PDA

View Full Version : Aiuto! Rimuovere programma malizioso!

smok
02-06-2004, 15:08
ciao a tutti ragazzi!

Vi chiedo un aiuto disperato!
Nonostante il firewall e l'antivirus mio fratello è riuscito a fare danni scaricando ed eseguendo un file chiamato FreeKaZaaplusUpgrades dal sito http://www.kazaa-file-sharing-downloads.com/...
I danni creati dal programmino malizioso sono (almeno ad un'analisi empirica):
-Rallentamento del pc quando si aprono 2 o piu' finestre del browser (nonostante l'adsl anche la connessione rallenta paurosamente)
-APertura sempre dello stesso popup pubblicitario (la cui apertura rallenta molto anche il pc!)
-Impossibile chiudere le finestre del browser! :(
-Inoltre mi pare che si siano disabilitate anche le macro come CTRL+C e CTRL+V e il tasto TAB

Qualcuno può suggerirmi per favore qualche metodo per rimuovere questo schifo? Non so proprio dove metter mano... :(

grazie confido in qualcuno disperatamente... :) ciao!
MrOZ
02-06-2004, 15:36
Usa spybot 1.3, CWShredder, adaware6.

Se poi il prob permane, scarica hijackthis, fai uno scan, salva il log e copia-incollalo qui.
smok
02-06-2004, 17:11
ciao! intanto un doveroso GRAZIE! per la risposta!:)

Purtroppo però dopo aver fatto tutto quello che mi hai detto il persiste il problema relativo alla chiusura delle finestre del browser e del TAB e delle macro e dei rallentamenti (praticamente non si è più visto il popup, ma credo che quello lo avevo risolto manualmente io...)...

Ho fatto il log che dicevi, eccolo:

Logfile of HijackThis v1.97.7
Scan saved at 18.07.12, on 02/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Qualcomm\Eudora\Eudora.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hjt\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {2D7CB618-CC1C-4126-A7E3-F5B12D3BCF71} - c:\windows\ngpw34.dll (file missing)
O2 - BHO: (no name) - {E9147A0A-A866-4214-B47C-DA821891240F} - c:\windows\ngsw31.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: WinMySQLadmin.lnk = C:\Programmi\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Crea preferiti portatile (HKLM)
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/148119a2571ca3/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Grazie 1000 ancora una volta! :) Ciao!