbe dire se ci sono problemi rintracciabili?
grazie

[amvinfe]

hai parecchie voci da eliminare, inizia a scaricare, installare ed aggiornare con le nuove definizioni (del 16.02) AdAware, elimina tutti i valori infetti, riavvia
Scaricati la nuova versione di HijackThis, la 1.99.1 nel 3d in Rilievo -links utili- c'è spiegata anche una cosa che gli utlilizzatori di McAfee dovrebbero sapere
posta un nuovo log.

[SuperMariano81]

Lancia AdAware da modalità provvisoria e molte cose le risolverai così

[crisma]

prima di tutto, grazie mille per l'attenzione poi, questo è il nuovo log...


Logfile of HijackThis v1.99.1
Scan saved at 12.15.31, on 18/02/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINNT\system32\wuauclt.exe
C:\Programmi\Trend Micro\Internet Security\tmproxy.exe
C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programmi\Trend Micro\Internet Security\PCClient.EXE
C:\Programmi\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {20BA6144-12B4-4D10-9F30-CE751E30001A} - C:\WINNT\system32\bgch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03dd60c6...dxIE601_it.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69CE97E5-A2D1-4F0A-807B-DE0AE1A486BD}: NameServer = 192.168.20.3,192.168.20.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{69CE97E5-A2D1-4F0A-807B-DE0AE1A486BD}: NameServer = 192.168.20.3,192.168.20.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{69CE97E5-A2D1-4F0A-807B-DE0AE1A486BD}: NameServer = 192.168.20.3,192.168.20.2
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\tmproxy.exe

[SuperMariano81]

Non mi piace:
O4 - HKCU\..\Run: [internat.exe] internat.exe
però non so cosa sia

Per il resto mi sembra ok!
Ti da qualche altro problema???

Che software hai usato per pulire il PC??

[crisma]

ho usato ad-aware (l'ultima versione consigliatami nella discussione), HijackThis e spybot. Nel pc c'è PC-cillin come antivirus... ecco, proprio adesso mi si è riaperta una finestra azzurra con la scritta "warning" ecc...
che posso fare?

[amvinfe]

Originariamente inviato da SuperMariano81
Non mi piace:
O4 - HKCU\..\Run: [internat.exe] internat.exe
però non so cosa sia

Per il resto mi sembra ok!
Ti da qualche altro problema???

Che software hai usato per pulire il PC??

internat.exe in win2000 è legittimo

apri HJT, fai lo scan chiudi tutte le finestre, browser compreso clicca su Fix checked
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {20BA6144-12B4-4D10-9F30-CE751E30001A} - C:\WINNT\system32\bgch.dll

riavvia in mod. provvisoria ed elimina
C:\WINNT\system32\bgch.dll
riavvia fai una nuova scansione con AdAware.