www.MegaLab.it

[greenday2]

Salve a tutti! Mi accingo a parlare di un nuovo spyware.

Non riuscivo piu ad entrare in molti siti internet, quando ho notato che avevo in esecuzione sto sp.exe. L'ho terminato e cancellato manualmente e internet ha ripreso a funzionare. Solo che come la peste, ogni tanto si ripresenta. Avete idee in merito? TNks

[crazy.cat]

E' uno spyware.

Usa prima questo programma
http://www.zanezane.net/articoli.asp?id=427
e se poi si ripresenta questo e manda qui il log
http://www.zanezane.net/articoli.asp?id=453

[greenday2]

Ecco qui il log dopo la pulizia

Logfile of HijackThis v1.98.0
Scan saved at 12.14.45, on 22/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:ProgrammiFile comuniEPSONEBAPISAgent2.exe
C:ProgrammiNorton SystemWorksNorton AntiVirus
avapsvc.exe
C:ProgrammiNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:WINDOWSSystem32
vsvc32.exe
C:PROGRA~1NORTON~1SPEEDD~1
opdb.exe
C:WINDOWSsystem32oneLabsvsmon.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:WINDOWSS4TSR.EXE
C:ProgrammiWinampwinampa.exe
C:ProgrammiICQLiteICQLite.exe
C:PROGRA~1ONELA~1ONEAL~1zlclient.exe
C:Program FilesInternet Optimizeroptimize.exe
C:WINDOWSSystem32 xoddr.exe
C:ProgrammiVVSNVVSN.exe
C:WINDOWSSystem32GSICON.EXE
C:WINDOWSSystem32dslagent.exe
C:WINDOWSSystem32ctfmon.exe
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiMSN Messengermsnmsgr.exe
C:ProgrammieMuleemule.exe
C:Documents and SettingsalleDesktopjjjhuhuhijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.it/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:WINDOWS waintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:WINDOWSwsem218.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton SystemWorksNorton AntiVirusNavShExt.dll
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:WINDOWS
em218.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton SystemWorksNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [DisableEHCI] C:WINDOWSS4TSR.EXE
O4 - HKLM..Run: [WinampAgent] C:ProgrammiWinampwinampa.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [ICQ Lite] C:ProgrammiICQLiteICQLite.exe -minimize
O4 - HKLM..Run: [Zone Labs Client] C:PROGRA~1ONELA~1ONEAL~1zlclient.exe
O4 - HKLM..Run: [Internet Optimizer] "C:Program FilesInternet Optimizeroptimize.exe"
O4 - HKLM..Run: [hoybjmgtikl] C:WINDOWSSystem32 xoddr.exe
O4 - HKLM..Run: [VVSN] C:ProgrammiVVSNVVSN.exe
O4 - HKLM..Run: [GSICONEXE] GSICON.EXE
O4 - HKLM..Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O4 - HKCU..Run: [msnmsgr] "C:ProgrammiMSN Messengermsnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:ProgrammiICQLiteICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:ProgrammiICQLiteICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammiMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammiMessengerMSMSGS.EXE
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/dow ... 6/thin.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-opt ... Ocrack.CAB
O17 - HKLMSystemCCSServicesTcpip..{64B442C3-1E3C-4B47-A801-DF9F614CACA9}: NameServer = 80.21.70.171 151.99.125.1

[crazy.cat]

Questo Sp.exe è sparito?
E' rimasto qualche cosa, da eliminare.
http://www.pestpatrol.com/PestInfo/d/dyfuca.asp
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:WINDOWSwsem218.dll
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:WINDOWS
em218.dll

Rifai la scansione e metti il flag su questa voce e poi premi fix
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-opt ... Ocrack.CAB

di questi due exe qui sotto non ci sono notizie, se vuoi fare un controllo per eventuali virus segui le istruzioni qui
http://www.zanezane.net/articoli.asp?id=187
O4 - HKLM..Run: [DisableEHCI] C:WINDOWSS4TSR.EXE
O4 - HKLM..Run: [hoybjmgtikl] C:WINDOWSSystem32 xoddr.exe
Se sai a che programmi appartengono, lasciali stare altrimenti, visto che ne hai alemno un altro potrebbero anche essere dei dialer.

[greenday2]

Per ora del sp.exe non ci son tracce (vedremo se tornerà il maledetto![nomi]).

Non ho capito che devo fare di questi, li devo cancellare? :

http://www.pestpatrol.com/PestInfo/d/dyfuca.asp
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:WINDOWSwsem218.dll
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:WINDOWS
em218.dll


Riguardo agli ultimi due eseguibili, ho provato a farci la scansione con il norton ma mi dice che e' impossibile scannerizzarli poichè sono attualmente in uso o non ho l'autorizzazione !

Che faccio cancello? :)))

Tnks mille per la disponibilità comunque

[crazy.cat]

Si sono da eliminare,però cerca di seguire le istruzioni e di eliminare anche gli altri file e le chiavi di registro.

Ti consiglio una scansione dei virus come ti ho suggerito, se norton non li lascia nemmeno aprire è molto probabile che siano proprio virus pure loro.

[cosmo]

come scansione virus fai una passata con stinger

[greenday2]

Virus non ne ho trovati.

comunque, non capisco bene come cancellare le due dll.
Come arrivo alla hkeylocalmachine? Scusate la domanda ma non son molto pratico[?]

[crazy.cat]

start--esegui-- ti appare il registro e poi visto che non sei pratico ti conviene fare un Trova delle chiavi o dei file che ti indica in quel link e le elimini.

[greenday2]

gentilissmi! Grazie mille!