Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Problema con malware

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Problema con malware

Messaggioda sim77 » ven ott 07, 2005 6:33 am

Saluti a tutti, mi sono appena registrato e devo chiedervi un consiglio importante.
Mi succede che da qualche tempo si apre, all'improvviso, una finestra completamente bianca con l'indirizzo ww.slotch.com...ecc.ecc
Dopo una scansione con Spyboth e Ad-Aware scopro di essere attaccato da dei Malware che vengono eliminati dai suddetti programmi.
Ma, evidentemente, il danno lo hanno fatto perché da quel momento il pc mi si spegne all'ìimprovviso e soprattutto sempre all'improvviso mi si blocca ed il mouse non risponde piu e nemmeno nessun tasto costringendomi a "staccare la spina" e riavviare.
Uso Clamwin come antivirus ed ho come SO XP SP1.
Che consiglio mi potete dare?
Grazie 1000
Avatar utente
sim77
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven ott 07, 2005 6:20 am

Messaggioda Mr.TFM » ven ott 07, 2005 9:42 am

Intanto xp dovresti aggiornarlo al service pack 2 altrimenti tanto vale......

Poi posta un log di hijackthis che leviamo quella schifezza...
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda sim77 » ven ott 07, 2005 10:45 am

Allora, il log di hijackthis dice questo:

Logfile of HijackThis v1.99.1
Scan saved at 11.41.57, on 07/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\Programmi\RAM Idle Standard\RAM_2K.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\ClamWin\bin\OlAddin.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Installazioni\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lastampa.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lastampa.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programmi\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [RAM Idle] C:\Programmi\RAM Idle Standard\RAM_2K.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPU ... 10,0,910,0
O17 - HKLM\System\CCS\Services\Tcpip\..\{34B6CF55-F438-4129-B7E6-1A3858165DB9}: NameServer = 213.205.32.70 213.205.36.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF85682-4BC5-4B1A-B9C5-BD10016C29E7}: NameServer = 212.216.112.112,212.216.172.62
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Per quanto riguarda la SP2 non hai torto ma finora non ne ho sentitio la necessità anzi, l'avevo installata sul mio Tablet PC in quanto indispensabile per installare XP TE in versione multilingue ma mi ha mandato in tilt il sistema (e non solo a me) per cui ho rimandato a ddd....
Avatar utente
sim77
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven ott 07, 2005 6:20 am


Messaggioda Mr.TFM » ven ott 07, 2005 11:02 am

Queste due voci non mi sembrano niente di buono...
O17 - HKLM\System\CCS\Services\Tcpip\..\{34B6CF55-F438-4129-B7E6-1A3858165DB9}: NameServer = 213.205.32.70 213.205.36.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF85682-4BC5-4B1A-B9C5-BD10016C29E7}: NameServer = 212.216.112.112,212.216.172.62

persino googlando avast mi rileva un trojan!
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Re: Problema con malware

Messaggioda crazy.cat » ven ott 07, 2005 11:33 am

sim77 ha scritto:Ma, evidentemente, il danno lo hanno fatto perché da quel momento il pc mi si spegne all'ìimprovviso e soprattutto sempre all'improvviso mi si blocca ed il mouse non risponde piu e nemmeno nessun tasto costringendomi a "staccare la spina" e riavviare.

Il pc si spegne fisicamente e devi premere il pulsante di accensione per farlo ripartire?
O si riavvia da solo?

sim77 ha scritto:Uso Clamwin come antivirus ed ho come SO XP SP1.

Le aperture di queste finestre sono poi scomparse?
Se vuoi farti un ulteriore controllo per la presenza di virus
http://www.MegaLab.it/2333

Clamwin mi sembra ancora giovane come antivirus per essere del tutto affidabile.

Dal log non si vede niente di pericoloso.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda sim77 » ven ott 07, 2005 12:45 pm

@Mr.TFM
Cosa mi consigli? Elimino quelle 2 voci? E dove le trovo?

@crazi.cat
No, il pc si spegne semplicemente non si riavvia, la famosa finestra bianca non si è più fatta vedere (per il momento).
Grazie per l'aiuto.
Avatar utente
sim77
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven ott 07, 2005 6:20 am

Messaggioda crazy.cat » ven ott 07, 2005 12:57 pm

sim77 ha scritto:@Mr.TFM
Cosa mi consigli? Elimino quelle 2 voci? E dove le trovo?

Sono gli indirizzi che prendi quando sei collegato ad internet, se rifai la scansione quando sei scollegato non ci sono più quelle due voci. Lasciale stare.
Comunque per eliminare delle voci, basta che rifai la scansione con hijackthis, metti il flag sulle caselle delle voci che ti interessa eliminare e poi premi fix.


sim77 ha scritto:No, il pc si spegne semplicemente non si riavvia.

sembrebbe più un guasto della parte hardware del pc allora.
Ventole alimentatore e cpu girano regolarmente?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda sim77 » ven ott 07, 2005 3:10 pm

Il problema dello spegnimento è un problema vecchio dovuto al surriscaldamento del sistema (si tratta di un notebook P4 2,6 che notoriamente sono delle stufe), nonstante una piastra di raffreddamento, purtroppo adesso viene enfatizzato da questo bolcco che a volte inchioda la CPU al 100%. comunque di solito riesco a risolvere ma questa volta non so proprio che pesci pigliare.
Grazie lo stesso del vostro interessamento.
Avatar utente
sim77
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven ott 07, 2005 6:20 am

Messaggioda sim77 » ven ott 07, 2005 6:24 pm

Stinger mi ha trovato 2 W32/Netsky.P@MM e me li ha eliminati...per il momento sembra che la situazione si sia normalizzata, speriamo in bene. Vi terrò aggiornati.
Ciao
Avatar utente
sim77
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven ott 07, 2005 6:20 am

Messaggioda crazy.cat » ven ott 07, 2005 6:28 pm

Allora è forse meglio che ti fai una scansione più completa
http://www.MegaLab.it/2333

e ripensi bene all'utilizzo di clamwin, se non vede nenache il netsky chissà quanti altri possono essere passati.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda sim77 » sab ott 15, 2005 10:10 am

Ciao a tutti,
volevo aggiornarvi sulla mia situazione (so che non ci avete dormito!), allora, non c'e' stato niente da fare, mi si bloccava e si spegneva in continuazione per cui sono stato costretto a formattare (con una formattazione a basso livello in modo da pulire definitivamente).
Ora riinstallando il tutto rifunziona di nuovo perfettamente.
Ho seguito il consiglio di crazi.cat ed ho installato la sp2 mentre come antivirus dei tecnici informatici mi hanno consigliato Bit Defender che sembra un ottimo prodotto, praticamente 4 in 1 cioe' oltre che antivirus e' antispyware, antispam e firewall.
Io non lo conoscevo ma mi sembra deciasmente valido , voi cosa ne pensate?
Avatar utente
sim77
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: ven ott 07, 2005 6:20 am

Messaggioda crazy.cat » sab ott 15, 2005 10:21 am

sim77 ha scritto:Bit Defender che sembra un ottimo prodotto, praticamente 4 in 1 cioe' oltre che antivirus e' antispyware, antispam e firewall.
Io non lo conoscevo ma mi sembra deciasmente valido , voi cosa ne pensate?

Non ho potuto approfondire più di tanto quando ho provato il prodotto, ma non mi aveva tanto colpito.
Preferisco sempre le soluzioni separate, ogni sw che faccia una cosa sola e che la faccia bene.
Dopo non si esclude che sia un buon prodotto, lo vedrai con il tempo.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising