Rimozione virus proveniente da msn

[COOLNESS]

Siccome ho notato che molti utenti sono colpiti dal virus proveniente da msn, ho pensato di scrivere questa piccola guida.

PROCEDURA:

---

1)Disattiva il ripristino configurazione di sistema se hai windows me/xp.
(Clic tasto destro su risorse del computer -> proprietà -> ripristino configurazione di sistema -> spunta su "attiva ripristino configurazione di sistema").

2)Vai in risorse del computer -> disco locale c: -> windows -> elimina il contenuto della cartella "prefetch" (non la cartella intera).
Stessa cosa con il contenuto della cartella "cache" e "temp".

NB: Se non riesci ad eliminare alcuni file aiutati con il programma Unlocker o Killbox.

3)Start->esegui->digita: "%userprofile%/Impostazioni locali/Temp"-> elimina tutti i file.

4)Scarica MSNFIX - clic qui per il download

Scompatta il file zippato di MSNFIX,lancia MSNFix File batch poi:
digita I e premi invio
digita R
digita N
digita A
digita R
digita Q

Al termine ti ritroverai un log e un file zippato.
Elimina il file zippato e svuota il cestino, il log servirà in seguito.

5)Scansione con Asquared (aggiornato).

6)Scarica Elistarta tool (il download è in fondo dove c'è scritto:"Descargar ElistarA").

7)Disconnettiti da internet.

8)Esegui ELISTARTA TOOL:

alla prima domanda, rispondi SI
alla seconda, SI
poi NO
si apre la finestra di scansione, clicca su Explorar terminata la scansione, chiudi il Tool e riavviail sistema
verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log)

9)Posta il log di Elistarta,Msnfix e Hijackthis (preferibilmente in allegato) in questa discussione.

10)Riattiva il ripristino configurazione di sistema
(Clic tasto destro su risorse del computer -> proprietà -> ripristino configurazione di sistema -> spunta su "attiva ripristino configurazione di sistema")

[KiwyLinux]

Buon lavoro, sara' molto utile.

[chaka]

MSNFix 1.605

C:\Documents and Settings\Aldo\Desktop\MSNFix\MSNFix
Fix effettuato il 14/12/2007 - 18.23.55,26 By Aldo
modalità normale

************************ Cercare i files presenti

Nessun files trovato

************************ Ricerca le cartelle presenti

Nessuna cartella trovata


************************ Files sospetti

Nessun files trovato



------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------








Wed Dec 19 19:11:34 2007
EliStartPage v15.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor Run y RunServices "VWB")
Por favor, envienos una muestra del fichero
C:\WINDOWS\system32\vwb.exe
a "virus@satinfo.es". Gracias.
Eliminadas las Paginas de Inicio y de Busqueda del IE

Wed Dec 19 19:12:13 2007
EliStartPage v15.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Aldo\Desktop\x\Varie\Computer vecchio casa\Driver\Nero-Burning rom\Player\SETUP.EXE --> Eliminado, Puper-Is

Nº Total de Directorios: 4651
Nº Total de Ficheros: 51026
Nº de Ficheros Analizados: 11960
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1














Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.23.42, on 19/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Aldo\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 212.241.168.186:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [vwb] C:\WINDOWS\system32\vwb.exe
O4 - HKLM\..\RunServices: [vwb] C:\WINDOWS\system32\vwb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6165 bytes

[chaka]

Ciao,ho seguito i pasi che avete proposto e questi sono i risultati.
Grazie tante.

[COOLNESS]

Hai ancora problemi con msn?

[needtoargue]

Quote:

COOLNESS

Siccome ho notato che molti utenti sono colpiti dal virus proveniente da msn, ho pensato di scrivere questa piccola guida.

PROCEDURA:

---

1)Disattiva il ripristino configurazione di sistema se hai windows me/xp.
(Clic tasto destro su risorse del computer -> proprietà -> ripristino configurazione di sistema -> spunta su "attiva ripristino configurazione di sistema").

2)Vai in risorse del computer -> disco locale c: -> windows -> elimina il contenuto della cartella "prefetch" (non la cartella intera).
Stessa cosa con il contenuto della cartella "cache" e "temp".

NB: Se non riesci ad eliminare alcuni file aiutati con il programma Unlocker o Killbox.

3)Start->esegui->digita: "%userprofile%/Impostazioni locali/Temp"-> elimina tutti i file.

4)Scarica MSNFIX - clic qui per il download

Scompatta il file zippato di MSNFIX,lancia MSNFix File batch poi:
digita I e premi invio
digita R
digita N
digita A
digita R
digita Q

Al termine ti ritroverai un log e un file zippato.
Elimina il file zippato e svuota il cestino, il log servirà in seguito.

5)Scansione con Asquared (aggiornato).

6)Scarica Elistarta tool (il download è in fondo dove c'è scritto:"Descargar ElistarA").

7)Disconnettiti da internet.

8)Esegui ELISTARTA TOOL:

alla prima domanda, rispondi SI
alla seconda, SI
poi NO
si apre la finestra di scansione, clicca su Explorar terminata la scansione, chiudi il Tool e riavviail sistema
verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log)

9)Posta il log di Elistarta,Msnfix e Hijackthis (preferibilmente in allegato) in questa discussione.

10)Riattiva il ripristino configurazione di sistema
(Clic tasto destro su risorse del computer -> proprietà -> ripristino configurazione di sistema -> spunta su "attiva ripristino configurazione di sistema")

ghk

[COOLNESS]

Hai provato se funziona?

[needtoargue]

Quote:

COOLNESS

Hai provato a vedere se adesso ti funziona msn?

sembrerebbe di si

[COOLNESS]

I log vanno bene!

[Marcello]

MSNFix 1.648

C:\Documents and Settings\marcello\Desktop\MSNFix
Fix effettuato il 03/02/2008 - 15.21.51,48 By marcello
modalità normale

************************ Cercare i files presenti

Nessun files trovato

************************ Ricerca le cartelle presenti

... C:\Temp\




************************ Eliminazione dei files



************************ Eliminazione delle cartelle

/!\ ... C:\Temp\


************************ Pulizia del Registro



************************ Files sospetti

/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento

[C:\WINDOWS\system32\python25s.zip] 299038E8455F59D29ACE49B52C7FDE98
[C:\XP-ANT~1.EXE] BD83CC742C56EBE9FD8789E959070556

==> Vi saremo grati se vorrete inviare il file C:\DOCUME~1\marcello\Desktop\Upload_Me.zip su http://upload.changelog.fr



I files e le chiavi di registro eliminati sono stati salvati nel file 03022008_15.23.1089.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

[joecoet]

purtroppo anch'io sto avendo problemi con il virus che si becca su MSN. ho seguito il procedimento del primo post e allego i 3 log. dall'alto della mia ignoranza nn so cosa pensare del log di hijack...tutte quelle scritte!!

cmq spero di aver risolto. datemi buone notizie!!!

ciao!

[COOLNESS]

I log vanno bene...hai ancora problemi su msn?

[joecoet]

no...sembra essere tutto ok.
grazie 1000!!!

[COOLNESS]

Prego,figurati..

[Kassius]

Salve a tutti,
questo problema con messenger ce l'ho anche io, ho letto tutta la discussione ed ho seguito la procedura.

Questi sono i miei log e vi sarei grato se poteste dargli un'occhiata.

L'unica cosa che mi salta all'occhio nel log di hjt è quel file services.exe nella cartella temp del mio utente.

Ho provato a cancellarlo ma non ci si riesce con nessun tool da voi elencati.
Poi ho notato che sempre in quella cartella l'antivirus mi segnala spesso dei trojan.

Rimango in attesa di vostre delucidazioni.
Grazie!