Guida alla rimozione di Skymasters.biz

[Zooalex]

Ciao ragazzi,

Ho riscontrato in diversi PC questo simpatico (in senso ironico ovviamente) spyware che cambia la home page di Internet Explorer e inserisce diverse voci nel registro di sistema, nonchè apre automaticamente finestre sul browser con i più disparati siti (porno, suonerie, ecc.).

Importante ripetere (non ci stancheremo mai di dirlo) che per prevenire questi spiacevoli inconvenienti è consigliato (per non dire obbligatorio) avere installato sul proprio PC un bel antivirus aggiornato e un buon firewall (Zone Alarm, Win Xp firewall Service Pack 2).

Per eliminare questo worm/spyware ci serve HijackThis 1.99.1 (lo potete scaricare gratuitamente
qui).

HijackThis è un programma che può essere utilizzato dagli utenti esperti per identificare la presenza di componenti spyware, malware, hijackers del browser, trojan e virus worm eventualmente presenti sul sistema. Il programma permette di raccogliere le informazioni più importanti sulla configurazione delle aree del sistema operativo maggiormente attaccate da parte di componenti dannosi come spyware, hijackers e "malware" in generale. Tutti i dati sullo stato del sistema possono essere memorizzati in un file di testo (file di log, log file) ricorrendo all'apposita funzione integrata in HijackThis.

Dopo la pressione del pulsante Scan, HijackThis mostrerà una serie di elementi. Essi mostrano le impostazioni attuali delle chiavi del registro di sistema e dei file appositi che regolano il comportamento di Internet Explorer ed, in generale, del sistema. Una raccomandazione: non premete mai il pulsante Fix checked prima di conoscere esattamente il significato di ogni elemento selezionato dall'elenco.

Non bisogna mai cancellare le voci di cui non si conosce l'applicazione, potrebbero avere effetti negativi sul S.O. E' consigliabile quindi fare questa operazione in compagnia di una persona esperta. Tuttavia il programma in questione genera un backup delle eventuali chiavi cancellate erroneamente.

Dopo avere avviato la scansione di HijackThis, fixare le seguenti voci:

Codice:

C:\WINDOWS\system32\itDDD.exe
C:\WINDOWS\system32\itDg.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=www.skymasters.biz?2015
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\itDDD.exe
Tutti gli O15

L'operazione va fatta dopo avere disattivato il ripristino automatico di sistema e in modalità provvisoria.

[KiwyLinux]

Quote:

Zooalex

L'operazione va fatta dopo avere disattivato il ripristino automatico di sistema e in modalità provvisoria.

Altrimenti il buon Windows riporta tutto com'era prima della rimozione

[mlk83]

[Anonymous]

grazie 1000 per le info Zooalex è molto utile per chi prende molti virus

ps:qual'è la fonte?

[alvento]

ciao,

scrivo dopo una quantità indefinita di tentativi di eliminare Skymasters. nessun successo.
ho usato hijackthis in modalità provvisoria, seguendo le istruzioni.
nel mio log non figurano tutti i file che cita Zooalex (vedi sotto), ma ho fixato comunque tutti quelli che ho trovato.
ho eliminato anche i vari collegamenti con killsgrunt.
niente da fare: dopo pochi minuti skymasters ricompare!

spero che qualcuno abbia altre risorse...

Quote:

Zooalex

Ciao ragazzi,

(...)

Per eliminare questo worm/spyware ci serve HijackThis 1.99.1 (lo potete scaricare gratuitamente
qui).


Dopo avere avviato la scansione di HijackThis, fixare le seguenti voci:

Codice:

C:\WINDOWS\system32\itDDD.exe
C:\WINDOWS\system32\itDg.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=www.skymasters.biz?2015
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\itDDD.exe
Tutti gli O15

L'operazione va fatta dopo avere disattivato il ripristino automatico di sistema e in modalità provvisoria.

[Zooalex]

Ciao alvento e benvenuta,

Hai controllato che sul tuo disco rigido non ci siano file .exe anomali?

[alvento]

ciao, grazie per la risposta rapida.

come posso fare questo controllo?
il mio antivirus è avast - aggiornato di continuo. utilizzo anche un antispy.
che altro?

Quote:

Zooalex

Ciao alvento e benvenuta,

Hai controllato che sul tuo disco rigido non ci siano file .exe anomali?

[KiwyLinux]

Sicura che sia questo il virus che ti da problemi?

[Zooalex]

Quote:

alvento

come posso fare questo controllo?

Entra nel tuo disco rigido, nel tuo caso potrebbe essere Disco Locale (C)...la lettera dell'unità potrebbe essere anche una D o una E...

Controlla se hai qualche file eseguibile (estensione .exe) anomalo, ovvero che non c'era prima o che presenta un nome strano...

Esempio: best.exe

Facci sapere

[alvento]

Quote:

KiwyLinux

Sicura che sia questo il virus che ti da problemi?

direi proprio di sì. certo, non posso escludere che ci sia altro.

Skymasters si reinstalla dopo ogni rimozione, si apre di continuo, mi propone il collegamento ad un sito porno, eccetera. da due giorni l'antivirus mi segnala anche un dialer da cui non riesco a liberarmi. ma il problema con skymasters è precedente.

[alvento]

[quote="Zooalex"][quote="alvento"]come posso fare questo controllo?

Quote:

Entra nel tuo disco rigido, nel tuo caso potrebbe essere Disco Locale (C)...la lettera dell'unità potrebbe essere anche una D o una E...

Controlla se hai qualche file eseguibile (estensione .exe) anomalo, ovvero che non c'era prima o che presenta un nome strano...

Esempio: best.exe

Facci sapere

ehm... mi sopravvaluti.
sì, so entrare nel disco rigido e riconosco i file eseguibili, ma non so distinguere gli intrusi! proverò a fare una ricerca sui più recenti con l'aiuto del web.
.... il log di hijackthis non vi dice niente? lo incollo qui sotto.
come vi dicevo, la rimozione delle voci che trovo segnalate nei vari siti-guida non risolve il problema.

grazie, A.

__________________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 15.32.55, on 22/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www . skymasters.biz?301
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,xpjava.e xe,D:\WINDOWS\__P9HEPQKBJ.EXE,D:\WINDOWS\SERVICES. EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www . archiviosex.net
O15 - Trusted Zone: www . redfunny.com
O15 - Trusted Zone: www . skymasters.biz
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http : //update . microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120817669156
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http: // www . pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

[KiwyLinux]

Alcune sono abbastanza evidenti.

Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www . skymasters.biz?301
D:\WINDOWS\__P9HEPQKBJ.EXE
O15 - Trusted Zone: www . archiviosex.net
O15 - Trusted Zone: www . redfunny.com
O15 - Trusted Zone: www . skymasters.biz

Ovviamente, scusa se ti ricordo qualcosa che gia' sai, devi "fixare" quando sei in modalita' provvisoria di Windows e con il Ripristino automatico di sistema disattivato.
Gia' che sei in modalita' provvisoria, utilizza anche Spybot (che gia' possiedi) e fai una scansione antivirus aggiornato. Inoltre cancella manualmente, sempre in modalita' provvisoria, il file D:\WINDOWS\__P9HEPQKBJ.EXE.

Good Luck

[alvento]

ciao,
ho seguito le tue indicazioni.

ho fixato per l'ennesima volta le voci 015, e in più P9HEPQKBJ.EXE
ho provato anche a cancellare questo file manualmente, ma non è possibile. il computer mi dice che è in uso, quindi non può essere nè spostato nè rimosso.
ho fatto la scansione con Spybot e XoftSpy, ma al ritorno in modalità normale, skymasters e Win32ialer-575 [Trj] erano lì ad aspettarmi.

...?

grazie ancora...

Quote:

KiwyLinux

Alcune sono abbastanza evidenti.

Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www . skymasters.biz?301
D:\WINDOWS\__P9HEPQKBJ.EXE
O15 - Trusted Zone: www . archiviosex.net
O15 - Trusted Zone: www . redfunny.com
O15 - Trusted Zone: www . skymasters.biz

Ovviamente, scusa se ti ricordo qualcosa che gia' sai, devi "fixare" quando sei in modalita' provvisoria di Windows e con il Ripristino automatico di sistema disattivato.
Gia' che sei in modalita' provvisoria, utilizza anche Spybot (che gia' possiedi) e fai una scansione antivirus aggiornato. Inoltre cancella manualmente, sempre in modalita' provvisoria, il file D:\WINDOWS\__P9HEPQKBJ.EXE.

Good Luck

[KiwyLinux]

Il file e' in uso e se hai eseguito l'operazione in modalita' provvisoria, allora devi controllare che non si trovi nella cartella (o nel registro) "esecuzione automatica".

Se non conosci le stringe di registro da modificare, puoi comunque semplicemente effettuare una ricerca, dopo aver aperto regedit.exe, e cancellare gli eventuali risultati positivi.