PDA

View Full Version : WARNING: your computer is infected

boysna
03-06-2007, 10:22
Salve a tutti, da qualche giorno sul mio pc appare questa scritta in basso a destra.

Ho fatto varie scansioni con spyware e antivirus ma non ho risolto il problema.

Il log di hijackthis è questo:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.21.53, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
D:\WINDOWS\Explorer.EXE
E:\AntiVir\AntiVir PersonalEdition Premium\avgnt.exe
E:\Java\jre1.5.0\bin\jusched.exe
D:\Programmi\iTunes\iTunesHelper.exe
D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe
E:\Java\jre1.5.0\bin\jucheck.exe
D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe
D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Messenger\msmsgs.exe
E:\Acrobat 6.0\Distillr\acrotray.exe
D:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
E:\AntiVir\AntiVir PersonalEdition Premium\sched.exe
D:\Documents and Settings\Stefano\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avguard.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avesvc.exe
D:\WINDOWS\system32\drivers\CDAC11BA.EXE
E:\ewido\ewido anti-spyware 4.0\guard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avmailc.exe
D:\Programmi\iPod\bin\iPodService.exe
D:\WINDOWS\System32\alg.exe
E:\FIREFOX\FIREFOX.EXE
D:\Programmi\MSN Messenger\msnmsgr.exe
E:\eMule\emule.exe
D:\Programmi\MSN Messenger\usnsvc.exe
G:\eseguibili e programmi\HiJackThis_v2.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/MTE3MTA=/2/3948/free1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: StrangeBho Class - {0B9B7B2E-30E3-4C5D-AD2C-C38724979B4B} - D:\DOCUME~1\Stefano\IMPOST~1\Temp\notepad.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - D:\Documents and Settings\Stefano\522212638.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "E:\AntiVir\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [reyovwab] D:\plbclnyi.bat
O4 - HKLM\..\Run: [drdpiyev] D:\bmkrhxua.bat
O4 - HKLM\..\Run: [sclick] D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe
O4 - HKLM\..\Run: [bal] D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe
O4 - HKLM\..\Run: [StUnInst] D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [7H28X9M91L] D:\WINDOWS\winlogon32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://D:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B9FC3AA-7CEF-4559-9FE8-353EDFEFFECB}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{A58C0B02-683D-4046-B823-E50989A6E094}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{F89BA46D-C600-46C2-AC0F-5B0FF43917E3}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150
O17 - HKLM\System\CS2\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apacheds - Apache Software Foundation - E:\apacheds-1.5.0\bin\apacheds.exe
O23 - Service: AntiVir Engine Service (AVEService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - E:\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe (file missing)

--
End of file - 8716 bytes
Tidus Strife
03-06-2007, 10:51
Processi da killare ed eliminare:

D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe
D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe
D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe

Voci da fixare:

O2 - BHO: StrangeBho Class - {0B9B7B2E-30E3-4C5D-AD2C-C38724979B4B} - D:\DOCUME~1\Stefano\IMPOST~1\Temp\notepad.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - D:\Documents and Settings\Stefano\522212638.dll
O4 - HKLM\..\Run: [reyovwab] D:\plbclnyi.bat
O4 - HKLM\..\Run: [drdpiyev] D:\bmkrhxua.bat
O4 - HKLM\..\Run: [sclick] D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe
O4 - HKLM\..\Run: D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe
O4 - HKLM\..\Run: [StUnInst] D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe
O4 - HKLM\..\Policies\Explorer\Run: [7H28X9M91L] D:\WINDOWS\winlogon32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B9FC3AA-7CEF-4559-9FE8-353EDFEFFECB}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{A58C0B02-683D-4046-B823-E50989A6E094}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{F89BA46D-C600-46C2-AC0F-5B0FF43917E3}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150
O17 - HKLM\System\CS2\Services\Tcpip\..\{10BAF50A-B15E-4CD1-8F08-88F9F8BC895C}: NameServer = 85.255.116.73,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.73 85.255.112.150

Insomma[B] tutte le O17, visto che l'ip segnato è un server polacco o ucraino o qualcosa del genere...quindi MOLTO strano.
Le altre sono tutte da fixare al 100%. Poi quel processo winlogon32.exe molto probabilmente è un rootkit perché non si vede tra i processi in esecuzione, quindi fai una scan con GMER e vedi se ti dà voci in rosso.

Questo è molto sospetto perché il processo ctfmon.exe di solito non parte con questa istruzione...

O4 - Startup: ctfmon.exe

Fai una ricerca nel pc di "ctfmon.exe" e vedi se ce ne hai solo uno dentro system32... se ce ne hai altri al di fuori cancellali...

Poi con avenger inserisci questo script:

Files to delete:
D:\DOCUME~1\Stefano\IMPOST~1\Temp\sclick.exe
D:\DOCUME~1\Stefano\IMPOST~1\Temp\SYSMONMS.exe
D:\DOCUME~1\Stefano\IMPOST~1\Temp\uinst.exe
D:\DOCUME~1\Stefano\IMPOST~1\Temp\notepad.dll
D:\Documents and Settings\Stefano\522212638.dll
D:\plbclnyi.bat
D:\bmkrhxua.bat
D:\WINDOWS\winlogon32.exe

Insomma c'è un bel po' di casino nel tuo pc... sarà molto difficile rimuovere tutto... tu prova lo stesso e ricorda che prima di eseguire ognuna di queste operazioni devi disabilitare il system restore.

Spero di essere stato d'aiuto.
Ciao,
Tidus Strife.
boysna
03-06-2007, 11:23
Ho fatto quanto detto....

Il ctmon.exe ne esistevano altri oltre a quello in system32. Ho killato i processi e i file.

Ora dovrei riavviare per vedere se si ripresenta il problema.

Però ora sto lavorando. Appena posso lo faccio.

Grazie di tutto.

Comunque per ora si è tolota la scritta.
mausap
03-06-2007, 15:26
85.255.116.73,85.255.112.150

i server sono in ucraina e sono di inhoster!

il che vuol dire GROMOZON team, non credo ci sia di peggio al mondo. Il tuo computer è superinfetto...
Devi fare una pulizia molto approfondita e accurata.
Se non riesci il mio consiglio è di formattare

maipiugromozon.blogspot.com (http://maipiugromozon.blogspot.com)
Cobain
03-06-2007, 17:30
l'unica salvezza è spywaredoctor :D
boysna
09-06-2007, 13:35
Ok ora è a posto...

Grazie a tutti..
Gianky....! :D :)
09-06-2007, 15:04
l'unica salvezza è spywaredoctor :D

:mbe:
boysna
09-06-2007, 15:39
Ho fatto quanto detto....

Il ctmon.exe ne esistevano altri oltre a quello in system32. Ho killato i processi e i file.

Ora dovrei riavviare per vedere se si ripresenta il problema.

Però ora sto lavorando. Appena posso lo faccio.

Grazie di tutto.

Comunque per ora si è tolota la scritta.

Dovevo dare la conferma dopo riavviato se si ripresentava il problema..
Bugs Bunny
10-06-2007, 11:26
per sicurezza fai anche una scansion con gmer e vedi se ci sono voci in rosso