"XXX adult key"... che fare?

[johnmyung86]

Oggi mi sono connesso per scaricare la posta come faccio tutti i giorni, ma poi è comparsa una finestra con il titolo "XXX ADULT KEY"... accompagnata da un programma che si chiama "e1xplorer" (con l'icona simile a quella di internet explorer) che se provo ad aprirlo mi apre internet explorer mandandomi su una pagina che credo sia un sito porno o qualcosa del genere (x sicurezza mi sono staccato dalla rete prima di aprirlo, per evitare dialer vari). Il problema è che non riesco a liberarmi di questo schifo... e anche quando faccio la scansione con l'antivirus (McAfee vers, 8.0) questa roba è invisibile...

Come faccio a sbarazzarmene??!?!?!?!?!

Grazie

Non bisogna aprire i file allegati se non sicuri...

adesso bisogna capire che tipo di malware/virus ti abbia colpito... Allora, da quanto leggo da internet è un dialer, perciò se hai una connessione analogica, controlla attentamente di non connetterti con un numero 899 o simili.

http://forum.html.it/forum/showthrea...oto=nextnewest

guarda qui per info

[Gergio]

presumo che la finestra che ti si e' aperta sia il servizio messenger, che puoi tranqllamente disabilitare: non e' l'msn che si usa per chattare. Qsto per evitare problemi simili in futuro.
Per risolvere il tuo problema immediato potresti provare a dare una passata con hijackthis (www.hijackthis.de) e togliere le schifezze che trovi. Eventualmente dai anche una passata con cwshredder (http://www.intermute.com/spysubtract..._download.html)

[johnmyung86]

Non c'erano allegati da aprire...
Io ho una connessione via radio con router... mi sembra difficile che sia un dialer!

La finestra è senza nessun bordo... e non ho messenger... se guardo sulla barra degli strumenti, vicino all start c'è il pulsante che apre la finestra, ma non c'è modo di chiuderla!

[crazy.cat]

"e1xplorer" è di solito collegato al winmovie plugin che è un dialer.
Posta il log di hijackthis e vediamo dove si nasconde.

[johnmyung86]

Ok... potreste spiegarmi un attimo come si usa hijackthis? l'ho appena installato e non so da dove cominciare...

[crazy.cat]

Non cancellare niente per il momento
Hijackthis questo sconosciuto

[johnmyung86]

Ho letto l'articolo su hijackthis... se dico che non c'ho capito quasi niente faccio la figura dell'imbecille?!

Un altro problema è che da quando è comparsa 'sta cosa il sistema non sta più in piedi... i programmi non si aprono, o si aprono lentamente, si chiudono da soli... il virusScan continua a farmi vedere sempre le stesse cose pur dicendogli di interrompere... Sta morendo lentamente?!

[crazy.cat]

Premi Do a system scan only
Poi premi Scan
quando ha finito la scansione premi Save log.
Ti viene salvato il risultato in un file di testo, lo apri con notepad, selezioni tutto il testo e poi fai Copia e Incolla qui nella discussione.

[johnmyung86]

ECCOLO:

Logfile of HijackThis v1.99.1
Scan saved at 19.13.40, on 28/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\hidserv.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\wltrysvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\bcmwltry.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\dmimlstr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\mcafee\SPAMKI~1\mskagent.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programmi\McAfee.com\VSO\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINNT\system32\winamp.exe
C:\WINNT\AGRSMMSG.exe
C:\WINNT\system32\spoolsvc.exe
C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\WINNT\system32\dcomcfg.exe
C:\Programmi\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\WINNT\system32\internat.exe
C:\Programmi\eMule\emule.exe
C:\WINNT\system32\wuauclt.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Ciccio\Programmi\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe,dmimlstr.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\s ystem32\dmimlstr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\programmi\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\programmi\mcafee.com\mps\popupkiller.dll
O2 - BHO: McAfee Anti-Phishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\programmi\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CIEPl Object - {6BB18EFE-F2C7-457C-81FE-705757171FA0} - C:\WINNT\system32\fdconfig.dll
O2 - BHO: (no name) - {99181F8F-5610-4853-8E36-8302D4346F08} - C:\WINNT\system32\kjeqbhir.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\mcafee\SPAMKI~1\mskagent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VirusScan Online] C:\Programmi\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\system32\winamp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Systems] C:\WINNT\system32\spoolsvc.exe
O4 - HKLM\..\Run: [Update Protocol] C:\WINNT\system32\dmimlstr.exe
O4 - HKLM\..\Run: [McAfee Guardian] C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe /SU
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [OASClnt] C:\Programmi\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Update Protocol] C:\WINNT\system32\dmimlstr.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programmi\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee Anti-Phishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programmi\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07058C3-4875-4AC9-9DC0-269B483EF653}: NameServer = 62.149.128.4,62.149.132.4
O20 - Winlogon Notify: fdconfig - C:\WINNT\SYSTEM32\fdconfig.dll
O21 - SSODL: IEFilter - {9BB6ABAC-138B-4F43-813F-0DE4D61986FF} - C:\WINNT\system32\IEFilter.dll
O21 - SSODL: Connection Meeting - {8255E12A-E05A-444A-AF3B-7E84FAE15252} - C:\WINNT\system32\ntim0_32.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINNT\system32\wltrysvc.exe

[crazy.cat]

Hai parecchi problemi...mcafee è stato bucato alla grande questa volta.
Se vuoi provare a combattere, rifai la scansione con hijackthis e metti il flag nelle caselline delle righe che ti ho indicato qui sotto e poi premi fix.

Per i file indicati in rosso, puoi usare delete doctor
http://www.diskcleaners.com/files/deletedr.exe
con browse selezioni file in rosso e poi premi Delete file on system Restart,
e riavvii il pc.

Io concluderei poi con una scansione dalla modalità provvisoria
http://www.wintricks.it/manuali/tools_rapidi.html
con sysclean.

F2 - REG:system.ini: Shell=Explorer.exe,dmimlstr.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\s ystem32\dmimlstr.exe
O2 - BHO: CIEPl Object - {6BB18EFE-F2C7-457C-81FE-705757171FA0} - C:\WINNT\system32\fdconfig.dll
O2 - BHO: (no name) - {99181F8F-5610-4853-8E36-8302D4346F08} - C:\WINNT\system32\kjeqbhir.dll
O4 - HKLM\..\Run: [Systems] C:\WINNT\system32\spoolsvc.exe
O4 - HKLM\..\Run: [Update Protocol] C:\WINNT\system32\dmimlstr.exe
O4 - HKCU\..\Run: [Update Protocol] C:\WINNT\system32\dmimlstr.exe
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O20 - Winlogon Notify: fdconfig - C:\WINNT\SYSTEM32\fdconfig.dll
O21 - SSODL: IEFilter - {9BB6ABAC-138B-4F43-813F-0DE4D61986FF} - C:\WINNT\system32\IEFilter.dll
O21 - SSODL: Connection Meeting - {8255E12A-E05A-444A-AF3B-7E84FAE15252} - C:\WINNT\system32\ntim0_32.dll (file missing)

Sospetti
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\system32\winamp.exe (non dovrebbe essere in questa cartella)

(hai una rete wireless??)
O23 - Service: WLTRYSVC - Unknown owner - C:\WINNT\system32\wltrysvc.exe

Se ti sei spaventato, buona formattazione.....

[johnmyung86]

No no!!! Che formattazione...?! Non ci penso neanche! Provo a fare quello che dici tu... Grazie... Farò sapere com'è andata...

[johnmyung86]

Ho provato, ma non è cambiato nulla.... e sysclean non parte (dice che manca il file tsc.bin)... Poi ho altri 2 problemi:

1) non riesco ad aprire Mozilla Firefox; cioè, lui non parte, ma se apro il task manager ovviamente c'è, e da lì non riesco a chiuderlo...

2) circa ogni 10 secondi McAfee VirusScan apre una finestrella con scritto: "gli ultimi messaggi di posta elettronica inviati contenevano un oggetto o un contenuto simile: save up to 70% on the meds you need#"... E' ovvio che non so di cosa stia parlando...

Devo formattare?! No, vero...?!

[Lionsquid]

rifai il lavoro in modalità provvisoria e usa PROCX o PROCESS EXPLORER per terminare i servizi sospetti.... dopo aver flaggato correttamente , approfitta per rimuiovere il mcafee che ormai ha l'utilità di una scarpa bucata,... svuota anche i file temp di interner (sia di IE che di FFox)

i suggerimenti che hai avuto dovrebbero bastare...

in ogni caso.. al riavvio rifai il log con hijackthis

come ulteriore attacco puoi usare EWIDO per rimuovere i rimasugli

[johnmyung86]

Grazie... ma quello che non capisco è come abbia fatto a bucarmi il mcafee, se l'ho installato solo ieri... E' durato mezz'ora?! Com'è possibile?!