Pop Up e dopo messaggio trojan

[Tecnico75]

Ciao ragazzi,mentre navigavo su internet prima ho visitato un sito di automazione,per errore ho messo .com anzichè .it e mi è comparso anche un Pop Up,con scritto in inglese congratulazioni bla bla,poi next,io ovviamente ho chiuso tutto,ripulito con CCleaner,Spibot S&D più scansione profonda con Nod32,che mi rilevava 3 virus o meglio cavalli di XXXXX ho fatto elimina,però anche dopo averli eliminati mi comparivano ancora dopo scansione,almeno uno.
Ho disattivato ripristino configurazione di sistema,riavviato rifatto scansione e ora non mi da più nulla NOD32.

Il nome era !KillBox probabilmente variante doubleclick.exe invece l'altro era un numero WINDOWS/B09543*******ecc...

Posso essere tranquillo ora? :help:

 

[Toby]

Io perderei un pò di tempo...

http://www.tomshw.it/forum/showthread.php?t=18702

Ma li farei girare... ;)

 

[Tecnico75]

Scusami se sono ripetitivo,giusto per fare il punto,adesso ho appena finito scansione con NOD32 e nulla,idem con S&D e pulito con CCleaner.

Ti chiedo,avendo già installato antivirus NOD32,come posso fare analisi con altri antivirus?

Precisazione : Mi sono accorto di avere un "programmino" chiamato !KillBox che mi avevano dato tempo fa per rimuovere qualcosa,tipo spyware appunto.
Per essere sicuro l'ho eliminato,anche se non mi dava già più niente prima.

Tu lo conosci?

Potrebbe essere un falso positivo? Anche se di fatto prima c'era ed ora non più :boh:

Grazie mille Toby per la pazienza :ok:

 

[Toby]

Ti chiedo,avendo già installato antivirus NOD32,come posso fare analisi con altri antivirus?

La maggio parte degli antivirus nella lista che ti ho postato, sono on-line, non li devi installare.
Basta che accetti il controllo ActiveX.

Inizia a provare con Panda, Kasparsky, Agnitum, McAfee, etc..etc..

Sono tutti on line.. ;)

 

[Smith]

Qualche scansione in modalità provvisoria non sarebbe male.
NOD32 va benissimo. ;)

 

[alex3000]

Qualche scansione in modalità provvisoria non sarebbe male.
NOD32 va benissimo. ;)

concordo pienamente con te però direi per essere più sicuro di effettua più volte una scansione completa in tutti i dischi.....tanto per essere più sicuri :ok::ok::ok:

 

[Tecnico75]

Ho effettuato una scansione completa di tutti i dischi,con esito negativo.

Nessun virus.

Volevo dire però che navigando stamane mi è apparsa la finestra in cui NOD mi diceva di spedire un file per analisi e andando a vedere in eventi virus ho trovato questo:

può essere correlata agli avvisi precedenti,oppure non centra nulla visto che il pc in tutte le unità pare pulito?

Grazie :ok:

 

[Tecnico75]

Vi posto i log fatti con Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 16.07.33, on 02/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE
C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\ALCMTR.EXE
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE /P30 "EPSON Stylus Photo R320 Series" /O6 "USB002" /M "Stylus Photo R320"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R1800] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE /P24 "EPSON Stylus Photo R1800" /O6 "USB001" /M "Stylus Photo R1800"
O4 - HKLM\..\Run: [EEventManager] C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tecnico75.spaces.live.com//Ph...d/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1156600422468
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://tecnico75.spaces.live.com/Pho...d/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

Scansione ADS

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-18$201c6f8158406d6.tif : Xj1phwzh5qcwungrN45kt3kiCe (696 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c6572111956a.tif : Xj1phwzh5qcwungrN45kt3kiCe (608 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c65722589963.tif : Xj1phwzh5qcwungrN45kt3kiCe (608 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c66f974b9098.tif : Xj1phwzh5qcwungrN45kt3kiCe (668 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c675e1f32f1b.tif : Xj1phwzh5qcwungrN45kt3kiCe (676 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c68ed85f6878.tif : Xj1phwzh5qcwungrN45kt3kiCe (640 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c6acac8791a7.tif : Xj1phwzh5qcwungrN45kt3kiCe (744 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c6e0ac125d77.tif : Xj1phwzh5qcwungrN45kt3kiCe (736 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c6f365656bfc.tif : Xj1phwzh5qcwungrN45kt3kiCe (724 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c6f814b81388.tif : Xj1phwzh5qcwungrN45kt3kiCe (716 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c724425f89b4.tif : Xj1phwzh5qcwungrN45kt3kiCe (692 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c729d4dcc238.tif : Xj1phwzh5qcwungrN45kt3kiCe (668 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c73c1105a74f.tif : Xj1phwzh5qcwungrN45kt3kiCe (724 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-329068152-884357618-725345543-500$201c761b5708a38.tif : Xj1phwzh5qcwungrN45kt3kiCe (728 bytes)