Pagina 1 di 2

Presunto Spyware [credo]

MessaggioInviato: mar giu 22, 2004 9:41 am
da Erik
Allora, premetto che di windows sò quasi-niente, ci vado poche volte e quelle poche nasce sempre un problema e mi sto stufando di questo sistema [}:)].
Stavolta è Iexplorer (broswer explorer) a non funzionare come deve. Il mio problema è che , vado sulle proprietà e metto come home page , www.google.it (o qualsiasi essa sia). Quando apro il browser, mi va in automatico sulla pagina "about:blank" dove vi è una pagina web che è quella di una sito dove c'è scritto "search for...." poco sotto "search on the web", poi sotto il resto della pagina, praticamente si collega sempre a questo motore di ricerca. Oltre a questo pagina si apre un Pop-up (cioè una nuova finestra) dove c'è scritto: "WARNING , your computer has been exposed to parasites know as spyware ec.c.c." lo traduco tutto direttamente in italiano " Pericolo, il tuo computer ha uno spyware", poi continua la pagina e ti spiega che cos'è uno spyware e che danni provoca. La cosa più curiosa alla fine è che ti dice che è facile da rimuovere e per farlo clicca qui. Dove qui ti porta ad un link . Indovinate che è questo link? Il motore di ricerca di prima che cerca in automatico tutti i link con la parola "spyware removal". Praticamente tutto questo per farmi usare il motore di ricerca per forza. Ogni volta che cambio la home page , mi rimette da solo sempre quella pagina web. Ogni volta che avvio explorer mi compare questa pagina. Ho usato spybot e adware, entrambi mi dicono che non ho nessun spyware. Che devo fare? Vi pare una cosa legale? BOh [V] , se mi dite che è illegale impostarmi le pagine in questo modo, andandomi a modificare chissa dove ogni volta, ho la possiblità di denunciarli [nomi]

MessaggioInviato: mar giu 22, 2004 10:03 am
da crazy.cat
Da questa pagina
http://home.datacomm.ch/Windows/cwshredder.htm
Scaricati CWShredder 1.59 c'è il download in una finestrella un po in basso nella pagina,lanci il fix ed elimini quello che trovi.
In spybot c'è un pulsante immunizza, se lo tieni sempre aggiornato e ri-immunizzi dopo ogni aggiornamento serve ad evitare di beccarsi tante schifezze.
Con Spywareblaster anche questo da aggiornare sempre se abiliti tutte le protezioni anche qui blocchi tanti spyware
http://www.javacoolsoftware.com/spywareblaster.html
Spybot+spywareblaster aggiornati ti fanno sparire tante schifezze e ne impediscono il ritorno.

MessaggioInviato: mar giu 22, 2004 11:03 am
da Erik
Come detto sopra, non sono di alcune efficienza con questo problema, ma la pagina "about:blank" non dovrebbe essere una pagina vuota? Magari andando a modificare quella, si riesce a rimette le cose appostto.

MessaggioInviato: mar giu 22, 2004 12:00 pm
da crazy.cat
Proviamo con questo allora,hijackthis,premi sul download per avviare

http://www.softpedia.com/public/cat/10/ ... 7-69.shtml

Fai la scansione e poi salvi il log in un file di testo e ne posti poi il contenuto qui.

Spybot e spywareblaster non avranno risolto il problema adesso, ma potrebbero prevenire che si ripresentasse.

MessaggioInviato: mar giu 22, 2004 12:03 pm
da Erik
ferma tutto, l'ultimo link che m'hai dato, quel programma ha funzionato perfettamente, <b>Grazie mille</b>, che ci trovate di bello in questo sistema, me lo spiegate in futuro [^][^][^][^]

MessaggioInviato: mar giu 22, 2004 1:22 pm
da ligamarco
Ho il tuo stesso problema. Potresti spiegarmi come hai risolto??
Grazie

MessaggioInviato: mar giu 22, 2004 4:47 pm
da Erik
scaricando questo prog:

http://www.softpedia.com/public/cat/10/ ... 7-69.shtml

avvialo, premi su scan , poi selezioni tutte le voci che ha trovato, poi fai fixed, chiudi il prog, rimetti la home page, riavvia il pc e torna tutto normale.

MessaggioInviato: mar giu 22, 2004 8:02 pm
da ligamarco
Boh, ho fatto esattamente quello che mi hai detto ma il problema rimane...non è che hai tralasciato qualcosa??
Grazie dell'aiuto.

MessaggioInviato: mar giu 22, 2004 11:36 pm
da ligamarco
Beh, io sono 2 giorni abbondanti che ci sto dietro...ho provato di tutto cancellato la cache internet,Cookies,scansionato con NAV 2004 e Panda, usato Spybot Search & Destroy,Spywareblaster (non me lo installa) e hijackthis diverse volte...ho anche rinstallato WMP e rifatto il collegamento con Blocco note.............
Il risultato è questo: WMP funziona, blocco note funziona, la pagina iniziale di IE funziona ma...il sistema non è molto stabile, ci sono dei rallentamenti improvvisi, credo che lo spyware non sia stato rimosso completamente dal sistema.....
Rimango in attesa di notizie da qualcuno che ha trovato una valida soluzione.

MessaggioInviato: ven giu 25, 2004 11:00 pm
da Natty72
Anch'io ho lo stesso problema di cui parlate qua ed ho scaricato Hijackthis come avete detto. Ho salvato il log, ma avrei bisogno di un consiglio su quali devo selezionare da "fixare"/sistemare. Di sicuro tutti quelli con l'indirizzo: res://uwuas.dll/index.html#10213, ma poi che altro. Non vorrei sbagliare.

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32sysww32.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32GSICON.EXE
C:WINDOWSSystem32dslagent.exe
C:ProgrammiQuickTimeqttask.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:WINDOWSsdksq.exe
C:ProgrammiMSN MessengerMsnMsgr.Exe
C:ProgrammiAdobeAcrobat 5.0DistillrAcroTray.exe
C:ProgrammiFotoStation EasyFotoStation Easy AutoLaunch.exe
C:ProgrammiNikonNkView5NkvMon.exe
C:ProgrammiInternet Exploreriexplore.exe
C:ProgrammiInternet Exploreriexplore.exe
C:PROGRA~1WINZIPwinzip32.exe
C:DOCUME~1NataliaIMPOST~1TempHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = NOT USED (OK)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSuwuas.dll/sp.html#10213
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://uwuas.dll/index.html#10213
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://uwuas.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSuwuas.dll/sp.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://uwuas.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSuwuas.dll/sp.html#10213
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = NOT USED (OK)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://it.rd.companion.yahoo.com/slv/yc ... /search?p=%s
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = C:WINDOWSSYSTEMlank.htm
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {01F7C6D6-2CA1-2CB8-E64E-E47AA49FE966} - C:WINDOWSiplm.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0AcrobatActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:Program FilesSubmitsubmithook.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:WINDOWSDownloaded Program Filesycomp5_0_2_7.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [Detector] C:WINDOWS wain_32FlatBedUsbDetector.exe
O4 - HKLM..Run: [GSICONEXE] GSICON.EXE
O4 - HKLM..Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammiQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [Image] rundll32 C:WINDOWSsdkqh32.dll,Install
O4 - HKLM..Run: [zSPGuard] c:programmipjwspguardspguard.exe /s
O4 - HKLM..Run: [addob.exe] C:WINDOWSsystem32addob.exe
O4 - HKLM..Run: [sdksq.exe] C:WINDOWSsdksq.exe
O4 - HKCU..Run: [msnmsgr] "C:ProgrammiMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..RunServices: [Image] rundll32 C:WINDOWSsdkqh32.dll,Install
O4 - Global Startup: Acrobat Assistant.lnk = C:ProgrammiAdobeAcrobat 5.0DistillrAcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:ProgrammiFile comuniAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:ProgrammiNikonNkView5NkvMon.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:ProgrammiInternet ExplorerPluginsNPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 5359259259
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.c ... _0_2_7.cab
O17 - HKLMSystemCCSServicesTcpip..{F303CEFD-0548-4E18-B89D-400E8C0DBD16}: NameServer = 81.74.224.227 151.99.125.1

Grazie, Natty72

MessaggioInviato: sab giu 26, 2004 7:26 am
da crazy.cat
Benvenuta nel forum Natty72.
Hai parecchie voci molto dubbie nel log.
Queste sono eliminabili già con Hijackthis (metti il flag e poi premi fix)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = NOT USED (OK)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSuwuas.dll/sp.html#10213
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://uwuas.dll/index.html#10213
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://uwuas.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSuwuas.dll/sp.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://uwuas.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSuwuas.dll/sp.html#10213
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = NOT USED (OK)

Di queste non ci sono notizie su internet (e non è bene)

O2 - BHO: (no name) - {01F7C6D6-2CA1-2CB8-E64E-E47AA49FE966} - C:WINDOWSiplm.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:Program FilesSubmitsubmithook.dll (file missing)
O4 - HKLM..Run: [Image] rundll32 C:WINDOWSsdkqh32.dll,Install
O4 - HKLM..Run: [addob.exe] C:WINDOWSsystem32addob.exe
O4 - HKLM..Run: [sdksq.exe] C:WINDOWSsdksq.exe
O4 - HKCU..RunServices: [Image] rundll32 C:WINDOWSsdkqh32.dll,Install

Scaricati CWShredder chiudi tutte le finestre di internet e poi fai la scansione
http://209.133.47.12/~merijn/files/CWShredder.exe
Scaricati adware e lo aggiorni subito e fai la pulizia
http://lavasoft.element5.com/italian/support/download/
e poi fai un controllo online dei virus con panda
http://www.pandasoftware.com/activescan ... ncipal.htm

Fatto questo fai sapere come va..

MessaggioInviato: lun giu 28, 2004 6:16 pm
da Natty72
Ho fatto come avete detto, e rifatto più volte, ma ogni volta si inseriscono nuove pagine con nuovi nomi. La conclusione è che alla fine non ho risolto niente. Non ne posso più di queste homepage maledette e tutte le pop-up pubblicitari. Ma vedo che anche voi avete gli stessi problemi. Grazie comunque....

Ciao
Natty

MessaggioInviato: lun giu 28, 2004 6:25 pm
da Husky
Natty non abbacchiarti, scaricati ad-aware e spybot e vedi come ti cancella tutto..

dammi un aiuto: allora vai sul pulsante start, clicca su esegui e digita ms-config.. poi vai sulla sezione avvio (o start up) e mi dici quali programmi si avviano all'avvio di windows.. ok?

L'mportante è aggiornare con l'update i programmi che ti hanno detto di scaricare..

MessaggioInviato: mer giu 30, 2004 10:19 pm
da Natty72
Eccomi qua un'altra volta dopo aver provato a fare tutto quello che mi avete detto. Volevo anche ringraziarvi della disponibilità e l'aiuto che mi state dando.

In HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows non ho trovato la voce AppInit_DLLs
L'ho cercato poi con regSeeker e me l'ha trovato in HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/InFileMapping/win.ini/ Windows ed l'ho cancellato come ha detto Mr.Asus
Con regSeeker ho fatto pulisci il registro e mi sono venuti fuori circa 1000 file da sistemare [cry], con le scritte "<font color="red">Estensione non usata</font id="red">", "<font color="red">Invalid ActiveX/COM entry (CLSID)</font id="red">", "<font color="red">Tipo di file non usato</font id="red">", "<font color="red">Unused "Open with" entry</font id="red">", "<font color="green">File o path inesistente</font id="green">", oppure "<font color="green">Valore vecchio</font id="green">", ma non saprei se cancellarli o no. E' sicuro cancellarli?

In panello di controllo/installazione applicazioni sono andata a controllare i programmi ed ho visto che c'erano dei programmi strani installati che non si riescono a disinstallare.
I programmi sono :
- Home search Assistant: clicco "rimuovi" e mi appare una finestra con scritto: Impossibile aprire "http://looking-for.cc/uninstall/HomeSearchAssistant.html"

- SearchExtender: anche qui cliccando "rimuovi" mi appare: Impossibile aprire "http://looking-for.cc/uninstall/ SearchExtender.html"

- ShoppingWizard: e qui mi appare: : Impossibile aprire "http://looking-for.cc/uninstall/ shoppingWizard.html"

Come faccio a toglierli dal sistema se non me li lascia rimuovere? C'è un'altro modo.

Comunque, la conclusione dopo questo, HijackThis, Ad-aware e CWShredder (anche più volte) è che la homepage me la cambia lo stesso ma mi appaiono meno pop-up.
Ripeto che non ho ancora cancellato quei 1000 files strani che mi ha trovato. Che faccio ora?

Natty72

MessaggioInviato: ven lug 16, 2004 11:13 pm
da Alvienunospe
Salve a tutti...sono nuovo del forum!Ho visto che l'ultimo mex di questa discussione è di fine giugno...spero lo stesso che qualcuno mi dia una mano...
Il mio problema è lo stesso...ovvero la pagina iniziale di internet explorer che nn si riesce a modificare insieme a quel pop up...Ho scaricato un po' di programmini che sono segnalati nel forum...hijackthis,adaware,CWShredder e ho fatto partire unicamente il primo di questi con il seguente risultato:
Logfile of HijackThis v1.97.7
Scan saved at 0.07.48, on 17/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiFile comuniSymantec SharedccSetMgr.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32CTSVCCDA.EXE
C:WINDOWSSystem32gearsec.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSmfcjf32.exe
C:ProgrammiNorton AntiVirusSAVScan.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32CTHELPER.EXE
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE
C:ProgrammiWinampwinampa.exe
C:ProgrammiiTunesiTunesHelper.exe
C:ProgrammiFile comuniCMEIICMESys.exe
C:ProgrammiFile comuniMicrosoft SharedWorks SharedWkUFind.exe
C:WINDOWSsystem32ievt32.exe
C:ProgrammiMSN MessengerMsnMsgr.Exe
C:ProgrammiiPodiniPodService.exe
C:TinMessengerTinMessenger.exe
C:ProgrammiFile comuniGMTGMT.exe
C:ProgrammiMessengermsmsgs.exe
C:WINDOWSslrundll.exe
C:ProgrammiWinMXWinMX.exe
C:ProgrammiWinampWinamp.exe
C:ProgrammiInternet Exploreriexplore.exe
C:ProgrammiInternet Exploreriexplore.exe
C:Documents and SettingsAmministratoreDocumentiProgrammi utiliHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjxwxo.dll/sp.html#10213
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://jxwxo.dll/index.html#10213
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://jxwxo.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjxwxo.dll/sp.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://jxwxo.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSjxwxo.dll/sp.html#10213
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {9E3BD9CE-508B-8DD5-FF9C-2A69F1BD6981} - C:WINDOWSsystem32mshy.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [SplashDisplayer] C:WINDOWSSystem32ISTHTB.EXE
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32NeroCheck.exe
O4 - HKLM..Run: [CTHelper] CTHELPER.EXE
O4 - HKLM..Run: [Jet Detection] C:ProgrammiCreativeSBLivePROGRAMADGJDet.exe
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [EPSON Stylus C84 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB002" /M "Stylus C84"
O4 - HKLM..Run: [WinampAgent] C:ProgrammiWinampwinampa.exe
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammiQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] C:ProgrammiiTunesiTunesHelper.exe
O4 - HKLM..Run: [CMESys] "C:ProgrammiFile comuniCMEIICMESys.exe"
O4 - HKLM..Run: [Microsoft Works Update Detection] C:ProgrammiFile comuniMicrosoft SharedWorks SharedWkUFind.exe
O4 - HKLM..Run: [ievt32.exe] C:WINDOWSsystem32ievt32.exe
O4 - HKCU..Run: [MsnMsgr] "C:ProgrammiMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Yahoo! Pager] C:PROGRA~1Yahoo!MESSEN~1ypager.exe -quiet
O4 - HKCU..Run: [Eyeball Chat] "C:PROGRA~1EyeballEYEBAL~1EyeballChat.exe" -min
O4 - Startup: C6 Client.LNK = C:TinMessengerTinMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOffice10OSA.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {AB294EC6-7ADA-11D4-9D5F-00B0D04BBD07} (msichat50 Client Control) - http://chat1.kataweb.it:4080/chat/data/ ... sichat.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/active ... mAData.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/active ... veData.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab
O17 - HKLMSystemCCSServicesTcpip..{6C43DAC4-6FFB-4E46-8BC0-FC5991111E84}: NameServer =

e ovviamente nn saprei cosa eliminare.
Su un sito in lingua inglese : www.pchell.com ho trovato le istruzioni x risolvere questo problema...ma data la complessità dell'argomento e la mia piccola ma decisiva ignoranza dell'inglese nn m sono voluto avventurare da solo...C'è qualcuno che è riuscito a risolvere il problema in maniera definitiva e m sa dare una mano scrivendo i passi da compiere?!Ve ne sarei molto grato!!!
P.s.Ho avuto anche problemi con il blocco note che si chiude da solo casualmente?!c'è qualche lontana relazione?e in che modo è probabile che sia stato infettato il mio pc?...norton molto poco efficente...
Grazie x l'aiuto!

MessaggioInviato: ven lug 16, 2004 11:20 pm
da cosmo
cancella le voci segnalate da crazy.cat [^]


[dj]

MessaggioInviato: sab lug 17, 2004 7:17 am
da crazy.cat
X Alvienunospe
Benvenuto nel forum.
I tools e hijackthis mettili in una cartella a parte che conterrà poi i backup di quello che elimini.

Queste voci sono molto dubbie e non si trovano informazioni
C:WINDOWSmfcjf32.exe
C:WINDOWSsystem32ievt32.exe
C:WINDOWSslrundll.exe
O4 - HKLM..Run: [SplashDisplayer] C:WINDOWSSystem32ISTHTB.EXE

Per queste voci prova a seguire le istruzioni (in italiano) che trovi qui http://www.ilsoftware.it/av.asp?ID=133
e sopratutto scaricati e usa il tools SP.html - Hijack Fixer
(mi interessa sapere se funziona) dopo che hai passato il tools rifai la scansione con hijackthis e vedi cosa ha tolto.

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjxwxo.dll/sp.html#10213
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://jxwxo.dll/index.html#10213
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://jxwxo.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSjxwxo.dll/sp.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://jxwxo.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSjxwxo.dll/sp.html#10213

Questi sono spyware li elimini con adware e CWShredder
O4 - HKLM..Run: [CMESys] "C:ProgrammiFile comuniCMEIICMESys.exe"
C:ProgrammiFile comuniGMTGMT.exe
O2 - BHO: (no name) - {9E3BD9CE-508B-8DD5-FF9C-2A69F1BD6981} - C:WINDOWSsystem32mshy.dll

Ricordati di cancellare i cookies e i file temporanei prima di cominciare e fare le scansioni dalla modalità provvisoria.
Alla fine rifai la scansione con hijackthis e vediamo se è rimasto qualche cosa.

MessaggioInviato: lun lug 19, 2004 9:54 pm
da Alvienunospe
Mah...ho cercato di seguire le istruzioni alla lettera ma nn ho risolto niente...o almeno ieri funzionava tutto correttamente e la mia pagina iniziale era una bellissima pagina vuota...Stasera accendo il pc e mi collego e ricompare il solito problema...con HijacjThis elimino le cose piu sospette che mi avete consigliato e il problema scompare momentaneamente...La seconda volta che riapro la pagina di internet explorer ricompare il problema...e ciò che segue:
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiFile comuniSymantec SharedccSetMgr.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32CTSVCCDA.EXE
C:WINDOWSSystem32gearsec.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:ProgrammiNorton AntiVirusSAVScan.exe
C:WINDOWSsystem32winhn.exe
C:WINDOWSSystem32CTHELPER.EXE
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE
C:ProgrammiWinampwinampa.exe
C:ProgrammiiTunesiTunesHelper.exe
C:ProgrammiiPodiniPodService.exe
C:ProgrammiFile comuniMicrosoft SharedWorks SharedWkUFind.exe
C:WINDOWSsystem32ievt32.exe
C:ProgrammiMSN MessengerMsnMsgr.Exe
C:TinMessengerTinMessenger.exe
C:ProgrammiMessengermsmsgs.exe
C:WINDOWSslrundll.exe
C:ProgrammiInternet Exploreriexplore.exe
C:ProgrammiWinMXWinMX.exe
C:Documents and SettingsAmministratoreDesktopMuoriSpywareHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWShisnr.dll/sp.html#10213
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hisnr.dll/index.html#10213
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hisnr.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWShisnr.dll/sp.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://hisnr.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWShisnr.dll/sp.html#10213
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O2 - BHO: (no name) - {E738C459-A711-F262-AA4A-278418C66737} - C:WINDOWSmfcec.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [SplashDisplayer] C:WINDOWSSystem32ISTHTB.EXE
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32NeroCheck.exe
O4 - HKLM..Run: [CTHelper] CTHELPER.EXE
O4 - HKLM..Run: [Jet Detection] C:ProgrammiCreativeSBLivePROGRAMADGJDet.exe
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [EPSON Stylus C84 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB002" /M "Stylus C84"
O4 - HKLM..Run: [WinampAgent] C:ProgrammiWinampwinampa.exe
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammiQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] C:ProgrammiiTunesiTunesHelper.exe
O4 - HKLM..Run: [Microsoft Works Update Detection] C:ProgrammiFile comuniMicrosoft SharedWorks SharedWkUFind.exe
O4 - HKLM..Run: [ievt32.exe] C:WINDOWSsystem32ievt32.exe
O4 - HKLM..Run: [SpyHunter] C:ProgrammiEnigma Software GroupSpyHunterSpyHunter.exe
O4 - HKCU..Run: [MsnMsgr] "C:ProgrammiMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Yahoo! Pager] C:PROGRA~1Yahoo!MESSEN~1ypager.exe -quiet
O4 - HKCU..Run: [Eyeball Chat] "C:PROGRA~1EyeballEYEBAL~1EyeballChat.exe" -min
O4 - HKLM..RunOnce: [winhn.exe] C:WINDOWSsystem32winhn.exe
O4 - Startup: C6 Client.LNK = C:TinMessengerTinMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOffice10OSA.EXE
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {AB294EC6-7ADA-11D4-9D5F-00B0D04BBD07} (msichat50 Client Control) - http://chat1.kataweb.it:4080/chat/data/ ... sichat.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/active ... mAData.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/active ... veData.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab
O17 - HKLMSystemCCSServicesTcpip..{6C43DAC4-6FFB-4E46-8BC0-FC5991111E84}: NameServer =

Nn ho ben capito quando e cosa fare in modalità provvisoria...comunque ormai ho imparato a convivere con questa infezione...Ma che problemi mi porterà in futuro?grazie ancora dell'aiuto!!

MessaggioInviato: lun lug 19, 2004 10:05 pm
da cosmo
aspetta crazy.cat lui lo sà cosa togliere

MessaggioInviato: mar lug 20, 2004 6:53 am
da crazy.cat
I due tools che trovavi qui
http://www.ilsoftware.it/av.asp?ID=133
SP.html - Hijack Fixer e CWShredder te li scaricavi sul pc, lo facevi ripartire e all'avvio premevi F8 in modo da entare in modalità provvisoria, allora lanciavi la scansione e pulizia con i due tools.
Dopo vai qui e fai una scansione online dei virus
http://www.pandasoftware.com/activescan ... ncipal.htm
hai qualche cosa di molto strano che gira nel tuo pc, si è aggiunto un altro Exe di cui non ci sono notizie.

Consiglio di abbandonare Norton antivirus è pesante,non ti protegge da niente, prova Avast o Antivir tutti e due buoni e freeware.