www.MegaLab.it

[BICCIO]

Mi sapreste dire se riesco ad eliminare gli spyware che ho nel mio pc ?
Ogni 15 minuti mi compaiono delle finestre con annunci pubblicitari e non riesco ad impostare la pagina iniziale di Explorer.

Logfile of HijackThis v1.98.2
Scan saved at 10.21.42, on 18/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\EPSON\ESM2\eEBSVC.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\Hcontrol.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
C:\Programmi\EPSON\ESM2\Stms.exe
C:\Programmi\D-Link AirPlus\AirPlus.exe
C:\WINNT\ATKOSD.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\WINNT\twain_32\A4CIS600\WATCH.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\pavsrv50.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Microsoft Office\Office10\EXCEL.EXE
C:\tethi\Ordini.exe
C:\Programmi\Avant Browser\avant.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\xxx\IMPOST~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F6AEF74-3F2F-4D28-83DA-E405B7ED5A30} - C:\WINNT\system32\impp.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINNT\Hcontrol.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Watch.lnk = C:\WINNT\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: CmmLogon.lnk = C:\Programmi\Fortech\ComMa32\Bin\CmmLogon.exe
O4 - Global Startup: Controllo in background EPSON.lnk = C:\Programmi\EPSON\ESM2\Stms.exe
O4 - Global Startup: D-Link AirPlus.lnk = C:\Programmi\D-Link AirPlus\AirPlus.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Blocca tutte le immagini provenienti dal server di questa - C:\Programmi\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{08DD3688-0A2E-40AA-A0CF-695E4012F661}: NameServer = 151.99.125.2,151.99.250.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{08DD3688-0A2E-40AA-A0CF-695E4012F661}: NameServer = 151.99.125.2,151.99.250.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{08DD3688-0A2E-40AA-A0CF-695E4012F661}: NameServer = 151.99.125.2,151.99.250.2
O18 - Filter: text/html - {EC29C159-7D38-4991-BD2D-4E18EEBAE642} - C:\WINNT\system32\impp.dll
O18 - Filter: text/plain - {EC29C159-7D38-4991-BD2D-4E18EEBAE642} - C:\WINNT\system32\impp.dll

[crazy.cat]

Fai una scansione con questo http://cwshredder.net/bin/CWShredder.exe dalla modalità provvisoria.
Ed elimina queste voci con hijackthis, rifai la scansione e premi Fix

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {1F6AEF74-3F2F-4D28-83DA-E405B7ED5A30} - C:\WINNT\system32\impp.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {EC29C159-7D38-4991-BD2D-4E18EEBAE642} - C:\WINNT\system32\impp.dll
O18 - Filter: text/plain - {EC29C159-7D38-4991-BD2D-4E18EEBAE642} - C:\WINNT\system32\impp.dll

Controlla che siano sparite queste due dll impp.dll,se.dll.

Benvenuto nel forum e facci sapere.

[cosmo]

C:\WINNT\twain_32\A4CIS600\WATCH.exe Processo sconosciuto

C:\tethi\Ordini.exe Processo sconosciuto.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll/spage.html eliminalo premendo su fix

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll/spage.html anche questo eliminalo

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\xxx\IMPOST~1\Temp\se.dll,DllInstall se lo conosci lascialo

O17 - HKLM\System\CCS\Services\Tcpip\..\{08DD3688-0A2E-40AA-A0CF-695E4012F661}: NameServer = 151.99.125.2,151.99.250.2 conosci l'indirizzo IP o il Dominio '151.99.125.2,151.99.250.2'? Se no, eliminate questo oggetto.

O17 - HKLM\System\CS1\Services\Tcpip\..\{08DD3688-0A2E-40AA-A0CF-695E4012F661}: NameServer = 151.99.125.2,151.99.250.2 Conosci l'indirizzo IP o il Dominio '151.99.125.2,151.99.250.2'? Se no, eliminate questo oggetto.

O17 - HKLM\System\CS2\Services\Tcpip\..\{08DD3688-0A2E-40AA-A0CF-695E4012F661}: NameServer = 151.99.125.2,151.99.250.2 Conosci l'indirizzo IP o il Dominio '151.99.125.2,151.99.250.2'? Se no, eliminalo questo oggetto.

O18 - Filter: text/plain - {EC29C159-7D38-4991-BD2D-4E18EEBAE642} - C:\WINNT\system32\impp.dll questo e sospetto

O18 - Filter: text/html - {EC29C159-7D38-4991-BD2D-4E18EEBAE642} - C:\WINNT\system32\impp.dll questo e sospetto

[cosmo]

azz abbiamo postato assieme

[crazy.cat]

Tu hai fatto fare l'analisi su quel sito e ti ha dato

C:\WINNT\twain_32\A4CIS600\WATCH.exe Processo sconosciuto
che è lo scanner e quindi non è da toccare

C:\tethi\Ordini.exe Processo sconosciuto.
che è un programma di lavoro suppongo

e ti mette questo come sconosciuto
O2 - BHO: (no name) - {1F6AEF74-3F2F-4D28-83DA-E405B7ED5A30} - C:\WINNT\system32\impp.dll

mentre le due righe in fondo sono abbastanza sospette
O18 - Filter: text/html - {EC29C159-7D38-4991-BD2D-4E18EEBAE642} - C:\WINNT\system32\impp.dll
O18 - Filter: text/plain - {EC29C159-7D38-4991-BD2D-4E18EEBAE642} - C:\WINNT\system32\impp.dll

ed è lo stesso file che poi provoca il problema della pagina iniziale di Ie.

Per quello non è affidabile al 100% quel sito.

[alexe]

mooolto meglio il nostro crazy che quel sito

[crazy.cat]

Trova quel file impp.dll , potrebbe aver cambiato nome ma se rifai la scansione con hijackthis lo ritrovi nelle stesse righe di prima, dalla modalità provvisoria lo devi trascinare (non spostare o copiare) sul desktop e dovrebbe lasciarti cambiargli nome (gli togli l'estensione dll).
Riavvii il pc e poi cancelli il file rinominato ed elimini il resto che ti avevo indicato.
Stessa cosa per l'altro file se non riesci a cancellarlo in altro modo.

Manteniamo sempre la discussione sul forum, niente messaggi privati.

[BICCIO]

Scusa ma non ero a conoscenza delle regole sui forum, comunque ti ringrazio in quanto dovrei avere risolto il problema.
Grazie ancora