Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Problema con SpySheriff

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

non riesco ad eliminare Spysheriff!

Messaggioda gabriel1506 » mer gen 31, 2007 5:42 am

Ciao, mi sono appena registrato, sono Gabriele e ho un problema con Spysheriff: dal vostro forum ho scoperto che per eliminarlo devo scansionare il pc con hijackthis...
Bene: ho scaricato il programma, ho scansionato il pc e ora ho il file .log che ha generato hijackthis.
Vorrei chiedervi un aiuto su cosa devo fare ora...

Aiutooo!

Intanto vi posto il file .log e vi ringrazio.
Ciao, Gabriele

Logfile of HijackThis v1.99.1
Scan saved at 4.18.03, on 31/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\HPZipm12.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\GoodWay\USBPhone4Skype\USBPhone4Skype.exe
C:\Programmi\C-Media Middleware\CmSkype.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Creative\Shared Files\CamTray.exe
C:\Programmi\Ares\Ares.exe
C:\winstall.exe
C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\Programmi\ACD Systems\ACDSee\ACDSee.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Mila\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Made by ComputerWorld > Padova
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{3C319~1\Bar888.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{3C319~1\Bar888.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [USBPhone4Skype] C:\Programmi\GoodWay\USBPhone4Skype\USBPhone4Skype.exe
O4 - HKLM\..\Run: [CmSkype] "C:\Programmi\C-Media Middleware\CmSkype.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [{DC319CD8-0828-1040-0418-030128020027}] "C:\Programmi\File comuni\{DC319CD8-0828-1040-0418-030128020027}\Update.exe" te-110-12-0000273
O4 - HKLM\..\Run: [IpWins] C:\Programmi\Ipwindows\ipwins.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programmi\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ares] "C:\Programmi\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Startup: pokdp.exe
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?21df13c781374eefb4c48627596ba28
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?21df13c781374eefb4c48627596ba28
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://morganamiao.spaces.live.com/Phot ... 10,0,912,0
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E672C4D-8616-4613-B01C-B859EF818BC1}: NameServer = 151.99.125.2,151.99.0.100
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINNT\system32\svchosts.exe" -e te-110-12-0000273 (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: ptssvc - KODAK - C:\Programmi\Kodak\Kodak EasyShare software\bin\ptssvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
gabriele
Avatar utente
gabriel1506
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer gen 31, 2007 5:28 am

Messaggioda Amantide » mer gen 31, 2007 9:46 am

Ciao gabriel.
Scarica il Roguescanfix installalo ed avvialo. Alla schermata che si aprirà premi un tasto qualsiasi e al seguente menu premi 1 e poi Invio. Premi altra volta un tasto qualsiasi e all' eventuale richiesta da parte di firewall dai accesso a questi file download.exe o run.bat. Per continuare con la rimozione il programma ha bisogno di scaricare un file dall' internet.
[nota] Durante l'esecuzione del programma verranno temporaneamente chiuse tutte le icone e la barra delle applicazioni, che in seguito verranno ripristinate.
Nella finestra che si apre premi il tasto Execute per avviare la scansione, alla fine della scansione apparirà la finestra Completed script execution premi Ok ed Exit nella finestra principale. Chiudi anche le finestre di blocco note con il file task.txt che si saranno aperte.

Scarica anche SmitfraudFix e riavvia il computer in modalita provvisoria (si entra premendo il tasto F8 all'avvio del pc).
Lancia il file smitfraudfix.cmd e seleziona l'opzione #2 - Clean scrivendo 2 e premendo Enter.
Alla domanda "Registry cleaning - Do you want to clean the registry?" rispondi Yes digitando Y.
Dopo la scansione e la pulizia copia il log, che si dovrebbe trovare nella cartella C:\rapport.txt, e postalo qui.

Per rimuovere i residui fai la scansione con A-squared o SuperAntispyware.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

ringraziamento

Messaggioda gabriel1506 » mer gen 31, 2007 2:17 pm

Cara Amantide, grazie mille per il consiglio...
Ora provo a seguire le tue info e ti farò sapere a presto.
Grazie, Gabriel [:)]
gabriele
Avatar utente
gabriel1506
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer gen 31, 2007 5:28 am


Risolto!

Messaggioda gabriel1506 » mer gen 31, 2007 4:58 pm

Ciao Amantide, ho seguito le tue istruzioni e credo di aver risolto...
Dopo le scansioni con Roguescanfix e Smitfraudfix (Norton rileva script maligno in Smitfraudfix!), riavviato in modalità provvisoria, compare subito una finestra (vedi screen shot in allegato), credo siano file di sistema mancanti (.dll).
Norton rileva script maligno in Smitfraudfix!
Poi riparto in modalità normale e scansiono con A-squared e SuperAntispyware, ed entrambi mi rilevano spyware nei file .exe di Roguescanfix e Smitfraudfix: elimino completamente i due software e tutto va a buon fine.
Riavvio e scansiono tutto con Norton e pare sia tutto ok, non trova più lo Spysheriff.
Ti invio comunque il rapporto di SmitFraudFix:

SmitFraudFix v2.137

Scan done at 13.48.45,64, mer 31/01/2007
Run from C:\Documents and Settings\Mila\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Versione 5.00.2195] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\winstall.exe Deleted
C:\WINNT\system32\cmd32.exe Deleted
C:\WINNT\system32\z11.exe Deleted
C:\WINNT\system32\z12.exe Deleted
C:\WINNT\system32\z13.exe Deleted
C:\WINNT\system32\z14.exe Deleted
C:\WINNT\system32\z15.exe Deleted
C:\WINNT\system32\z16.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



In attesa di tue nuove, ti ringrazio (tanto)
P.S. Come faccio per i file mancanti .dll?
A presto, Gabriel [:)]
gabriele
Avatar utente
gabriel1506
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer gen 31, 2007 5:28 am

Re: Risolto!

Messaggioda Amantide » mer gen 31, 2007 5:06 pm

gabriel1506 ha scritto:Ciao Amantide, ho seguito le tue istruzioni e credo di aver risolto...
Dopo le scansioni con Roguescanfix e Smitfraudfix (Norton rileva script maligno in Smitfraudfix!), riavviato in modalità provvisoria, compare subito una finestra (vedi screen shot in allegato), credo siano file di sistema mancanti (.dll).

Non riesco a capire questa storia di .dll mancanti [uhm] E lo screenshot qual è?
Per il fatto che sia Roguescanfix che Smitfraudfix vengano segnalati come spyware non preoccuparti, sono i cosidetti falsi positivi.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

ecco lo screenshot

Messaggioda gabriel1506 » mer gen 31, 2007 8:33 pm

Ciao Amantide, avevo scordato di allegarti lo screenshot, stavolta c'è!
A presto, Gabriel
gabriele
Avatar utente
gabriel1506
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer gen 31, 2007 5:28 am

Messaggioda crazy.cat » mer gen 31, 2007 8:44 pm

Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

tutto ok!

Messaggioda gabriel1506 » gio feb 01, 2007 11:00 am

Risposta per Crazy.cat
Ho scaricato .NET Framework 2.2 perché il 3 è per Windows XP (io ho il 2000), installato e tutto fila liscio.
Grazie, alla prossima
gabriele
Avatar utente
gabriel1506
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer gen 31, 2007 5:28 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 20 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising