Olimpo Informatico

[carlo_b]

Buongiorno

Ho sulla macchina qualcosa che non riesco ad individuare.
Credo che sia entrato dopo che mia moglie si era collegata al sito del nuovo gioco "win for life" La pagina di Internet explorer si è boccata, è divenuta trasparente e da allora il computer è in crisi.
Appaiono strani pop-up e nelle pagine HTML compaiono delle HOTWORDS che aprono un collegamento ad avvisi commerciali "KONTERA".
Prima di scrivere ho controllato i thread sul forum, ma non ho tovato niente che possa permettermi di affrontare il problema.
Ho scaricato ed eseguito, in modalità provvisoria, (in modo normale il computer è lentissimo e si blocca continuamente) Superantispyware, ma non ha trovato niente di significativo.
Gli ho fatto elencare i processi attivi e mi ha diagnosticato:
"There are no recognized UNSAFE applications running on your computer". individuando come sconosciuti questi due processi:
C:\PROGRAMMI\JAVA\JRE6\LIB\DEPLOY\JQS\IE\JQS_PLUGI N.DLL
e
SSMMGR.EXE C:\WINDOWS\SAMSUNG\PANELMGR\SSMMGR.EXE

Ho java installato ed una stampante samsung.



Ho fatto qualche altra ricerca ed ho fatto un piccolo passo avanti.
L'intruso attiva, a volte un processo cftmon.exe che riesco a rimuovere temporaneamente con Hijackthis, poi il processo ricompare senza una regola precisa.
Il mio cftmon.exe in system32 sembra OK e tutti i consigli trovati sul web per rimuovere il cftmon virus sono falliti.
Ho provato anche a rimpiazzare il MBR e l'area di startup, ma non ho risolto niente. Le hotwords continuano a comparire e riesco a contenere l'azione di questo worm ??? usando Hijackthis e disattivando via via i processi che mi vengono segnalati come pericolosi. Un modesto palliativo e non certo una soluzione.
Cordiali Saluti
C b

[bdoriano]

Ciao carlo_b,

Comincia a fare le operazioni preliminari:

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend e posta il Forum Link che ti viene assegnato.

PS: ti sposto nell'area corretta.

[carlo_b]

Ti ringrazio per la tempestività della risposta.
Mi scuso per non avere postato nella sezione corretta.
Ho già installato SuperantiSpyWare, senza risultato. Ora provo a configurarlo come mi hai detto e seguo le tue indicazioni.
AGGIUNTA
Ti ho inviato tutti i report.
La mia macchina non è ancora pulita. Ogni tanto compaiono le hotwords con collegamento a KONTERA, anche su questo forum che non credo le abbia messe di proposito. E' il mio computer che le inserisce dove più gli piace.
Ti ringrazio per l'aiuto.
Grazie
C B

[carlo_b]

Buongiorno,

Ho fatto tutto ciò che mi hai consigliato e ti ho spedito i log. Il problema non è stato risolto. Hai qualche indicazione?

Ciao e Grazie.

C.B.

[R16]

[carlo_b]

questi sono i link che non avevo messo.
mbam-log-2009-11-04 (20-50-34).txt


SUPERAntiSpyware Scan Log - 11-01-2009 - 11-24-00.log

report.txt

Decisamente sono imbranato avedo inviato i file ma non ti avevo comunicato i link.
La macchina ora va meglio però ho il sospetto che qualcosa ci sia ancora perché di tanto in tanto vedo comparire le HOTWORD con collegamento a KONTERA, anche sui siti che fanno lanalisi dei file di Hijackthis.

Da qualche giorno, dal 26 ottobre, mi è compartsa in doc & settings una cartella HelpAssistant che non esisteva prima
Cordiali Saluti
e..
Grazie per la pazienza
CB

[bdoriano]

HelpAssistant riguarda Microsoft, nulla di pericoloso.

Piuttosto, personalmente non conosco SpyHunter e non so se sia un prodotto affidabile o meno...

MBAM non ha rilevato nulla e SuperAntiSpyware ha eliminato diversi cookies.

C'è, invece, un problema con il tuo Avast!.
Disinstallalo, seguendo queste istruzioni:

1. Scarica questo programma
   
2. Avvia il pc in modalità provvisoria
   
3. Avvia il programma scaricato al punto 1
   
4. Clicca Remove
   
5. Al termine dell'operazione, riavvia il pc in modalità normale

Facciamo gli aggiornamenti di rito:

• Scarica e installa l'ultima versione di Adobe Reader o, meglio ancora, un lettore PDF alternativo (PDF X-Change Viewer, FoxIT Reader, SumatraPDF)
  
  
• Installa l'ultima versione di Java
  
  
• Aggiorna Adobe FlashPlayer:
  
  1. Scarica il programma di disinstallazione di FlashPlayer
     
  2. Scarica l'ultima versione di FlashPlayer per IE
     
  3. Scarica l'ultima versione di FlashPlayer non per IE
     
  4. Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc)
     
  5. Esegui il programma di disinstallazione scaricato al punto 1.
     
  6. Esegui il programma di installazione scaricato al punto 2.
     
  7. Esegui il programma di installazione scaricato al punto 3.

Aggiorna Videolan VLC

Aggiorna 7-Zip

Aggiorna PDF Creator

Aggiorna Windows:

• Installa il service pack3 di Windows XP
  
  
• Scarica e installa una versione più recente di Internet Explorer:
  
  • Installa Internet Explorer 7
    oppure
    
  • Installa Internet Explorer 8
  
  
  
• Scarica e installa tutti gli altri aggiornamenti di Windows (escludendo quelli riferiti al Genuine Advantage, che non servono a nulla):
  
  • Clicca sul bottone Personalizzato
    
    
  • Clicca su Priorità alta
    
  • De-seleziona (togli il segno di spunta) gli aggiornamenti riferiti al Genuine Advantage
    
  • Clicca su Verifica e installa aggiornamenti
    
  • Clicca su Installa aggiornamenti
    
  • segui il resto delle istruzioni a video

Posta un log aggiornato di hijackthis

[carlo_b]

Buonasera
questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.44.21, on 06/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
k:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
k:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\HP\KBD\KBD.EXE
K:\Programmi\ZoneAlarm\zlclient.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter3.exe
K:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre6\bin\jusched.exe
K:\Programmi\office\Office10\MSOFFICE.EXE
k:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
k:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
K:\tools\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "K:\Programmi\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [avast!] k:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Collegamento a MSOFFICE.lnk = K:\Programmi\office\Office10\MSOFFICE.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Acquisisci selezione - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Acquisisci selezione - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Salva come HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Salva come HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Salva testo selezionato - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Salva testo selezionato - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O15 - Trusted Zone: www.manuali.net
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - k:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - k:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - k:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - k:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5548 bytes

Sembra che il computer vada bene.
Non so come ringraziarti, se sono riuscito a risparmiarmi una installazione ex novo, ho risolto molti problemi, avrei dovuto rimettere tutti i programmi, i driver etc.. non sarebbe stata una cosa gradevole.

Ma cosa era questo affare? Non sono riuscito a capirlo, io sto sempre molto attento a non visitare siti a rischio, forse è entrato dopo un consultazione del sito su cui si trovano i risultati del nuovo gioco "Win for life" che qualcuno, in casa mia guarda di tanto in tanto.
Ho usato Spy Hunter perché avevo trovato una indacazine in tal senso dal FORUM di MANUALI.NET.
Il tuo aiuto è stato risolutivo e ti ringrazio di nuovo.
Cordiali Saluti
C B

[carlo_b]

Buongiorno
Ho fatto uno scan con Hijackthis e l'analisi di networktechs ha individuato HCU cftmom come cftmon32 parasite variant.
Cosa posso fare?
Grazie
C B

[R16]

Ciao.
Non mi sembra, che hai eseguito i suggerimenti di bdoriano.
Ti consiglio di seguirli, e poi postare un log aggiornato di Hijackthis.

Carica il log di Hijackthis, su link
e posta il Forum Link che ti viene assegnato.

[carlo_b]

Buongiorno
Veramente mi sembra di avere scrupolosamente seguito tutte le indicazioni.
Fammi sapere cosa pensi che dovrei fare.

Questo è il link.

hijackthis.log

Ti ringrazio
Carlo

[R16]

[carlo_b]

Buongiorno
Il mio computer, dopo la cura, funziona molto meglio, però ha ancora dei problemi.
Ogni spesso compare un task ctfmon che viene segnalato come pericoloso (ctfmon 32, parasite variant, CoolWebSearch) da un'analisi del log di Hijackthis.
Non solo. ctfmon compare nelle applicazioni di startup del mio sistema e non dovrebbe. Compare anche nel registro col comando RUN. Lo tolgo dalle applicazioni di startup con msconfig, ma ricompare sempre.
Ho cancellato il programma ctfmon.exe dalla cartella windows\system32, ma non è servito a niente, il processo ctfmon ricompare tra i task attivi quando gli pare e piace.
Ovviamente posso inviare, se servono, gli splash screen di Regedit e di Msconfig.
Superantispyware non vede niente.
AD-AWARE non è installabile.
Vi sono grato se potete fornirmi qualche indicazione.
Ciao
C B[/img]

[lorenaino]

ciao,fai una scansione con combofix seguendo le istruzioni di questo topic e posta il relativo log che rilascierà alla fine:

http://forum.zeusnews.com/viewtopic.php?t=45224

[carlo_b]

Buongiorno
Questo è il link al log di Combofix:
ComboFix.txt
Combofix, che è durato moltissimo, mi trova uno scanner attivo e mi dice che esso può dare origine a problemi di perdita di dati quando combofix è attivo.

Ho chiuso tutti i task attivi e ho fatto andare Combofix in modalità provvisoria, però evidentemente ci sono dei servizi attivi che non riesco a controllare con Task Manager. Come faccio a chiuderli?
Cosa altro devo fare?
Grazie Carlo

[carlo_b]

PS
Ho controllato in questo momento i processi attivi, con Task Manager e l'onnipresente ctfmon.exe è attivo.
L'ho chiuso, ma sono sicuro che tra un po' appare di nuovo.
Ciao
Carlo

[carlo_b]

Buongiorno
Nel mio messaggio "Scansione con Combofix" la parola scanner è "calda" e se ci passo sopra col mouse apre un fumetto pubblicitario. "vibrant" che pubblicizza dei prodotti Epson.
E' normale o è un problema del mio computer.
Mi scuso per questa sequenza di messaggi, però non voglio fare lo spammer, cerco solo di trovare una strada per risolvere questo noioso problema.
grazie per la pazienza.
C B

[R16]

Ciao.

[carlo_b]

Buongiorno
Non voglio togliere ctfmon, ho guardato, è un programma utilizzato da MS/Office ed io uso MS/office.

Non ho niente contro la pubblicità, volevo solo verificare che non fosse una pubblicità invasiva e incontrollata, non voluta ma imposta, tu mi confermi che non è così.

Non capisco come mai Hijackthis mi segnala un problema su ctfmon segnalandomelo come ctfmon32 parasite variant CoolWebSearch.

Io mi trovo Ctfmon tra i processi di startup mentre sembra che questo programma non debba essere tr i task di startup.
Lo tolgo con Msconfig, come tu mi hai consigliato, e ce lo ritrovo, subito dopo, senza avere attivato alcun programma di MS Office.

Ho tolto, per prova, ctfmon.exe (quello buono credo dal momento che ha date di creazione e modifica non sospette) da Windows\system32 ma il task ctfmon viene ugualmente eseguito. Da dove si prende il codice?

Non riesco ad installare AD-Aware e pare che la causa sia questa, almeno così mi dicono nel forum di supporto di lavasoft.it
Ho trovato anche un programmino della Trend Micro "CWShredder" che ha fatto una scansione senza trovare niente. Ora provo a seguire punto per punto le tue indicazioni, poi ti faccio sapere.
Grazie
C B

[carlo_b]

Buongiorno
Ho fatto come mi hai detto.
HJT non segnala più niente da un po'.
Sembra che il problema sia risolto.
Non riesco ancora ad installlare ad-aware, ma risolverò anche questo problema, spero.

Continuo a non capire come faceva il mio computer ad eseguire un task senza che ci fosse il programma. Misteri di Windows. Non credo che riuscirò mai a capire.

Grazie di cuore.
L'aiuto di tutti Voi è stato grade.
C B