Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Win 32 Horst: informazioni danni ed esito "estirpazione

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Win 32 Horst: informazioni danni ed esito "estirpazione

Messaggioda gasepio » lun mar 26, 2007 8:11 pm

Ciao a tutti,
seguendo le indicazioni trovate su questo forum, credo di aver estirpato il virus Win 32 Horst che da tempo molestava la mia macchina e che nelle ultime ore era diventato inarrestabile (Avast lo segnalava ininterrottamente e dirgli di cancellarlo ogni volta era totalmente inutile!). Ora, riavviando il pc dopo la modalità provvisoria e lo Scangui (appunto come indicato su questo sito), è partito da se Explorer che utilizzo per leggere la mia casella mail (con un comando veloce da tastiera, ma uso Firefox per tutto il resto) e mi appare come pagina iniziale un account di Gmail dal quale sono state spedite decine di mails a mia insaputa, alcune con allegato, ma per lo più con un'immagine (pastiglie tipo Viagra e altre) abbinata ad un testo in inglese non del tutto sensato L'account in questione corrisponde a neaceseolonsil@gmail.com e le decine di mails che il mio pc credo abbia inviato hanno come subject "Re: new pibac". Da qualche giorno, al mio account gmail arrivavano mails con lo stesso testo e la stessa immagine, da indirizzi che non conosco e che non venivano sentiti come spam. Richiamando Explorer, invece di apparire la pagina "posta in arrivo" del mio account come da mia impostazione, veniva visualizzata la pagina d'accesso di gmail, come se a mia insaputa qualcuno avesse cambiato le impostazioni di default del mio browser. Nonostante le mie ripetute ridefinizioni della pagina di default, Explorer si apriva sempre dove voleva "lui". A volte trovavo una pagina del browser apertasi automaticamente con scritto "http:///cgi-bin/login" nella casella dell'indirizzo.

Domanda: dopo aver seguito la procedura d'eliminazione del virus mi è apparso l'account gmail in questione e ora ne ho accesso, ignorandone la password ma essendo la pagina iniziale del browser. Ha qualche utilità (per voi esperti, o per fini tutelativi) che io lo tenga aperto o posso reimpostare la mia pagina? E' capitato lo stesso anche ad altri? Sapete spiegarmi l'accaduto? Nel frattempo continuerò ad usare Firefox...
Avatar utente
gasepio
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun mar 26, 2007 7:47 pm
Località: Torrìno

Messaggioda Amantide » lun mar 26, 2007 8:43 pm

Postaci il log di Hijackthis cosi vediamo cosa gira nel tuo pc.

Dalle cose che hai scritto posso dedurre che l'unico firewall che usi è quello di windows? In tal caso la prima cosa da fare è installare un firewall vero, Comodo Firewall o Zone Alarm come la soluzione gratuita.

P.S. Benvenuto nel forum [:)]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda gasepio » mar mar 27, 2007 12:24 am

Grazie a voi!
Ecco quello che mi hai chiesto:

Logfile of HijackThis v1.99.1
Scan saved at 23.21.54, on 26/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\Documents and Settings\Administrator\Desktop\iTouch\iTouch.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\All Users\Dati applicazioni\Skype\Plugins\Plugins\E12C95FCBD1240FEAE314D89676CA6F8\LieDetector.exe
C:\Programmi\AdunanzA\eMule_AdnzA.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.google.com/mail/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Documents and Settings\Administrator\Desktop\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Come firewall credo di avere davvero soltanto quello di Windows, più Avast e Spybot. Qualche freeware da consigliare?
Ciao!
Avatar utente
gasepio
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun mar 26, 2007 7:47 pm
Località: Torrìno


neverending (bad) story

Messaggioda gasepio » mar mar 27, 2007 7:24 am

Apro gli occhi sul mondo, convinto di aver risolto un problemino che da tempo si m'infastidiva (Win 32 Horst), quand'ecco che fa la sua comparsa un secondo: Win 32 Kuang2. Ma dove si annidano tutte ste bestie immonde? Avevo appena fatto uno scanning totale e globale ed un repulisti apocalittico... [acc2]
Avatar utente
gasepio
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun mar 26, 2007 7:47 pm
Località: Torrìno

Messaggioda crazy.cat » mar mar 27, 2007 8:43 am

Ma hai avast o norton come antivirus?

Questo file è da eliminare.
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Una bella scansione su Kaspersky online e poi salva il log che vediamo quanti virus ci sono nel pc.
http://www.kaspersky.com/virusscanner

firewall free zonealarm o comodo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda gasepio » mar mar 27, 2007 6:00 pm

Grazie del consiglio, ho scaricato Comodo e lo proverò a breve. Per l'antivirus on line non c'è nulla da fare, pur avendo abbassato il livello di protezione (che era già su medio) di IE, continua a dirmi:

You must have administrative rights on this computer;
you also must have the IE security settings to the Medium level.

Cosa intende per "administrative rights"? I thought I was the "Master" of my pc! What do I need more?! To switch it off maybe...
Avatar utente
gasepio
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun mar 26, 2007 7:47 pm
Località: Torrìno

Messaggioda crazy.cat » mar mar 27, 2007 6:44 pm

administrative rights=devi essere amministratore del pc

Il resto del mio inglese è.....lasciamo perdere è meglio che non provi a tradurre.

guida a comodo
http://www.MegaLab.it/2592
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda gasepio » mar mar 27, 2007 6:48 pm

Sono l'amministratore del pc! E' il mio di casa! Come si ufficializza agli occhi dello scanner on-line?
Grazie per il link della guida di Comodo, ora attivo e operativo. Dimenticavo: ho rimosso quel file e per ora nessun allarme di Avast... [auguri]
Avatar utente
gasepio
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun mar 26, 2007 7:47 pm
Località: Torrìno

Messaggioda crazy.cat » mar mar 27, 2007 8:51 pm

Prova con questa scansione allora (così vediamo se funziona o meno visto che è nuova)
http://www.nanoscan.com/
e poi puoi fare il Total scan sempre di Panda.

(Ho problemi anche io con il sito della kaspersky, a me non parte proprio più non arrivo neanche al tuo avviso)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising