AIUTO VI PREGO SONO DISPERATO....

[Fred_gatsu]

MA PERCHè NON SI PUò NAVIGARE IN PACE?

[Dylan666]

Vedi che queso è il tuo primo messaggio, benvenuto!
Prima di tutto ti consiglio di leggere la Netiquette così capirai subito i meccanismi che si usano qui ad eempio:

1) mai scrivere tutto in maiuscolo, significa urlare!

2) dare titoli descrittivi del problema, qui tutti sono disperati e cercano aiuto

3) dare più informazioni possibile... dal tuo messaggio non si capisce che problema hai! E poi, che windows usi?

[Fred_gatsu]

IN PRIMIS VI RINGRAZIO,
SOLO PER IL FATTO CHE MI STATE LEGGENDO!

DUNQUE...
DA PRATICAMENTE SEMPRE MA SOPRATTUTTO DA 1 MESETTO

RICEVO, APPENA MI ALLACCIO AD INTERNET, PAGINE CON PUBBLICITà

E FINISCONO QUASI TUTTE CON YYY102 OPPURE YYY65 ECC ECC.

PS (non sto urlando voglio solo evidenziare la gravità)
ho provato davvero tutto ma nn so + che fare...

hijackthis trova alcune irregolarità ma non riesce a fixare bene

infatti poi ritornano imperterriti

questo è il log:


Logfile of HijackThis v1.99.1
Scan saved at 15.52.26, on 17/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\winlogon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Fred\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\pmnli.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DD420A7-CCFC-4140-8B99-8076F50E964F}: NameServer = 85.37.17.55 85.38.28.93
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\mvn4l95q1.dll
O20 - Winlogon Notify: pmnli - C:\WINDOWS\SYSTEM32\pmnli.dll
O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\WINDOWS\winlogon.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing)
O23 - Service: Msn Service (MSNSVC) - Unknown owner - C:\WINDOWS\msnsrv.exe (file missing)
O23 - Service: NetBIOS Helper Service (NetBIOS Helper) - Unknown owner - C:\WINDOWS\System32\nbthlp.exe (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)




per aiutare il vostro aiuto vi ho messo i log che nn si fixano in grassetto



un mio amico ha la connessione flat e da 2 anni scarica letteralmente il finimondo e non ha mai avuto problemi di virus e varegati

lui dice che il suo segreto è che non ha mai istallato un anti-vrus

dice che sono gli anti-virus ad atrarre i virus....



cmq.

se mi potete aiutare vi sarei molto grato

GRAZIE ANTICIPATAMENTE!!!!!


Fred

[Dylan666]

1) qui tutti i problemi hanno la stessa gravita, il maiuscolo è solo fastidioso te lo assicuro

2) la teoria degli antivirus che attraggono virus è una dell epiù grosse castroneria che abbia mai sentito

3) passiamo all'analisi del log

Prima di tutto fisserei questi, stando attento a chiudere TUTTE le finestre di Internet Explorer

O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\pmnli.dll

O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\mvn4l95q1.dll

O20 - Winlogon Notify: pmnli - C:\WINDOWS\SYSTEM32\pmnli.dll

Se nonostante questo non scampaiono provare da modalità provvisoria.

Poi andrei a vedere le proprietà del file C:\WINDOWS\winlogon.exe e controllerei se ne esite un altro con lo stesso nome nella cartella c:\windows\system32

[Fred_gatsu]

scusa per il mess di prima ma è la prima volta che lo faccio

smetterò cn le maiuscole ok ok....


ma tu sai dirmi il perchè?

queste sono alcune di quelle

http://212.239.40.73/land/landing.htm

http://www.mediapurchases.com/normal/yyy102.html

ma perche uno non può andre in internet tranquillo

io dico sempre vivi e lascia vivere ma sti haker

hanno rotto anche 1 pò i ......

che cambia se lo faccio in mod provvisoria?

grazie ancora!

[fabrizius]

Prima di fixare chi che sia ti consiglierei di mettere hijackthis in una cartella a lui dedicato e non sul desktop come hai fatto tu,altrimenti non sarà in grado di fare il backup delle voci eliminate,e se dovrai ripristinare qualcosa non sarà possibile....

[Dylan666]

il perché è semplice: si fanno pubblicità riempiendoti a raffica lo schermo con le finestre dei loro siti, sperando che una volta o l'altra li visiti e spendi da loro

Occhio a quando usi il termine hacker... lo so, i media lo usano sempre quando indicano gente che smanetta col PC per rompere le scatole agli altri, me non sarebbe il termine giusto

http://www.pc-facile.com/glossario/hacker/

Eliminare dei file da modalità provvisoria camabia per questo motivo: in modalità provvisoria vengono caricati solo i file necessari a windows per un avvio minimo, quindi evnetuali virus non vengono lanciati e non risultano in uso se provi a eliminarne i file, ne possono ri-scrivere le chiavi che vai a cancellare.

[fabrizius]

anche questa voce é da eliminare:
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

[Dylan666]

se è per questo lo sono tutte quelle con scritto "(file missing)", ma sono perché sono superflue, non dannose

[fabrizius]

da quanto leggo sembra sia infetto non innocuo,quindi meglio eliminarlo...
anzi io cercherei anche se c'é l'intera cartella e eliminerei anche quella..

[Dylan666]

da quanto leggo sembra sia infetto non innocuo,quindi meglio eliminarlo...

Il file in questione sarà stato pure un virus, ma la dicitura "(file missing)" indica che ne è rimasta solo la chiave di avvio perché, traduco letteralmente, "(il file è mancante)"

[Dylan666]

anzi io cercherei anche se c'é l'intera cartella e eliminerei anche quella..

Forse ho capito male: eminineresti la cartella WINDOWS?
Sconsiglio anche solo di provarci ovviamente...

[fabrizius]

Meno male che ci sei Dylan oggi credo sia meglio che non mi pronunci anche perché non sono perfettamente lucido ed ho già detto 3 caxxxte in due post....
quindi per oggi mi ritiro....scusate l'intromissione e fate come se non avessi detto niente

bye

[Dylan666]

Non ti preoccupare, capita

[Fred_gatsu]

nn ti preoccupare io ne dico tante di caxxate

può capitare di capire male...


ma io nel frattempo ho fatto cio che avete detto ma niente: esito negativo...

però ho trovato nel task menager un certo RUN DLL che se non lo termino mi blocca tutte le istallazioni che voglio fare sul pc....

ma che cavolo io nn ce la faccio +!




secondo me l'unica soluzione è buttare giù dalla finestra il pc...


voi che dite?

[Dylan666]

Dico di provare ancora
In che senso esito negativo? le voci ri-appaiono o cosa?

[Fred_gatsu]

io sono andato nella mod provvisoria

ho fatto ciò che hai detto ma è come se nn lo avessi fatto

non mi ha risolto il problema

uffa

calcola che ho fatto di tutto

ho provato pure spybot14

ma ha trovato solo alcuni

dei maledetti...


ma le pagine continuano a martellarmi

ho provato pure a contattare i tizi che hanno creato il sito che mi
appare

ma mi dicono che è tutto legale

AIUTOOOOO!!!

[Dylan666]

In Start > Esegui dai questo comando:

regsvr32 -u pmnli.dll

Poi cerca quel file e cestinalo.
Dopo usa ancora il programma di prima ma cambiando file:

regsvr32 -u mvn4l95q1.dll

E cestina pure quello.
Infine ri-avvia HjackThis e premi ancora Fix sulle tre voci di prima.
Facci saere se la cancellazione funziona e se le chiavi ri-appaiono.

[lucas/s]

Scarica questo programma
http://www.atribune.org/ccount/click.php?id=7
Chiudi tutte le finestre
Doppio click su Look2Me-Destroyer.exe
Metti la spunta nella casella Run this program as a task
Riceverai un messaggio che ti dice che il programma si chiuderà e riaprirà da solo entro 10 secondo,all'incirca
Clicca su OK
Quando il programma si riapre clicca su Scan for L2M
Il desktop scompare tranquillo è normale
Quando la scansione è terminata clicca su Remove L2M
Quando ricevi il messaggio "Done Scanning" clicca su OK

Quando il tool ha completato riceverai questo messaggio:
Done removing infected files! Look2Me-Destroyer will now shutdown your computer
Clicca su OK
Il pc si riavvierà
Se ricevi un messaggio del firewall che ti dice che l'applicazione si sta connettendo concedi il permesso all'applicazione

Riconnettiti e scarica questo programma
http://www.atribune.org/ccount/click.php?id=4
Doppio click su VundoFix.exe
Spunta la casella Run VundoFix as a task.
Riceverai un messaggio che dice che il programma si chiuderà e riaprirà da solo,clicca su OK
Una volta riaperto clicca su Scan for Vundo
Quando la scansione è terminata clicca su Remove Vundo
Riceverai un messaggio se vuoi eliminare i files clicca su Yes
Dopo che hai cliccati su Yes il desktop scomparirà è normale
Quando il tool ha finito ti chiederà di riavviare clicca su Ok

Al riavvio apri Hijackthis ed elimina queste stringhe(se presenti)
O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\pmnli.dll

O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\mvn4l95q1.dll

O20 - Winlogon Notify: pmnli - C:\WINDOWS\SYSTEM32\pmnli.dll

O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\WINDOWS\winlogon.exe

O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing)

O23 - Service: Msn Service (MSNSVC) - Unknown owner - C:\WINDOWS\msnsrv.exe (file missing)

O23 - Service: NetBIOS Helper Service (NetBIOS Helper) - Unknown owner - C:\WINDOWS\System32\nbthlp.exe (file missing)

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)
-------------------------------------------------------
Apri il block notes di windows,copia e incolla le scritte in grasetto all'interno del block notes

sc stop "aol7.0">servizi.txt
sc delete "aol7.0">servizi.txt
sc stop "Java">servizi.txt
sc delete "Java">servizi.txt
sc stop "NetBIOS Helper">servizi.txt
sc delete "NetBIOS Helper">servizi.txt
sc stop "ServiceHost">servizi.txt
sc delete "ServiceHost">servizi.txt
Start notepad servizi.txt

File>salva con nome(desktop)
Salvalo come "Tutti i files"(è importante)
Chiamalo servizi.bat

Portati sul desktop e doppio click su servizi.bat
Ti si apre il block notes,salva il file sul desktop

Start>pannello di controllo>opzioni cartella>visualizzazione
-Metti la spunta nella casella "Visualizza file e cartelle nascoste"
-TOGLI la spunta dalla casella "Nascondi file di sistema(consigliato)"
-Rispondi di SI al messaggio
-Applica>OK

Elimina i files in rosso(se presenti)
C:\WINDOWS\winlogon.exe ------>Non confonderlo con winlogon.exe che si trova nella cartella C:\Windows\System32
C:\WINDOWS\shost.exe ----------->Non confonderlo con svchost.exe che si trova nella cartella C:\Windows\System32
C:\WINDOWS\System32\winjava.exe
C:\WINDOWS\System32\nbthlp.exe

Riavvia il pc
Gentilmente posta questi log
C:\Look2Me-Destroyer.txt
C:\Vundofix.txt
Servizi.txt
Hijackthis aggiornato

[Fred_gatsu]

tutto questo è molto bello e te ne sono grato del poema ma

il primo link mi fa scaricare L2M ma non mi parte gia da quel momento

quindi se hai 1 link + buono..

lol

mi faresti 1 big favors

thx!