Ciuccia.exe

**GuitarVale** · 24-08-2007, 17:03

Ciao ragazzi, dopo vari anni ho un computer mio e non aziendale e non so bene come comportarmi per fronteggiare invasioni di virus et similia.
Senza saper nè leggere nè scrivere ho intanto capito che esiste un tool di nome hijack this che fa una specie di scansione del sistema e aiuta a
capire cosa c'è (Sotto vi incollo il log).
Intanto so per certo di avere una roba di nome "ciuccia.exe" che mi fa comparire degli odiosi pop-up mentre navigo in Internet. Norton mi avverte
ogni volta del pericolo ma non riesce a debellarlo. Su un altro forum ho letto che bisogna "fixare" delle voci (immagino sempre tramite hijack) e
poi scaricare ed eseguire un applicativo di nome avenger.exe. Prima di scaricare qualche altra schifezza chiedo il vostro illuminato parere, sicuramente
conoscete bene il problema.

In più volevo chiedervi: oltre a un antivirus sarebbe il caso di dotarsi di un firewall tipo Zone Alarm vero? Io sto abbastanza spesso su Internet
per cui mi sa che ci vuole. Uso molto E-Mule per cui presumo che lo dovrei far funzionare disabilitandolo per questo programma e farlo lavorare per tutto
il resto (non so se sono riuscito a spiegarmi, mi sembra di essere diventato un analfabeta informatico).

In alternativa sapreste indicarmi altri firewall e o anti-virus che magari sono piùà efficaci?
Chiaramente vorrei evitare di spendere quattrini...

Vi ringrazio anticipatamente.
Ciao, Valerio.

Logfile of HijackThis v1.99.1
Scan saved at 16.40.11, on 24/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Dati applicazioni\tisemabana\sysnlcpz.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Valerio.VALERIO-SPECTRE\6308213.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615. 5858\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [iaueo] C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Dati applicazioni\tisemabana\sysnlcpz.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

**tecnico24** · 24-08-2007, 17:10

ciao,avvia hijackthis,spunta a sinistra su queste voci:

O4 - HKLM\..\Run: [iaueo] C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Dati applicazioni\tisemabana\sysnlcpz.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Valerio.VALERIO-SPECTRE\6308213.dll (file missing)

e poi clicca sotto su FIX CHECKED.
controlla che il logfile di hijackthis sia tutto,perche se non mi sbaglio e incompleto.

poi
vai su http://www.nanoscan.com/as/v1/principal.aspx
seleziona "Full Scan" e clicca su "Scan Now"
clicca su "I Accept" per accettare la licenza
accetta l'ActiveX, clicca su "Istalla"
attendi che l'istallazione sia terminata
partirà la scansione, una volta terminata clicca su "Save". Salva tutto sul desktop.
Portati su www.sendmefile.com carica il file appena salvato e posta, nella tua prossima risposta, l'URL per scaricarlo.

**GuitarVale** · 24-08-2007, 19:13

Ciao, ho fatto tutto, questo è il link per farti scaricare il file:

http://www.sendmefile.com/00572995

Ho mandato anche il log di Hijack che ho lanciato dopo aver fixato quelle 2 voci e prima di lanciare pandasoftware, avevi ragione, te lo avevo incollato incompleto.

Per la cronaca Panda mi diceva anche:

36 examples of less dangerous malicious software.
We detected that Norton AntiVirus 2005 is enabled and up-to-date.

Ciao.

**tecnico24** · 24-08-2007, 20:20

Scarica The Avenger
http://swandog46.geekstogo.com/avenger.zip

Poi avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno dello spazio bianco copia ed incolla queste scritte:

files to delete:
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\9HTVUQNY\a1[2].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\YPKNETU5\a1[4].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\YPKNETU5\a1[3].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\YPKNETU5\a1[2].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\YPKNETU5\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\YD3KXO3Y\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\WD6J6N89\a1[2].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\WD6J6N89\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\STQR4PAB\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\S1WFKR03\a1[3].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\S1WFKR03\a1[2].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\S1WFKR03\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\QTTI7UP8\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\M3MF2PU3\a1[5].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\M3MF2PU3\a1[4].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\M3MF2PU3\a1[3].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\M3MF2PU3\a1[2].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\M3MF2PU3\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\LKL14E01\a1[5].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\LKL14E01\a1[4].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\LKL14E01\a1[3].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\LKL14E01\a1[2].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\LKL14E01\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\KHYR0T2R\a1[2].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\KHYR0T2R\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\GVMTG1KI\a1[7].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\GVMTG1KI\a1[6].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\GVMTG1KI\a1[5].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\GVMTG1KI\a1[4].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\GVMTG1KI\a1[3].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\GVMTG1KI\a1[2].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\GVMTG1KI\a1[1].htm
C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Impostazioni locali\Temporary Internet Files\Content.IE5\0HAJ45IV\a1[1].htm

poi clicca su DONE,sul semaforo,due volte si e riavvia il pc.
postami il log che si trova in c:/avenger.txt

poi per non andar ancora troppo lungo con avenger scaricati virit da qui--> www.tgsoft.it/italy/index_ita.html

fai la scansione e postane il relativo log.

**GuitarVale** · 25-08-2007, 00:51

Credo che ci sia qualcosa che non va. Sono riuscito a copiare le stringhe che mi hai indicato nello spazio bianco, ma quando clicco sul semaforo mi dice: "Error: Selected file does not appear to be a valid script", poi "Press ok to log error and continue or Cancel to abort" e poi "Error Code 0". Dunque non posso cliccare 2 volte consecutive su "Sì", presumo quindi che il programma non riesca a fare le operazioni necessarie.

**tecnico24** · 25-08-2007, 09:27

allora procedi con virit.

**GuitarVale** · 25-08-2007, 11:45

Ciao, ho fatto partire VirIt, ecco il Log.

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
25/08/2007 - 10:47:36

[SCANSIONE DEL REGISTRO]
{FFFF0003-0001-101A-A3C9-08002B2F49FB} Infetto da Trojan.Win32.Dialer.AL
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\Valerio.VALERIO-SPECTRE\Dati applicazioni\tisemabana\sysnlcpz.exe Infetto da Trojan.Win32.Small.PN
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP58\A0017581.exe Infetto da Trojan.Win32.Agent.AYP
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP58\A0017598.dll Infetto da Trojan.Win32.Small.PS
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP58\A0017616.dll Infetto da Trojan.Win32.Small.PS
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP58\A0017634.exe Infetto da Trojan.Win32.Agent.AYP
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP58\A0017644.dll Infetto da Trojan.Win32.Small.PS
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP58\A0017675.exe Infetto da Trojan.Win32.Agent.AYP
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP58\A0017680.dll Infetto da Trojan.Win32.Small.PS
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP59\A0017699.dll Infetto da Trojan.Win32.Small.PS
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP59\A0017770.exe Infetto da Trojan.Win32.Agent.AYP
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP59\A0017794.dll Infetto da Trojan.Win32.Small.PS
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP59\A0017831.exe Infetto da Trojan.Win32.Agent.AYP
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP59\A0017832.exe Infetto da Trojan.Win32.Small.PS
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP59\A0017980.dll Infetto da Trojan.Win32.Small.PS
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP59\A0017983.dll Infetto da BHO.C3.A
* * * RIMOSSO * * *
C:\System Volume Information\_restore{E1B6049D-98FB-4BAD-8114-AE8F04B29019}\RP69\A0019981.exe Infetto da Trojan.Win32.Small.PN
* * * RIMOSSO * * *
C:\WINDOWS\system32\xpdx.sys Infetto da Trojan.Win32.Costrat.G
* * * RIMOSSO * * *

Chiavi Registro infette: 1.
Files Infetti: 17.
Files Sospetti: 0.
Files Analizzati: 77621.
Files Totali: 77621.
Chiavi Registro rimosse: 1.
Virus Rimossi: 17.

**tecnico24** · 25-08-2007, 13:37

il problema penso sia risolto.il tuo pc come va?

**GuitarVale** · 25-08-2007, 14:41

Ciao, Il pc va benone, lo avevo intuito perché quegli orrendi pop-up non compaiono più!! Oltretutto è anche sensibilmente più veloce!! Grazie mille!!

A questo punto ti vorrei chiedere nuovamente: cosa mi consigli per stare abbastanza sicuro?? Io non ho ben capito la differenza tra il Norton che ho io e questo "Virit" che mi è sembrato efficacissimo nel cancellare tutte le infezioni (mentre Norton non mi sembra che lo sia). Se non sbaglio ho scaricato la versione Trial che dura 30 giorni, a 'sto punto quasi quasi mi abbono, forse è meglio spenderlo qualche soldo, anche perché è un software italiano e merita supporto. Non posso caricarmi di tonnellate di virus, trojan e spyware per poi passare le giornate a consultare voi esperti. Tu che ne pensi?

E in più Zone Alarm (o prodotto simile) secondo te serve?

Ciao e grazie di nuovo.
Valerio.

**tecnico24** · 25-08-2007, 15:49

ciao,per me,se vuoi un consiglio,non abbonarti a virit,ma di scaricati antivir PE classic da qui---> www.free-av.com che e' gratuito,leggero ed efficiente.poi affiancaci un antispyware di tua scelta per proteggerti dalle spie(violazione della privacy)secondo me i migliori sono spybot www.spybot.info e adware www.lavasoftusa.com
zone alarm come firewall e' ottimo,ma come antivirus e' pessimo(parlo della versione 2007).

Discussione: Ciuccia.exe

Strumenti discussione

Ricerca discussione

Visualizza

Ciuccia.exe

Permessi di invio