www.MegaLab.it

[Lucio Fabbri]

Mi è successa una cosa strana.
L'icona di Notepad si è modificata ed ora è una "X" su sfondo blu.
quando cerco di aprire un file collegato a Notepad, si installa un dialer e sul desktop compare un programma con la stessa icona (una "X") che si chiama Pleasure Zone che rimanda ad un sito del tipo "on line casino ecc." ovviamente a pagamento.
Ho provato con il Norton Antivirus aggiornato ogni settimana, Spy Sweepwer, Spybot-S&D, ecc. ma non riesco a risolvere il problema.
Qualcuno mi può aiutare?

[crazy.cat]

Prima scarica CWShredder e dai una scansione e pulizia di quello che trova (con internet chiusa)
http://209.133.47.12/~merijn/files/CWShredder.exe

Se non risolvi fai la scansione con questo salvi il log della scansione in un file di testo e poi posti il contenuto del file qui.
http://209.133.47.12/~merijn/files/HijackThis.exe

[Lucio Fabbri]

Allora,
Ho scannato il tutto e poi preso dalla foga ho schiacciato FIX checked ed è scomparso tutto.
Adesso ho eseguito di nuovo una scansione e questo è quello che esce:

Logfile of HijackThis v1.98.0
Scan saved at 9.14.13, on 13/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:PROGRAMMIFILE COMUNISYMANTEC SHAREDCCEVTMGR.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSNTVA.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSD3UD.EXE
C:WINDOWSSYSTEMAPPFD32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:PROGRAMMILOGITECHMOUSEWARESYSTEMEM_EXEC.EXE
C:PROGRAMMIFILE COMUNISYMANTEC SHAREDCCAPP.EXE
C:PROGRAMMIREALREALPLAYERREALPLAY.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:PROGRAMMIWEBROOTSPY SWEEPERSPYSWEEPER.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSMFCFE32.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMCRKY32.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSNTVA.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSATLGH.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMIPKL32.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSNETBK.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSNETGI.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMAPPRM.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMAPPFD32.EXE
C:WINDOWSWINMA.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:TEMPANTIVIRUSHIJACKTHISHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWS sobf.dll/sp.html#96676
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://it.yahoo.com
O4 - HKLM..RunServices: [APPRM.EXE] C:WINDOWSSYSTEMAPPRM.EXE
O4 - HKLM..RunServices: [APPFD32.EXE] C:WINDOWSSYSTEMAPPFD32.EXE
O4 - HKLM..RunServices: [WINMA.EXE] C:WINDOWSWINMA.EXE

Ho provato a riavviare il computer e sembra funzionare.

Ho combinato qualche malanno?

[crazy.cat]

Hai tolto troppe cose e alcune devono essere ripristinate, vai con Hijackthis su Config--Backups-- vedi le chiavi che hai cancellato e le puoi ripristinare con Restore.
E meglio se le ripristini tutte e dopo rifai la scansione e ti dico io cosa eliminare.
A che programma appartiene questo file
C:WINDOWSSYSTEMMSXF.EXE
ne hai un mucchio di attivi e non trovo notizie che lo riguardano.
Anche il resto delle voci che hai lasciato sono molto sospette, mi sa che hai un grande pasticcio in quel pc.
Fatti una scansione online dei virus qui e scriviti quelli che trova, la maggior parte dei file exe che hai attivi sono sconosciuti o quasi.
http://www.pandasoftware.com/activescan ... ncipal.htm

[Lucio Fabbri]

Ho fatto una scansione con il link che mi hai mandato ma alla fine il computer si è bloccato e non ho potuto vedere il report comunque ha trovato 116 file infetti e riparati 115.
Questo è il log di HIJackThis

Logfile of HijackThis v1.98.0
Scan saved at 11.38.40, on 14/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:PROGRAMMIFILE COMUNISYMANTEC SHAREDCCEVTMGR.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSNETBK.EXE
C:WINDOWSSYSTEMD3CI.EXE
C:WINDOWSJAVAHM.EXE
C:WINDOWSATLGH.EXE
C:WINDOWSNETWV32.EXE
C:WINDOWSSYSTEMIPKL32.EXE
C:WINDOWSSYSTEMAPPFD32.EXE
C:WINDOWSSYSTEMIEFZ32.EXE
C:WINDOWSSYSTEMMFCRH.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:PROGRAMMILOGITECHMOUSEWARESYSTEMEM_EXEC.EXE
C:PROGRAMMIFILE COMUNISYMANTEC SHAREDCCAPP.EXE
C:PROGRAMMIREALREALPLAYERREALPLAY.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:PROGRAMMIWEBROOTSPY SWEEPERSPYSWEEPER.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSATLGH.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSCRGR.EXE
C:WINDOWSCRGR.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSCRGR.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSWINGQ.EXE
C:WINDOWSWINGQ.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSATLWX32.EXE
C:WINDOWSATLGH.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:PROGRAMMIINTERNET EXPLORERIEXPLORE.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMIPFS.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMIEFZ32.EXE
C:WINDOWSWINLN32.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSSYSTEMMSXF.EXE
C:WINDOWSIPXA.EXE
C:TEMPANTIVIRUSHIJACKTHISHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWS sobf.dll/sp.html#96676
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://tsobf.dll/index.html#96676
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://tsobf.dll/index.html#96676
O4 - HKLM..RunServices: [D3CI.EXE] C:WINDOWSSYSTEMD3CI.EXE
O4 - HKLM..RunServices: [JAVAHM.EXE] C:WINDOWSJAVAHM.EXE
O4 - HKLM..RunServices: [APPFD32.EXE] C:WINDOWSSYSTEMAPPFD32.EXE
O4 - HKLM..RunServices: [NETWV32.EXE] C:WINDOWSNETWV32.EXE
O4 - HKLM..RunServices: [IEFZ32.EXE] C:WINDOWSSYSTEMIEFZ32.EXE
O4 - HKLM..RunServices: [MFCRH.EXE] C:WINDOWSSYSTEMMFCRH.EXE
O4 - HKLM..RunServices: [CRGR.EXE] C:WINDOWSCRGR.EXE
O4 - HKLM..RunServices: [WINGQ.EXE] C:WINDOWSWINGQ.EXE
O4 - HKLM..RunServices: [ATLWX32.EXE] C:WINDOWSATLWX32.EXE
O4 - HKLM..RunServices: [IPFS.EXE] C:WINDOWSSYSTEMIPFS.EXE
O4 - HKLM..RunServices: [WINLN32.EXE] C:WINDOWSWINLN32.EXE
O4 - HKLM..RunServices: [IPXA.EXE] C:WINDOWSIPXA.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Ciao

[crazy.cat]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWS sobf.dll/sp.html#96676
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://tsobf.dll/index.html#96676
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://tsobf.dll/index.html#96676
O4 - HKLM..RunServices: [D3CI.EXE] C:WINDOWSSYSTEMD3CI.EXE
Se il pc fosse mio andrei con un format c: immediato, hai un caos notevole in quel pc.
Non hai ripristinato i backup di hijackthis come ti avevo detto?

Questi file sono praticamente sconosciuti,un paio sono spyware sicuramente, gli altri probabili virus?
Questi sono spyware
O4 - HKLM..RunServices: [JAVAHM.EXE] C:WINDOWSJAVAHM.EXE
O4 - HKLM..RunServices: [WINGQ.EXE] C:WINDOWSWINGQ.EXE
Questi ?????
O4 - HKLM..RunServices: [APPFD32.EXE] C:WINDOWSSYSTEMAPPFD32.EXE
O4 - HKLM..RunServices: [NETWV32.EXE] C:WINDOWSNETWV32.EXE
O4 - HKLM..RunServices: [IEFZ32.EXE] C:WINDOWSSYSTEMIEFZ32.EXE
O4 - HKLM..RunServices: [MFCRH.EXE] C:WINDOWSSYSTEMMFCRH.EXE
O4 - HKLM..RunServices: [CRGR.EXE] C:WINDOWSCRGR.EXE
O4 - HKLM..RunServices: [ATLWX32.EXE] C:WINDOWSATLWX32.EXE
O4 - HKLM..RunServices: [IPFS.EXE] C:WINDOWSSYSTEMIPFS.EXE
O4 - HKLM..RunServices: [WINLN32.EXE] C:WINDOWSWINLN32.EXE
O4 - HKLM..RunServices: [IPXA.EXE] C:WINDOWSIPXA.EXE

Adesso sono fuori sede e non riesco a fare delle ricerche approfondite, cerca di rispondermi entro sera su cosa decidi di fare sul tuo pc.

[Lucio Fabbri]

Sono commosso dalla tua disponibilità; comunque vada mi sei stato di grande aiuto.
Ho fatto il restore di tutto quello che ho trovato ma c'erano solo due files.
Non vorrei formattare, se possibile, perché è pieno di cose, programmi, dati, lavori, ecc.
Dovrebbe essere l'estrema soluzione, ma mi comporterebbe un notevole lavoro nel ripristinare i programmi e tutti i lavori fatti.
Se si può correggere sarebbe meglio.
Ciao

[crazy.cat]

Allora proviamo a combattere.
Reinstallati intanto un antivirus e un firewall perché al momento non li hai attivi ed è bene metterli.
scaricati è aggiorna subito Adware e fagli fare la scansione e pulizia di tutto quello che trova, così intanto eliminiamo un po di spyware.
Con hijackthis metti il flag su queste voci e premi fix così eliminiamo questi.
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWS sobf.dll/sp.html#96676
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://tsobf.dll/index.html#96676
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://tsobf.dll/index.html#96676
Più tardi provo a mandarti un sistema per fare uno scan dei virus dal dos in modo da fare pulizia di tutto quello che c'è nel tuo pc (e di sicuro c'è parecchio)

[Lucio Fabbri]

OK!
Mi sono dimenticato di dirti che ho installato Norton Antivirus 2003 con il live update installato; l'ho fatto girare più di una volta ma non mi ha trovato niente!
Cioè 0 (zero) files infetti con norton antivirus e 116 (centosedici) con quello in linea che mi hai mandato tu!
Farò come hai detto.
Ciao,

[crazy.cat]

3 antivirus freeware, provali e ti troverai meglio che con norton
Avast http://www.avast.com/i_idt_1016.html
Avg http://www.grisoft.com/us/us_dwnl_free.php
Antivir http://www.free-av.com/index.htm

Scarica questo programma e installalo e poi segui le istruzioni più sotto, ti crei una serie di 3/4 floppy e avvii il pc con questi e gli fai fare la scansione del pc da dos e dovresti riuscire a pulire abbastanza bene il tuo pc.

https://secure.nai.com/us/forms/downloa ... 1RC2EN.ZIP

Aggiornamento del Sdat antivirus
Da questo sito potete scaricarvi l'ultima versione del superdat sdat4375.exe scegliete la versione italiana.

http://www.networkassociates.com/it/dow ... perdat.asp

Mettete il file sdat4375.exe in una directory a parte, da start - esegui (utilizzando sfoglia cercate la vostra directory dove avete copiato il file) lanciate il comando

"D:Update Antivirussdat4375.exe" /e (mantenete gli " ")
questo scompatterà il file sdat4375.exe nella directory.

Cleanboot Mc.afee
Lanciate il comando Clnbtmgr.exe dalla directory dove avete installato il programma Cleanboot e vi appare la finestra principale del programma.
1) Selezionate Update DAT’s vi apparirà una finestra dove con browse andrete a selezionare la directory dove avete scompattato il Sdat.
Premete poi Update
e dovrebbe comparirvi il messaggio di conferma dell’avvenuto aggiornamento.
2) Selezionate il pulsante Select language ,scegliete Italian e poi premete Select.
3) In Generation Options scegliete l’opzione che volete ,
Write immediatly to floppy disk , al momento crea 3 floppy disk autoavviabili da cui far partire la scansione.
Cd image (ISO 9660) crea un immagine Iso che dovrà poi essere masterizzata su un cd usando Nero burning rom o un altro software adatto a masterizzare immagini Iso.
Dato l’immagine deve essere riscritta ogni volta che si aggiorna il Sdat si consiglia di usare un cd riscrivibile.

A questo punto inserite nel pc i floppy o il cd di boot che vi siete creati e riavviate il computer.

Avvio della scansione

Una volta caricato il Sw di cleanboot avrete una schermata di scelta dove potrete modificare le seguenti opzioni
F5 Scan level : seleziona i files che verranno controllati, se messo su high saranno controllati tutti.
F6 Archive support : se On,controlla anche i files all’interno di archivi compressi
F7 Cleaning : se On, pulisce in automatico i file infetti.
F8 Logging : se On,permette di salvare il file di log della scansione su un floppy.

Altre scelte:
Scan all volumes Avvia la scansione vera e propria.
List volumes Mostra i dischi o le partizioni presenti.
Last scan result Mostra i risultati dell’ultima scansione.
Version information Verifica il livello di aggiornamento dell’antivirus.
Help Spiegazioni sui settaggi e sul funzionamento
Exit and reboot Riavvia il pc.