Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 16

Discussione: infezione nsinet.exe

  1. 07-01-2009, 23:10 #1
    ubimaiore
    ubimaiore non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2009
    Messaggi
    8

    infezione nsinet.exe

    Buonasera, ho un problema che mi rileva sia malware bytes e anche spybot, si tratta di nsinet.exe ho provato in mille modi a rimuoverlo, ho provato a lanciare gli antispy in modalità provvisoria dopo averdisattivato il ripristino configurazione, ma niente continua a rigenerarsi. ogni aiuto è graditissimo, vi ringrazio. questo è il log hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21.53.45, on 07/01/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programmi\Java\jre6\bin\jqs.exe
    C:\Programmi\Spyware Terminator\sp_rsser.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Java\jre6\bin\jusched.exe
    C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    C:\Documents and Settings\TONY TRICARICO.TONY\Desktop\Nuova cartella\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearflix.com/sidebar.html?src=ssb
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O2 - BHO: (no name) - {f575d0a9-b741-404f-8368-86c941e4ed85} - (no file)
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe"
    O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 1.9.79.lnk.disabled
    O4 - Global Startup: Alice ti aiuta.lnk.disabled
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk.disabled
    O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E061BE9E-35CE-4663-85AD-B78D99B4CC3D}: NameServer = 85.37.17.10 85.38.28.86
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
    O23 - Service: Eset Service (ekrn) - Unknown owner - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

    --
    End of file - 6858 bytes
    Rispondi quotando Rispondi quotando
  2. 07-01-2009, 23:30 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Ciao,

    scarica sul desktop
    http://www.suspectfile.com/systemscan
    aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
    Vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

    Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

    NB
    la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così

    SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

    --
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 08-01-2009, 00:05 #3
    ubimaiore
    ubimaiore non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2009
    Messaggi
    8
    ti ringrazio per il pronto interessamento, ho fatto quanto mi hai chiesto. questo è l'url.

    07_01_2009_22_51_report.zip
    Rispondi quotando Rispondi quotando
  4. 08-01-2009, 01:35 #4
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Non connesso e con antivirus disattivato apri HijackThis eseguiuna scansione, metti la spunta al fianco del valoreriportato più sotto, clicca su Fix checked ma NON riavviare

    O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res

    --

    Apri SystemScan>Clicca su "Removal Script".
    All'interno del box bianco copia ed incolla i valori riportati qui sotto

    Files to delete:
    C:\install.dat
    C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\_unps.exe
    C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\689211B7.TM
    C:\WINDOWS\system32\winsrc.dll.tmp
    C:\Documents and Settings\TONY TRICARICO.TONY\Impostazioni locali\Dati applicazioni\iwsay_navfx.dat
    C:\Documents and Settings\TONY TRICARICO.TONY\Impostazioni locali\Dati applicazioni\msafciou_navfx.dat
    C:\WINDOWS\system32\nsinet.exe

    Files to move:
    C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe | C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Programmi\Ahead\InCD\bak\Error.log | C:\Programmi\Ahead\InCD\Error.log
    C:\Programmi\Ahead\InCD\bak\InCD.exe | C:\Programmi\Ahead\InCD\InCD.exe
    C:\Programmi\Canon\Easy-PrintToolBox\bak\BJPSMAIN.EXE | C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE
    C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
    C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe | C:\Programmi\Grisoft\AVG Free\avgcc.exe
    C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe | C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe | C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\WINDOWS\system32\bak\ctfmon.exe ! C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
    ora clicca su "Proceed with removal" e poi su OK.

    Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

    Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt)

    Esegui una nuova scansione con SystemScan, postami il nuovo URL
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  5. 08-01-2009, 09:08 #5
    ubimaiore
    ubimaiore non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2009
    Messaggi
    8
    fatto, non finirò mai di ringraziarti.

    avenger_1231402068753_32.txt

    08_01_2009_07_59_report.zip
    Rispondi quotando Rispondi quotando
  6. 08-01-2009, 19:04 #6
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    C'è ancora qualcosa da togliere o ripristinare oltre ad un .tmp dove non ho copiato correttamente tutta l'estensione del file.




    Apri SystemScan>Clicca su "Removal Script".
    All'interno del box bianco copia ed incolla i valori riportati qui sotto

    Files to delete:
    C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\689211B7.TM P
    C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\~DFAA54.tmp
    C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\~DF1824.tmp
    C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\51b5ca.mst
    C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\~DF37F1.tmp
    C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\~DF47F1.tmp

    Folders to delete:
    C:\Documents and Settings\TONY TRICARICO\Dati applicazioni\bak
    C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak
    C:\Programmi\Ahead\InCD\bak
    C:\Programmi\Canon\Easy-PrintToolBox\bak
    C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\bak
    C:\Programmi\Grisoft\AVG Free\bak
    C:\Programmi\Messenger\bak
    C:\Programmi\Nokia\Nokia PC Suite 6\bak
    C:\WINDOWS\system32\bak

    Files to move:
    C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
    clicca su "Proceed with removal" e poi su OK.

    Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

    ========
    Apri il Blocco note ed inserisci al suo interno questo script:
    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
    "Instant Access"=-
    Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva il file sul desktop.
    Esegui fix.reg accetta le modifiche.
    Riavvia
    =========

    Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt)

    Esegui una nuova scansione con SystemScan, postami il nuovo URL
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 08-01-2009, 22:00 #7
    ubimaiore
    ubimaiore non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2009
    Messaggi
    8
    il log di Avenger;

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Service s\uywabbbg

    *******************

    Script file located at: \??\C:\jtyjrfal.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    File C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\689211B7.TM P deleted successfully.
    File C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\~DFAA54.tmp deleted successfully.
    File C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\~DF1824.tmp deleted successfully.
    File C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\51b5ca.mst deleted successfully.
    File C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\~DF37F1.tmp deleted successfully.
    File C:\DOCUME~1\TONYTR~1.TON\IMPOST~1\Temp\~DF47F1.tmp deleted successfully.
    Folder C:\Documents and Settings\TONY TRICARICO\Dati applicazioni\bak deleted successfully.
    Folder C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak deleted successfully.
    Folder C:\Programmi\Ahead\InCD\bak deleted successfully.
    Folder C:\Programmi\Canon\Easy-PrintToolBox\bak deleted successfully.
    Folder C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\bak deleted successfully.
    Folder C:\Programmi\Grisoft\AVG Free\bak deleted successfully.
    Folder C:\Programmi\Messenger\bak deleted successfully.
    Folder C:\Programmi\Nokia\Nokia PC Suite 6\bak deleted successfully.
    Folder C:\WINDOWS\system32\bak deleted successfully.


    Could not open file C:\WINDOWS\system32\bak\ctfmon.exe for move operation
    File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\syst em32\ctfmon.exe failed!

    Could not process line:
    C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\syst em32\ctfmon.exe
    Status: 0xc000003a

    Program C:\Documents and Settings\TONY TRICARICO.TONY\Desktop\sys80807.exe successfully set up to run once on reboot.

    Completed script processing.

    *******************

    Finished! Terminate.

    l'url: 08_01_2009_19_56_report.zip


    Rispondi quotando Rispondi quotando
  8. 09-01-2009, 22:27 #8
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Il passaggio di creare ed eseguire il file fix.reg l'hai fatto?

    Per il resto è tutto a posto.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  9. 09-01-2009, 23:07 #9
    ubimaiore
    ubimaiore non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2009
    Messaggi
    8
    Originariamente inviato da amvinfe
    Il passaggio di creare ed eseguire il file fix.reg l'hai fatto?

    Per il resto è tutto a posto.
    Ho fatto tutto come da tue istruzioni del precedente post compreso la creazione e l'esecuzione del file fix.reg, però provando a fare la scansione con malwarebytes continuo a ritrovarmi il malware instant access
    Rispondi quotando Rispondi quotando
  10. 10-01-2009, 01:27 #10
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    postami il log di MalwareBytes, grazie
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.