Olimpo Informatico

[MelRoch]

Salve a tutti!
Ho un grosso problema, ieri mentre navigavo sono incappata in win spyware protect, che a quanto ho capito, è un finto anti-spyware (una rogna) mi si è installato nel pc e non riesco a toglierlo in alcun modo.....
ho provato con spybot search & destroy, con spyware terminator, con avast, con antivir.......niente, non riesco a debellarlo.......ho anche trovato un'altra guida

[bdoriano]

Ciao MelRoch,

• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Fai questa scansione con RogueRemoverFree
  
• Fai una scansione con Norman Malware Cleaner.
  
• Riavvia il computer in modalità normale
  
• Segui le istruzioni di questo topic per eseguire combofix.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di Norman Malware Cleaner su WikiSend e posta il Forum Link che ti viene assegnato
    
  • Il log di Combofix generalmente non è molto lungo, quindi postalo direttamente nel messaggio

[MelRoch]

Questo è il forum link del log di norman malware cleaner

NFix_2008-07-08_12-39-24.log

mentre per quanto riguarda combofix ho questo problemino

[bdoriano]

Capita, con Vista. Premi 1 e procedi normalmente.

[MelRoch]

Eccolo.....



ComboFix 08-07-07.3 - daniela 2008-07-08 18.06.48.1 - NTFSx86
Microsoft® Windows Vista? Home Premium 6.0.6000.0.1252.1.1040.18.345 [GMT 2:00]
Eseguito da: C:\Users\daniela\Desktop\COMBOFIX.exe
* Creato nuovo punto di ripristino
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\FTPx.dll
C:\Windows\system32\MabryObj.dll

.
((((((((((((((((((((((((( Files Creati Da 2008-06-08 al 2008-07-08 )))))))))))))))))))))))))))))))))))
.

Nessun nuovo file creato in questo arco di tempo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 16:00 13,119 ----a-w C:\Users\daniela\AppData\Roaming\nvModes.dat
2008-07-08 15:59 45,056 ----a-w C:\Windows\System32\acovcnt.exe
2008-07-08 15:59 --------- d-----w C:\Users\daniela\AppData\Roaming\OpenOffice.org2
2008-07-08 11:27 --------- d-----w C:\Users\daniela\AppData\Roaming\Spyware Terminator
2008-07-08 10:29 --------- d-----w C:\Program Files\RogueRemover FREE
2008-07-08 09:54 --------- d-----w C:\ProgramData\Spyware Terminator
2008-07-08 09:49 --------- d---a-w C:\ProgramData\TEMP
2008-07-08 09:46 --------- d-----w C:\Program Files\Spyware Terminator
2008-07-08 07:57 --------- d-----w C:\Users\daniela\AppData\Roaming\Download Manager
2008-07-07 21:42 --------- d-----w C:\ProgramData\Avira
2008-07-07 21:42 --------- d-----w C:\Program Files\Avira
2008-07-07 21:18 --------- d-----w C:\Program Files\CableRouting
2008-07-07 20:51 --------- d-----w C:\Program Files\Crawler
2008-07-07 20:50 141,312 ----a-w C:\Windows\system32\drivers\sp_rsdrv2.sys
2008-07-07 16:40 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-07-07 16:06 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-07-07 15:29 --------- d-----w C:\ProgramData\Adsl Software Ltd
2008-07-07 09:52 --------- d-----w C:\ProgramData\Apple
2008-07-07 09:52 --------- d-----w C:\Program Files\Apple Software Update
2008-07-04 09:10 --------- d-----w C:\Users\daniela\AppData\Roaming\EPSON
2008-07-01 08:07 --------- d-----w C:\Program Files\Programming Editor
2008-06-26 18:49 --------- d-----w C:\Program Files\Winter Fun Pack 2004 for Windows XP
2008-06-26 18:48 --------- d-----w C:\Program Files\Microsoft
2008-06-23 20:51 --------- d-----w C:\Users\daniela\AppData\Roaming\dvdcss
2008-06-10 20:33 --------- d-----w C:\Program Files\NCH Swift Sound
2008-06-09 21:34 --------- d-----w C:\Program Files\Mp3 File Editor
2008-05-19 18:37 --------- d-----w C:\Program Files\Windows Mail
2008-05-17 15:20 --------- d-----w C:\Users\daniela\AppData\Roaming\NCH Swift Sound
2008-05-17 15:20 --------- d-----w C:\ProgramData\NCH Swift Sound
2008-05-17 15:19 --------- d-----w C:\Users\daniela\AppData\Roaming\Recordpad
2008-05-17 15:19 --------- d-----w C:\Program Files\NCH Software
2008-05-15 23:18 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2007-10-05 07:26 92,064 ----a-w C:\Users\daniela\mqdmmdm.sys
2007-10-05 07:26 9,232 ----a-w C:\Users\daniela\mqdmmdfl.sys
2007-10-05 07:26 79,328 ----a-w C:\Users\daniela\mqdmserd.sys
2007-10-05 07:26 66,656 ----a-w C:\Users\daniela\mqdmbus.sys
2007-10-05 07:26 6,208 ----a-w C:\Users\daniela\mqdmcmnt.sys
2007-10-05 07:26 5,936 ----a-w C:\Users\daniela\mqdmwhnt.sys
2007-10-05 07:26 4,048 ----a-w C:\Users\daniela\mqdmcr.sys
2007-10-05 07:26 25,600 ----a-w C:\Users\daniela\usbsermptxp.sys
2007-10-05 07:26 22,768 ----a-w C:\Users\daniela\usbsermpt.sys
2007-09-05 10:00 174 --sha-w C:\Program Files\desktop.ini
2007-12-29 16:43 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-12-29 16:43 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-12-29 16:43 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-10 16:37 1232896]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-03-20 11:11 171448]
"EPSON Stylus DX4400 Series"="C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 08:01 180736]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"WinSpywareProtect"="C:\ProgramData\Adsl Software Ltd\WinSpywareProtect\Winspywareprotect.exe" [2008-07-07 17:29 1242624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 13:43 729088]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2006-12-10 08:46 90191]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-12-10 08:46 7766016]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-12-10 08:46 81920]
"ATKMEDIA"="C:\Program Files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 18:27 61440]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-22 07:27 815104]
"PowerForPhone"="C:\Program Files\PowerForPhone\PowerForPhone.exe" [2007-01-11 03:36 778240]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 07:36 4186112 C:\Windows\RtHDVCpl.exe]

C:\Users\daniela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
MultiFrame.lnk - C:\Program Files\ASUS\Asus MultiFrame\MultiFrame.exe [2007-01-21 08:40:51 991600]
Winter Fun Wallpaper Changer.lnk - C:\Windows\Installer\{038A524F-58DB-438A-8391-8F7F0CA14B9E}\Icon038A524F.exe [2008-06-26 20:49:22 14336]
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-10-08 16:55:34 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{6E8487E1-64A6-4017-894A-544BF56876E7}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{75950A3C-E02E-4524-BA64-159AF0103683}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{E81AB51D-A491-48BE-B401-255F103D104D}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"TCP Query User{455A0C72-3457-4217-A2CE-A8ABB04255CD}C:\\program files\\emule2\\emule.exe"= UDP:C:\program files\emule2\emule.exe:eMule Plus
"UDP Query User{8442678C-3008-4EDD-BFEF-DE439FCA8C3E}C:\\program files\\emule2\\emule.exe"= TCP:C:\program files\emule2\emule.exe:eMule Plus
"{61E477EA-9FDC-4C9D-BC4B-487DDA8E91AE}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{FBCB8825-B2B3-474B-BA8A-1D746C2B26E2}C:\\users\\daniela\\desktop\\emule.exe"= UDP:C:\users\daniela\desktop\emule.exe:emule.exe
"UDP Query User{4F905A7D-BD76-4742-B88E-44DBEB4C5E15}C:\\users\\daniela\\desktop\\emule.exe"= TCP:C:\users\daniela\desktop\emule.exe:emule.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-05-16 01:20]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\Windows\system32\drivers\sp_rsdrv2.sys [2008-07-07 22:50]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-05-16 01:18]
R2 BcmSqlStartupSvc;Servizio di avvio SQL Server di Business Contact Manager;C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 11:41]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;C:\Windows\System32\StkCSrv.exe [2006-12-10 18:31]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;C:\Windows\system32\Drivers\StkCMini.sys [2006-12-21 20:36]
R3 WCPU;WCPU;C:\Program Files\P4G\WCPU.sys [2007-01-03 01:37]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 05:29]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

*Newly Created Service* - CATCHME
.
Contenuto della cartella 'Scheduled Tasks'
"2008-07-08 16:10:05 C:\Windows\Tasks\User_Feed_Synchronization-{50D78CD6-DE6C-4190-8BFB-0901AF8174CA}.job"
- C:\Windows\system32\msfeedssync.exe
"2008-07-08 11:34:00 C:\Windows\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-08 18:11:50
Windows 6.0.6000 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-07-08 18.13.54
ComboFix-quarantined-files.txt 2008-07-08 16:13:15

Impossibile trovare il testo del messaggio per il numero di messaggio 0x2379 nel file di messaggio per Application.
15 Directory 50,491,932,672 byte disponibili

146 --- E O F --- 2008-05-19 18:37:20

[bdoriano]

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[MelRoch]

Ecco il log aggiornato di Combo Fix

ComboFix_1215585723431.txt

ed ecco il log di mbam

mbam-log-7-9-2008 (08-40-26).txt


vedo delle scritte che mi piacciono parecchio

[MelRoch]

Ho appena riavviato il pc e........ non c'è traccia (almeno in apparenza) di win spyware protect

Grazie mille Bdoriano, soprattutto per la pazienza

ps:un' ultima domanda come faccio ad essere sicura che non è rimasta nessuna traccia di questo malware nel pc?

riposto i log perchè credo che non si vedano

ComboFix.txt

mbam-log-7-9-2008 (08-40-26).txt

[bdoriano]

Si, direi proprio che siamo a buon punto.

Per toglierci ogni dubbio:

• Disabilita il tuo antivirus
  
• Collegati a BitDefender (con IE) e fai la scansione completa.
  
• Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
  Salva il risultato della scansione in un file (in formato TXT), carica il file su WikiSend e posta qui il Forum Link che ti viene assegnato.

[MelRoch]

Ciao, scusa il ritardo........come si fa a eseguire explorer da amministratore? avevo letto qualcosa ma non riesco a trovarlo

[bdoriano]

Ciao,

non ho Vista, ma mi pare che basti cliccare sull'icona con il tasto destro del mouse e scegliere la voce "Esegui come amministratore".

[MelRoch]

kaspersky report.txt


Grazie mille
ho effettuato entrambe le scansioni, e sono andate entrambe a buon fine!!!!!
non sono riuscita a prendere il report di bit defender ma spuntava un messaggio, non ha rilevato nessun problema



Sono troppo contenta.....ancora GRAZIE MILLE!!!!

[bdoriano]

Ok, se non riscontri più problemi, possiamo dire che sei a posto.

Ti consiglio di fare le pulizie generali del pc:

1. Pulizia dei files temporanei con ATF-Cleaner e/o CCleaner
   
2. Pulizia del registro con EUsingFreeRegistryCleaner o Wise Registry Cleaner e, infine, una passata con Auslogics Registry Defrag
   
3. Deframmentazione del disco