PDA

Visualizza versione completa : cloner?


joey
12-06-2007, 18.56.42
ciao gente sono sul pc di una mia amica che ha un problema. credo che sia stata infettata da un virus o da un trojan che su un altro forum è stato chiamato "cloner". sostanzialmente parte da msn: viene inviato ai destinatari un messaggio in cui si chiede di accettare una "foto", che in realtà è uno zip contente non so cosa. ho usato hijackthis e questo è il log: come vedete c'è la voce C:\RECYCLER\msnservice.exe che però non so dove trovare e come eliminare. cioè mi sa che comunque, più che altroo, è uno di quei simpatici stronzetti che una volta che hai eliminato e riavviato, poi ricompaiono...beh insomma avrei bisogno di un po' di aiuto...thanks! :)

crazy.cat
12-06-2007, 19.50.29
ho usato hijackthis e questo è il log:
Quale log?

Hai svuotato il cestino di windows?

joey
12-06-2007, 20.33.14
cacchio non l'ha allegato. ve lo posto. comunque sì ho svuotato il cestino ma il problema permane...il log riprovo ad allegarlo perchè sennò è troppo lungo...

ps: che scemo, non avevo visto che l'estensione era *.log e non l'avevo cambiato in txt! :inn:

Sfigato
12-06-2007, 20.58.24
Penso che ti sia beccato il carpet.c worm!
Dovresti poterlo eliminare in questo modo
start > esegui > regedit
cerca hkey_local_machine software microsoft windows current version RUN
cerca a destra se c'è MSN\service e lo cancelli!
Ricorda di agire da modalità provvisoria e,preventivamente di fare un backup del registro.Rifai la scansione con hijackthis e facci sapere ;)

giancarlof
13-06-2007, 05.57.10
C:\Programmi\WinAntiVirus Pro 2006\WinAV.exe

C:\Programmi\File comuni\WinAntiVirus Pro 2006\uwa6pcw.exe

O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Programmi\WinAntiVirus Pro 2006\winpgi.dll

O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Programmi\WinAntiVirus Pro 2006\IEFWBHO.dll

O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programmi\WinAntiVirus Pro 2006\WinAV.exe" /min

O4 - HKLM\..\Run: [uwa6pcw] "C:\Programmi\File comuni\WinAntiVirus Pro 2006\uwa6pcw.exe" -c

O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programmi\WinAntiVirus Pro 2006\FWSvc.exe

leggi cos'è questo oltre che fissarli con il bottone radio FIX CHECKED, cerca nel task manager. in ms config nelle due tab AVVIO E SERVIZI e disabilitalo se presente, poi cancella la cartella nella directory che vedi sopra ed eventuali riferimenti nel registro.

http://www.fbmsoftware.com/spyware-net/process/WinAV_exe/3001/

http://www.superadblocker.com/definition/winav/


http://virusinfo.prevx.com/pxparall.asp?PXC=919210078817
-------------------------------------------------------------

C:\RECYCLER\msnservice.exe
FIX CHECKED
---------------------------------------------------------------

C:\Programmi\Winsonar\winsonar.exe

C:\Programmi\Winsonar\winsonar.exe

confermami di aver installato questo programma e che lo usi.
-----------------------------------------------------------------

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
FIX CHECKED
-----------------------------------------------------------------

Prima di fare queste operazioni disattiva il ripristino di configurazione lo riattiveremo in seguito.
poi rifai un *.log come questo e postalo.

leofelix
13-06-2007, 06.40.42
tecnicamente dovresti riuscire a far fuori il "falso antivirus" contratto utilizzando questo programma gratuito chiamato "RogueRemover free 1.9" che puoi scaricare da uno dei mirrors presenti nel sito http://www.malwarebytes.org/rogueremover.php e che trovi anche in questa news http://forum.wintricks.it/showthread.php?t=115793

joey
16-06-2007, 13.13.07
quindi è il winantivirus la causa di tutto? e sarebbe da rimuovere con rogueremover e non manualmente, dunque?

Alexsandra
16-06-2007, 15.07.17
Rogue Remover lo riconosce, scaricalo dal link che ti ha postato leofelix, poi dai una pulita con CCleaner o ATF Cleaner e te ne liberi.

leofelix
16-06-2007, 17.13.22
sì presumo che il "falso antivirus" sia la causa principale.
I consigli di Alexsandra sono validissimi.
In prima pagina di Wintricks trovi le istruzioni per usare il CCleaner che nella versione senza toolbar puoi scaricare da qui
http://www.ccleaner.com/download/downloadpage.aspx?f=2

intanto Roguerevover free è giunto alla versione 1.20.

Una volta pulito tutto il possibile sia fissando con HijackThis, sia usando "RogueRemover free" e puliti i files temporanei e le tracce di navigazione con CCleaner, sarebbe opportuno dare una scansione on line ad esempio collegandoti qui:

http://www.bitdefender.com/scan8/ie.html

se non basta e se usi un sistema Windows 2000/XP o Vista
io scaricherei e farei una scansione completa con AVG Antispyware 7.5.1 free/trial da qui:
http://www.ewido.net/en/download/

E suggerirei anche alla tua amica di navigare con qualcosa di più sicuro se non usa di già Mozilla Firefox 2.00.4 e/o Opera 9.21
:)

joey
27-06-2007, 14.46.18
ok, pare che il falso antivirus sia stato rimosso, però adesso c'è un certo nmz.exe che rompe le palle...e intanto mi sono accorto che qua non c'era nessun firewall e ho attivato quello di windows...

vi allego un log di hijackthis. che palle mi sa che qua formatto tutto e pari perchè è un casino della madonna.

giancarlof
27-06-2007, 14.50.45
ok, pare che il falso antivirus sia stato rimosso, però adesso c'è un certo nmz.exe che rompe le palle...e intanto mi sono accorto che qua non c'era nessun firewall e ho attivato quello di windows...

vi allego un log di hijackthis. che palle mi sa che qua formatto tutto e pari perchè è un casino della madonna.

http://spywarefiles.prevx.com/RRCECB041810397/HJHQZ.EXE.html

http://spywarefiles.prevx.com/RRCAJF040345014/RPYUC.EXE.html

joey
27-06-2007, 14.53.14
quindi dici di usare questo prevx? consiglio: dopo averlo usato lo disinstallo o lo lascio?

crazy.cat
27-06-2007, 15.01.03
Perchè insistere a farsi del male usando Norton antivirus?

Usa unlocker o killbox e cancella i due file e le chiavi di registro che trovi nel link che ti segnalo più sotto.
con hijackthis cancelli queste tre righe.

O4 - HKLM\..\Run: [1] nzm.exe
O4 - HKLM\..\RunServices: [1] nzm.exe

C'è anche questo vermicello
http://www.avira.com/it/threats/section/fulldetails/id_vir/3266/worm_sdbot.19212.html
O23 - Service: Microsoft windows FTPd - Unknown owner - C:\WINDOWS\system32\dllcache\updtftpini.exe

giancarlof
27-06-2007, 17.42.18
quindi dici di usare questo prevx? consiglio: dopo averlo usato lo disinstallo o lo lascio?

Se hai letto attentamente i due link hai visto che il programma è specifico per il virus che hai riportato, penseremo dopo a togliere il programma. Quando hai fatto posta un *.log di Hijacthis perferisco guardarlo dopo a cose fatte.

joey
27-06-2007, 18.48.48
Perchè insistere a farsi del male usando Norton antivirus?

Usa unlocker o killbox e cancella i due file e le chiavi di registro che trovi nel link che ti segnalo più sotto.
con hijackthis cancelli queste tre righe.

O4 - HKLM\..\Run: [1] nzm.exe
O4 - HKLM\..\RunServices: [1] nzm.exe

C'è anche questo vermicello
http://www.avira.com/it/threats/section/fulldetails/id_vir/3266/worm_sdbot.19212.html
O23 - Service: Microsoft windows FTPd - Unknown owner - C:\WINDOWS\system32\dllcache\updtftpini.exe

Norton? :confused:

crazy.cat
27-06-2007, 20.25.06
Norton? :confused:
basta guardare il tuo log di hijackthis...se non vuoi chiamarlo norton antivirus, chiamalo norton internet security, ma il risultato non cambia.

O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

joey
29-06-2007, 23.11.59
basta guardare il tuo log di hijackthis...se non vuoi chiamarlo norton antivirus, chiamalo norton internet security, ma il risultato non cambia.

O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

mah...non credo che abbiano il norton sul quel pc...al massimo norton partition magic...

Alexsandra
29-06-2007, 23.40.43
Perchè insistere a farsi del male usando Norton antivirus?.... [OT ON] bella questa, me la segno .... purtroppo è una triste verità ;) [OT OFF]

crazy.cat
30-06-2007, 09.02.38
E questo che cosa è?
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe

navapsvc.exe Process Information
navapsvc.exe - navapsvc - Process Information

Description:
navapsvc.exe is a part of the Norton AntiVirus application. It is running in the background and provides auto-protection features to the system. This process should not be removed to ensure that your system is secure.


[OT ON] bella questa, me la segno .... purtroppo è una triste verità ;) [OT OFF]
Piccola battaglia personale contro norton antivirus, usare tutto tranne quello.

Alexsandra
30-06-2007, 09.31.59
..Piccola battaglia personale contro norton antivirus, usare tutto tranne quello.Purtroppo è vero...... è il potere della pubblicità e degli accordi con M$. Quando uno lo toglie dopo ... non lo mette più :)

joey
06-07-2007, 17.47.45
dirò di toglierlo...ma spero che stiano per formattare tutto perchè è vermente un casino quel pc