www.MegaLab.it

da **Joe67** » mer gen 19, 2005 12:14 pm

Salve a tutti!
Sono un neo-iscritto al forum. Innanzitutto complimenti per il sito che trovo ben fatto e pieno di spiegazioni chiare ed utili. Mi sono imbattuto nel vostro forum mentre ero alla ricerca di una soluzione per un fastidioso problema, a quanto pare abbastanza diffuso e che voi siete riusciti a risolvere.
Avrete già capito che parlo di quei programmi che reindirizzano la pagina iniziale del Browser, nel caso specifico Internet Explorer, verso altri siti, nella fattispecie un motore di ricerca straniero; si aprono anche delle finestre che segnalano la presenza di spyware sul mio pc e invitano a scaricare programmi per eliminarli. Insomma, una storia che avete già letto chissà quante volte.
Ho già provato ad installare programmi quali: Ad-aware, Spybot Search & Destroy e CW Shredder, ma purtroppo senza risultati apprezzabili.
Sulla base dei suggerimenti che avete fornito ad altri utenti nelle mie stesse condizioni, ho fatto una scansione con il programma Hijackthis, ma ora avrei bisogno del vostro aiuto per individuare quali sono i file .exe da eliminare; non vorrei eliminare qualche file di sistema e peggiorare le cose!
Allego il risultato della scansione e vi pregherei di darmi una mano.
Poi seguo le istruzioni fornite da Crazy.cat nel msg postato al seguente link:
http://www.MegaLab.it/forum/viewtopic.php?t=10631
Giusto?
Vi ringrazio fin da adesso del vostro eventuale aiuto.
A presto
Joe67

Logfile of HijackThis v1.99.0
Scan saved at 22.16.24, on 17/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Rscmpt.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Iomega\Tools_NT\IMGICON.EXE
C:\Programmi\Iomega\Tools_NT\REFRESH.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Documents and Settings\Proprietario\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DD144CC0-9713-4B99-B961-86273E625A7D} - C:\WINDOWS\system32\hgdclaa.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Rscmpt] C:\WINDOWS\System32\Rscmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - Global Startup: Icone Iomega.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Opzioni d'avvio Iomega .lnk = C:\Programmi\Iomega\Tools_NT\STARTNT.EXE
O4 - Global Startup: Refresh.lnk = C:\Programmi\Iomega\Tools_NT\REFRESH.EXE
O4 - Global Startup: Splash.lnk = C:\Programmi\Iomega\Tools_NT\SPLASH.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Filter: text/html - {170D6BC7-8676-47FC-86A4-B09443B70470} - C:\WINDOWS\system32\hgdclaa.dll
O18 - Filter: text/plain - {170D6BC7-8676-47FC-86A4-B09443B70470} - C:\WINDOWS\system32\hgdclaa.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\Programmi\Iomega\Tools_NT\IOMEGAACCESS.EXE
O23 - Service: Servizio Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: ZipToA - Unknown - C:\WINDOWS\System32\ZipToA.exe

da **crazy.cat** » mer gen 19, 2005 1:36 pm

Nel tuo caso devi trovare hgdclaa.dll e sp.dll le sposti sul desktop e le rinomini.
Riavvii in modalità provvisoria, cancelli i file rinominati,i file temporanei di internet e le righe qui sotto. Rifai la scansione con CWShredder e poi riparti normalmente e provi a navigare.
Dopo ti installi spywareblaster lo aggiorni e applichi tutte le protezioni che offre.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {DD144CC0-9713-4B99-B961-86273E625A7D} - C:\WINDOWS\system32\hgdclaa.dll
O18 - Filter: text/html - {170D6BC7-8676-47FC-86A4-B09443B70470} - C:\WINDOWS\system32\hgdclaa.dll
O18 - Filter: text/plain - {170D6BC7-8676-47FC-86A4-B09443B70470} - C:\WINDOWS\system32\hgdclaa.dll

Ormai ho perso il conto di quanti about blank sono arrivati.
Benvenuto nel forum e facci sapere

da **Joe67** » mer gen 19, 2005 3:50 pm

Ti ringrazio per la pronta risposta!
Appena torno a Roma (sono fuori x lavoro) provo a fare come mi suggerisci e ti faccio sapere.
Per il momento grazie e buona giornata!!
[:-D]

da **Joe67** » mar gen 25, 2005 12:55 pm

EUREKA! EUREKA!
Caro Cray.cat, ha funzionato; ho seguito le tue istruzioni ed il programma dirottatore sembra non esserci più!!
:-))
Anche altre funzionalità, che sembravano parzialmente compromesse, sembrano tornate alla normalità.
Ti ringrazio veramente moltissimo!
Continuerò a frequentare il sito che non conoscevo, pieno di informazioni utili e gente veramente in gamba!!
[applauso]

Ciao
Joe

da **Mr.TFM** » mar gen 25, 2005 12:57 pm

Joe67 ha scritto:EUREKA! EUREKA!

Un altro caso risolto dal nostro Crazycat! [arist]

Ciao Joe e torna a trovarci quando vuoi!

www.MegaLab.it

about blank

about blank

Chi c’è in linea