Malware maledetto...

A

ago

Digital-Forum Senior
Registrato
13 Gennaio 2004
Messaggi
342
Collegandomi al sito www.poigps.com mi compare la scritta:

Attenzione: il pc dal quale sei collegato è infettato dal malware "snprtz"

Infatti il sito recita: Da oggi sulla pagina principale di Poigps sarà attivo un controllo ANTI-MALWARE che avviserà gli utenti che si collegheranno da un PC infetto da malwares e/o dialers.

Il controllo si basa sul principio che i browsers dei PC affetti da alcune tipologie di malware, quando si collegano ad un sito, anzichè "presentarsi" come Internet Explorer, Firefox, etc, mostrano un HTTP_USER_AGENT diverso, che contiene determinate stringhe tipiche di alcuni malware conosciuti.

Ho effettuato diverse scansioni con Spyboot, Ad-Aware Personal, Avast e Spyware Terminator (tutti aggiornati) e nessuno mi rileva un bel niente.
Inoltre collegandomi con Opera o Firefox al sito in oggetto non viene rilevato alcun errore.

Ma c'è un modo per cancellare questo malware?

Non so più dove sbattere la testa....

Premetto che non sono molto pratico di programmazione: non esiste un programmino che faccia tutto da se?.

Allego il log (almeno quello sono riuscito a farlo...)

Logfile of HijackThis v1.99.1
Scan saved at 16.33.26, on 05/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\ESB.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\PowerDVD.exe
C:\Programmi\SlipStream Web Accelerator\slipcore.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\Programmi\Sprite Software\Sprite Backup\SpriteService.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programmi\SlipStream Web Accelerator\slipgui.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\OpenOffice.org1.1.1\program\soffice.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Davide\IMPOST~1\Temp\Rar$EX00.669\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mondo3.com/vbulletin/index.php?Submit=ACCETTO+ed+entro+nel+FORUM+di+Mondo3
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\SlipStream Web Accelerator\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - blank (file missing)
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Programmi\SlipStream Web Accelerator\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programmi\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programmi\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PowerDVD] C:\Programmi\CyberLink\PowerDVD\PowerDVD.exe /autostart
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\SlipStream Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpriteService] "C:\Programmi\Sprite Software\Sprite Backup\SpriteService.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programmi\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Controllo dello stato.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\SlipStream Web Accelerator\slipgui.exe
O8 - Extra context menu item: Send To &Bluetooth - C:\Programmi\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.http://www.master69.biz
O15 - Trusted Zone: *.http://www.sgrunt.biz
O15 - Trusted Zone: *.http://www.yeak.net
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
 
A me é successo la stessa cosa...Connettendomi con I.E. mi dice che ho un malware simbar, mentre connettendomi con f.f. non mi dice niente... :eusa_think:
 
ERCOLINO ha scritto:
Il log è pulito
Clicca per espandere...

Eppure l'Amministratore del sito mi dice:

"Purtroppo devo darti una brutta notizia:
Hai il malware snprtz!

Ecco il TUO HTTP_USER_AGENT:
MSIE 7.0; Windows NT 5.1; snprtz|T03050469750101; .NET CLR 2.0.50727"
 
Io ti posso solo dire che il tuo Ip risulta in una black-list Antispam ti mando un mp
 
Azz hai ragione mi erano proprio sfuggite dalla lista chiedo scusa. :eusa_shifty:


Vanno eliminate subito,le selezioni e le elimini
 
Scusa Ercolino mi spieghi per cortesia passo, passo come devo fare?

Ti ringrazio infinitamente!
 
Li selezioni mettendo la spunta e poi premi il tasto Fix del programma.

Poi cancella tutto il contenuto della cartella Temp

C:windows/temp
 
Si quello sicuramente ormai credo che sia sottointeso.

Mi sa che lo mettò scritto nella mia firma:

Disattivare il ripristino di configurazione per poter eliminare virus ecc..... :badgrin: :badgrin:

Oltre a fare la scansione in modalità provvisoria se con quella normale non si hanno effetti.

Sono le due cose basilari
 
Facendo il log con HijackThis premendo "item on selected item..."

Mi dice di eliminare: R1 - HKCU\Software\Microsoft\InternetExplorer\Main,Search Bar=http://g.msn.it/OSEITIT/SAOS01?FORM=TOOLBAR

Che sia questo il malware? :eusa_think:
 
Non ci riesco.... :crybaby2:

Ricapitolando: disattivo il ripristino di configurazione, (poi devo riavviare il sistema?)

Attivo Dhijackthis e faccio il "Do a system scan only", vado sui file incriminati, li "loggo" e premo "Fix checked", Confermo Sì, Sparisce il contenuto del log, clicco per chiudere la finestra e compare:
"Some file extracted from hijackthis_199.zip were modified or new files were created. Do you wish to put them to the archive?

Rispondo si?

Mi rifà la stessa domanda: rispondo sì?

Se ora rifaccio il log li ritrovo di nuovo. Come mai?

Cosa devo fare ora?
 
Riavvia il pc in modalità provvisoria(tasto f8 all'accensione)ricordando di tenere sempre il ripristino disattivato


Poi rifai la scansione con il tool,selezioni quelle 3 cose e premi Fix

Si rispondi si alle 2 cose ti crea un archivio.

Fatto questo riavvi il pc normalmente e riprovi a fare la scansione.

Cancella anche il contenuto della cartella TEMP
 
Ecco il log:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\System32\services.exe
C:\WINDOWS\System32\ sass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunD 32.exe
C:\Programmi\ATI Techonologies\ATI Control Pane \atiptaxxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\FaxTalk NetonHold\FTNOHMgr.EXE
C:\Programmi\FaxTalk Comunicator\FTCtr 32.exe
C:\Programmi\Java\Jrel.5.0_06\bin\jusched.exe
C:\Programmi\La mia Guida Tv Interattiva\GuidaTvMonitor.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
C:\Programmi\File Comuni\Symantec Shared\ccap.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_s .exe
C:\Programmi\ADSL\Starmodem ADSL USB MODEM\ds mon.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\FaxTalk Communicator\FAPIEXE.EXE


R 1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar = http://g.msn.it/OSEITIT7SA0S01?FORM=TOOLBAR
R 1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Page = http://g.msn.it/OSEITIT7SA0S01?FORM=TOOLBAR

c'é un'altro indirizzio che riporta sempre il solito indirizzo

Per il resto sono tutti programmi che ho installato effettivamente nel pc...

Mi sembrano dubbi anche questi:
04 - HKLM\..\RUN:[carpservice] carpserv.exe
[NeroCeck] C:\Windows\System32\Neroceck.exe
04 - HKLM\..\RUN:[9xadiras] 9xadiras.exe
[2kadiras] 2kadiras.exe

016 - DPEF (vari numeri) http://deposito.easyaccesssite.com/10243-23.exe

Tutto il resto, come ho detto, sono programmi effettivamente installati...:icon_wink:
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso