PDA

Visualizza versione completa : Hacktool.rootkit


rohn
25-07-2007, 22.38.54
Ciao a tutti, per caso qualcuno sa come debellare questo maledetto virus?

leofelix
26-07-2007, 01.17.15
Ciao a tutti, per caso qualcuno sa come debellare questo maledetto virus?

ciao,
se è quello che penso io non è proprio facilissimo, anzi è una bella rogna.
Qui la descrizione di cosa è una rootkit:

http://it.wikipedia.org/wiki/Rootkit

Quale antivirus te lo ha segnalato con quel nome?
E che Sistema Operativo usi?

In ogni caso, posterei il LOG dello scan effettuato con HiJackTHis 2.0.2
http://www.wintricks.it/news2/article.php?ID=16485

Tenterei di fare una scansione con degli antirootkit specifici come "AVG Antirootkit free" (per windows2000/XP)

http://www.wintricks.it/news2/article.php?ID=15526

e anche

Panda Antirootkit free

http://research.pandasoftware.com/blogs/images/AntiRootkit.zip

(qui altre info in merito http://www.antirootkit.com/software/Panda-Anti-Rootkit-Tucan.htm )
qui trovi una lista notevole di antirootkit:

http://www.antirootkit.com/software/index.htm

Mi munirei di un software che riesca ad eliminare il files nascosti che le rootkit installano e che considerati in uso dal sistema sembrano impossibili da eliminare come ad esempio "Unlocker"

http://www.wintricks.it/news2/article.php?ID=13439

questo naturalmente per iniziare

Altri wintrickers molto più preparati di me sapranno darti ulteriori dettagli e aiuti.
Resto in attesa e in bocca al lupo

leofelix
26-07-2007, 01.52.01
ho visto il il log che hai postato qui
http://forum.wintricks.it/showthread.php?t=123354
Mi sembra che tu abbia troppe voci in esecuzione automatica, per cominciare.
Ce ne sono alcune che nonostante ricerche non riesco a identificare e mi suonano sospette.
E Che hai contratto questo malware attraverso una immagine che ti hanno inviato via msn che continua a inviare a tutti i contatti lo stesso malware, quindi la prima cosa da fare e è impedire che Msn Messenger si autoesegua e si connetta direi.

Proverei a utilizzare questo strumento free per disabilitare le voci in esecuzione automatica di troppo, "Startup Lite" da
http://www.malwarebytes.org/startuplite.php

E munirmi anche del SuperAntispyware free 1.9

http://www.wintricks.it/news2/article.php?ID=16378

e iniziare a sospettare che forse il Norton Antivirus sarebbe da sostituire con qualcosa di meno invadente ma più efficace ehm

rohn
26-07-2007, 02.55.08
per ora ho eliminato le voci in eccesso in esecuzione automatica e effettuato una scansione con il superantispyware, il quale ha trovato l'infezione localizzata nel file winlogon, l'ha eliminata ma al riavvio è di nuovo sempre tutto uguale. Ho provato a cancellare la riga di comando dall'hijack ma sempre la stessa solfa, al riavvio è tutto uguale. Comunque l'antivirus che me l'ha segnalato (e continua a segnalarlo ogni 2 minuti) è il norton e il SO è win XP pro. Ho anche scaricato una versione di nod32, sarebbe opportuno rimuovere il norton e provare con il nod? Comunque per ora ti ringrazio molto e provo a fare scansioni con gli altri antirootkit che mi hai postato, Ciao

rohn
26-07-2007, 02.58.40
Qui il log dell'hijack 2.02

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2.58.01, on 26/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programmi\WinZip\WZQKPICK.EXE
C:\DOCUME~1\Andrea\IMPOST~1\Temp\winlogon.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\QuickTime\qttask.exe
K:\Pulizia Windows\HiJackThis2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\Programmi\CleanMyPC Popup Blocker\CleanBHO.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programmi\CleanMyPC Popup Blocker\CleanBar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programmi\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Andrea\IMPOST~1\Temp\winlogon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: printers - {7457E265-1AFD-40D4-9E1C-5F2B33864704} - msn.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: MS Internet Countermeasures Framework (ICF) - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 7227 bytes

rohn
26-07-2007, 03.08.46
sempre peggio, adesso ad ogni riavvio mi si riempie il desktop di avvisi di norton di scansioni di email che vengono inviate a ripetizione a tutti i miei contatti... finchè appare l'avviso che l'applicazione service32 è bloccata e sarà terminata

rohn
26-07-2007, 03.22.13
nulla, ho eseguito le scansioni sia con l'antirootkit sia col panda. Il primo non ha rilevato nulla, il secondo ha rilevato ed eliminato ma al riavvio il problema si presenta più persistente che mai...

leofelix
26-07-2007, 05.45.45
EDIT

Mi sono accorto solo ora che forse hai installato l'Instant Access che un altro dei nomi di quel malware
questa è una stringa che penso sia infetta
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033

però per sicurezza scarica questo programma gratuito Il RogueRemover free 1.0.9 che dovrebbe rimuoverlo:

http://www.malwarebytes.org/rr-update/rr-free-setup.exe

installalo, aggiornarlo e fai una scansione.

Qui altre istruzioni su come rimuovere quella robaccia

http://forum.zeusnews.com/viewtopic.php?t=21619

In caso di fallimento, ti prego di leggere quanto avevo scritto in precedenza.
Scusa ancora!

EDIT

Precedente post


-------------

ciao, ci mancherebbe (in quanto ai tuoi ringraziamenti che apprezzo moltissimo) per quel poco che ho potuto fare!
il file "Winlogon" è stato quindi associato a qualche altro parametro se non è stato addirittura modificato, come conseguenza presumo sia stato (a tua insaputa) creato un secondo "amministratore" di sistema che non puoi controllare direttamente.

Puoi andare a vedere se in effetti si è creato un secondo "utente" con privilegi di amministratore da "pannello di controllo>account utente".


Altri suggerimenti:


Quindi prova a vedere se questi removal tools trovano qualcosa:

http://info.prevx.com/gromozon.asp

http://agentvp.cleaner.nod32.it/

quindi prova col BlackLight Beta (altro antirootkit stand alone)

da qui
https://europe.f-secure.com/exclude/blacklight/fsbl.exe

e anche il Trend Micro Rootkit Buster

http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip

Nessuno di questi due antirootkit segnalati richiede installazione.
------------

Se ancora non riesci a rimuovere quella porcheria proverei a scaricare il gratuito "Sysclean.com" da
http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com

e relativi patterns (aggiornamenti) da
http://it.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt615.zip

che decomprimerai nella stessa cartella temporanea dove hai scaricato il Sysclean.com

leggi le istruzioni qui
http://www.trendmicro.com/ftp/products/tsc/readme.txt
(magari salvati anche il file di testo, così puoi ricordare meglio i parametri che potrai utilizzare).

Dovrebbe funzionare anche avviando il sistema in "modalità provvisoria" (tasto F8 all'avvio), E quando lo esegui ricorda si disattivare la protezione in tempo reale del norton.

Ancora in bocca al lupo:)

leofelix
26-07-2007, 06.24.48
dimenticavo, molte rootkit sono state eliminate senza tanti problemi dall' antivirus Vir IT Lite
http://www.tgsoft.it/italy/download.htm

http://www.tgsoft.it/files/vnlt6202.exe

che per 30 giorni di prova funziona completamente con protezione permanente del sistema, poi non cessa di funzionare ma puoi lo stesso aggiornarlo e usarlo come scanner... oppure lo compri.

Naturalmente va disinstallato il Norton (che come hai visto è servito a ben poco) prima di installare il VirIT lite.
Se come spero questo programma riesce a fare il suo dovere eliminando tutte le infezioni, fossi in te non esiterei ad acquistare una licenza del Nod32 2.7 o del KAV 6.0.2 se vuoi andare nel freeware guarda nella sezione "Sicurezza e privacy" di Wintricks.. l'Active Virus Shield oltre a essere gratuito è basato sul motore del Kaspersky Antivirus.. non so se mi spiego:)

:)

rohn
26-07-2007, 12.20.35
Ciao. Allora purtroppo non ho risolto nulla, per quanto riguarda la stringa "O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033" è quella del daemon tool, il programma per aprire i file immagine (iso, nrg, bin e cue, ecc...); ho provato con tutti gli antirootkit che mi hai linkato ma nessuno ha nemmeno individuato l'infezione. Per quanto riuarda il VirIT Lite l'avevo già provato ad usare... trova il virus, lo elimina, ma all'avvio successivo è tutto come prima. Ora provo a rimuovere il norton e mettere il nod e vedere... se non dovesse farcela (come temo) nemmeno il nod formatterò tutto e amen...

rohn
26-07-2007, 13.11.30
dimenticavo... ho controllato e non è stato creato alcun nuovo utente con privilegi di amministratore, non è stato creato nessun nuovo utente

Alexsandra
26-07-2007, 16.35.16
sorry ... doppio post, non avevo visto che si continuava quì.

Fai questa prova.
Apri Esplora risorse - strumenti - opzioni cartella - visualizzazione e metti la spunta su "Visualizza cartelle e file nascosti" e togli la spunta da ''Nascondi i file protetti di sistema''.

Poi cerca in C:\WINDOWS e vedi se è presente il file service32.exe.

rohn
26-07-2007, 16.43.47
fatto... non è presente il file service32.exe

Alexsandra
26-07-2007, 16.50.29
fatto... non è presente il file service32.exe
Strano ..... quanto ti appare l'avviso del virus che file o dll ti segnala come infetto?

leofelix
26-07-2007, 19.51.48
ecco avevo sospettato anche io che ci fosse la voce nascosta che indica Alaxsandra con l'eseguibile services32.exe e una DLL infetta.
Hai provato ad eliminare i files che l'antivirus e gli antirootkit hanno segnalato con questa utility per esempio?
http://www.malwarebytes.org/fileassassin.php

e le chiavi di registro infette segnalate dagli stessi con quest'altra utility
http://www.malwarebytes.org/regassassin.php

Se trovi i files relativi alla domanda pertinente che ti ha posto l'amica Alexsandra, dovresti riuscire a stroncarli con gli strumenti che ti ho appena indicato.

Certo che una rootkit che funziona anche da virus mass mailer e che infetta il sistema semplicemente visualizzando una immagine ricevuta via MSN non mi era mai capitato di sentire prima.
Gli aggiornamenti critici di sistema li hai sempre fatti vero (intendo "windowsupdate")?
Ora non vorrei riempirti il sistema di programmi, ma per esempio con questo antispyware (30 gg di prova quindi free senza protezione in tempo reale)
AVG Antispyware 7.5.1 sono riuscito a rimuovere le porcherie più impensabili

http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe

bada che si configura anche in italiano, è possibile chiedere di eliminare quello che trova al successivo riavvio, e di trojans, spyware, rootkit etc etc ne trova.

Io fossi in te proverei ad usarlo, non si sa mai

rohn
26-07-2007, 20.06.38
allora, non so se adesso sia meglio o peggio... ho scaricato le utility che mi hai detto e ho cancellato i file che il norton e gli altri AV mi segnalavano. Ho cancellato anche la chiave di registro. Adesso al riavvio effettivamente non sono piu' presenti nè i file nè la chiave, difatti dopo un paio di scansioni non è stata rilevata alcuna minaccia. Tuttavia continuano ad inviarsi messaggi istantanei su msn e messaggi di posta elettronica a un ritmo incredibilmente frenetico...

leofelix
26-07-2007, 20.35.52
allora, non so se adesso sia meglio o peggio... ho scaricato le utility che mi hai detto e ho cancellato i file che il norton e gli altri AV mi segnalavano. Ho cancellato anche la chiave di registro. Adesso al riavvio effettivamente non sono piu' presenti nè i file nè la chiave, difatti dopo un paio di scansioni non è stata rilevata alcuna minaccia. Tuttavia continuano ad inviarsi messaggi istantanei su msn e messaggi di posta elettronica a un ritmo incredibilmente frenetico...

in genere quando si contraggono questi tipi di worm con funzionalità di backdoor, l'antivirus che si usa perde la maggior parte delle sue funzionalità se non viene disabilitato del tutto.

Quindi fossi in te, disinstallerei il Norton Antivirus facendomi aiutare se ne necessario dal "Norton Removal tool" che scarichi da qui

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039

(attenzione che rimuove anche altri prodotti Symantec eventualmente installati, come il Ghost ad esempio)

Quindi installerei subito il gratuito e in italiano AVAST Home edition 4.7
http://files.avast.com/iavs4pro/setupita.exe

(dopo 60 giorni al max devi registrarlo per ottenere un numero di serie gratuito da qui
http://www.avast.com/eng/home-registration.php)

Oltre ad evere 6 moduli di protezione (posta elettronica, P2P, web shield, una sorta di "mini firewall" anti intrusione, protezione programmi di instant messagging come MSN messenger.. alcuni sono opzionali) una volta installato ti chiederà se vuoi fare una scansione al riavvio.

Questa va assolutamente fatta, aspetterei il tempo che ci vuole mentre fa la scansione prima di riavviare di fatto Windows XP, cancellando uno per uno i files infetti che trova.
Nota che tra le opzioni della posta elettronica c'è anche quella di bloccare files infetti o eseguibili che il client di posta che usi stia tentando di inviare.

In ogni caso, io eviterei Outlook/Outlook Express a favore di qualcosa di più valido come Mozilla Thunderbird 2.00.5 e utilizzerei Mozilla Firefox 2.00.5 come navigatore predefinito (con le estensioni "no script" e "adblock" sempre attive)

http://www.mozilla-europe.org/it/products/firefox/

http://www.mozilla-europe.org/it/products/thunderbird/

---------

Una volta pulito il sistema andrei urgentemente ad acquistare una licenza per il NOD32 o una per il KAV 6.0.. da sostituire all'avast home, oppure userei il gratuito ma pensatuccio Active Virus Shield (con motore kaspersky )

http://www.activevirusshield.com/antivirus/freeav/index.adp?

Giorgius
26-07-2007, 21.54.19
http://www.freeware4pc.com/images/products/utilities/malwareimmunizer.jpg

Per una pulitura quasi sicura (non esiste ancora il sistema certo di evitare al 99% nuovi "rospi informatici") sarei partito dall'ottima utility gratuita "Malware Immunizer 1.4".

Download: http://falcon21.googlepages.com/MI.exe

Effettui anche l'update del database.

Download: http://falcon21.googlepages.com/def.dat

Riaperto il programma, selezioni la finestra "UnProtected Items", poi clicchi sull'icona verde "Select all" e successivamente clicchi l'icona "Protect Selected".

Fatto questa operazione fai la successiva, aprendo la finestra "Cleaner".
Selezioni tutto con l'icona verde "Select all" e successivamente clicchi l'icona "Clean selected".

Fatto quest'altra operazione selezioni la finestra "Hosts File", poi clicchi l'icona "Check and Install New Hosts File".
Successivamente clicchi l'icona "Check for Hijacker", se trova qualcosa clicchi sull'icona "Select all" e successivamente clicchi l'icona "Remove Selected Hijackers".

Alla fine di queste operazioni chiudi l'utility.

Giorgius
26-07-2007, 22.13.53
A questo punto stacchi internet dal tuo Pc ed esegui alcuni tool e utility del caso, come:

http://images.betanews.com/screenshots/scaled/1169129698-1.jpg

DrWeb CureIt! 4.33

Download: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

http://images.betanews.com/screenshots/1142662646-1.gif

Successivamente alla chiusura del tool sopracitato installi ed esegui l'utility gratuita in modalità "Complete Scan":

SuperAntiSpyware 3.9.1008

Download: http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe

Quest'ultima utility troverà parecchie tracce anche dei famigerati cookies maligni. ;)

rohn
27-07-2007, 01.59.58
allora... tutto fatto, scaricato ed eseguito ogni tool... adesso sembra funzionare di nuovo tutto normalmente. Ho reinstallato norton (perchè è l'unico AV di cui ho la licenza) e non mi riscontra piu' nessuna infezione. Ho fatto rigirare tutti gli altri e nessuno trova piu' alcuna infezione. Il sistema mi sembra a posto e non vengono piu' visualizzati scansioni di email in uscita. Spero di aver risolto il problema, in ogni caso posto il log di hijack della situazione attuale... posso stare tranquillo? Grazie davvero a tutti per i consigli... siete grandi!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.59.40, on 27/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\DC++\DCPlusPlus.exe
C:\Programmi\Internet Explorer\iexplore.exe
K:\Pulizia Windows\HiJackThis2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\Programmi\CleanMyPC Popup Blocker\CleanBHO.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programmi\CleanMyPC Popup Blocker\CleanBar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programmi\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe

--
End of file - 6626 bytes

leofelix
27-07-2007, 05.12.19
ciao rohn
sembrerebbe tutto a posto,
nulla da dire se preferisci il Norton, del resto la scelta di un software è anche soggettiva:)

a questo punto io - oltre a prestare una maggiore attenzione - per aiutare l'antivirus installerei anche un antispyware con protezione in tempo reale.

Di freeware validi a mio avviso ci sono:

il PC Tools Spyware Doctor (starter edition) 5.1, gratuito, ma con meno funzionalità della versione a pagamento, non di meno valido anche se "ciuccia" RAM e risorse di sistema, che viene distribuito col google pack
http://www.pctools.com/it/spyware-doctor/google_pack/
ma che volendo puoi scaricare da qui

http://www.download.com/Spyware-Doctor-Starter-Edition/3000-8022_4-10705386.html?tag=lst-0-1


-----------

Oppure lo Spyware Terminator (senza "web security guard") 1.9 gratuito e con una buona protezione in tempo reale (ha incorporato un antivirus open source opzionale: opzione sconsigliata) ed è anche leggero e veloce, oltre che in italiano.

http://www.wintricks.it/news2/article.php?ID=16259

ciao:)

rohn
27-07-2007, 11.02.12
Grazie davvero di tutto l'aiuto CIAO!