Premessa: SONO UNA RAGAZZA

[purpetta]

Sono una ragazza quindi non me ne vogliate se sarò un pò scema.
Ormai il mio pc va da solo. Si aprono finestre di explorer e il pc si riavvia da solo.
Ho provato a leggere nelle soluzioni che proponete e ho usato hijackthis con il seguente risultato:

Logfile of HijackThis v1.99.0
Scan saved at 19.54.45, on 14/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Norman\Bin\Zanda.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINNT\system32\iexplorer\a.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\windows\adtech2006a.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmi\Common Files\VCClient\VCMain.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\explorer.exe
C:\Programmi\eMule\emule.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\startupmgr.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Update Service] update32.pif
O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\Run: [SVCH Service] svch32.pif
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [Updt Service] updt.pif
O4 - HKLM\..\Run: [REGRUN] C:\WINNT\system32\iexplorer\a.exe
O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\kwiikr.exe reg_run
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\ABox.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\RunServices: [Windows Update Service] update32.pif
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [SVCH Service] svch32.pif
O4 - HKLM\..\RunServices: [Updt Service] updt.pif
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Windows Update Service] update32.pif
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\Run: [SVCH Service] svch32.pif
O4 - HKCU\..\Run: [Updt Service] updt.pif
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O4 - HKCU\..\Run: [CU2] C:\Programmi\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\RunServices: [Windows Update Service] update32.pif
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [SVCH Service] svch32.pif
O4 - HKCU\..\RunServices: [Updt Service] updt.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1168352.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{73F00002-A101-45BD-AE92-C0CA303E47AA}: NameServer = 85.37.17.51 151.99.125.1
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio amministrativo di Gestione disco logico - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norman API-hooking helper - Unknown - C:\Programmi\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman ZANDA - Unknown - C:\Programmi\Norman\Bin\Zanda.exe
O23 - Service: windows setup manager - Unknown - C:\WINNT\startupmgr.exe


Sono disperata, se qualcuno può spiegarmi come fare (senza paroloni difficili vi prego) gli sarei enormemente grata.

Silvia

[LUPO21]

cancella:
C:\WINNT\system32\iexplorer\a.exe
O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1168352.exe

poi guarda qui: http://hijackthis.de/index.php#anl perchè devo controllare se conosci i processi in giallo,e se nn li conosci cancellali!
ciao ciao!

[purpetta]

per il momento inizio a ringraziarti, ho cancellato il primo della lista ma gli altri nn so dove recuperarli. I gialli nn li conosco, nemmeno uno...
cmq noto che sei dei castelli come me...
Grazie ancora

[nykky]

Sono una ragazza quindi non me ne vogliate se sarò un pò scema.

perchè?

[LUPO21]

per il momento inizio a ringraziarti, ho cancellato il primo della lista ma gli altri nn so dove recuperarli. I gialli nn li conosco, nemmeno uno...
cmq noto che sei dei castelli come me...
Grazie ancora

si sono anche io dei castelli! cmq se li nn li trovi,segnateli e vai in modalità provvisoria e cancellali da li! per quelli gialli nn so che dirti,forse qualcuno appartiene ai tuoi programmi e nn lo sai! aspetta per quelli qualcuno più informato di me!

[Heba]

questi sono tutti da eliminare:

adtech2006a.exe

dovrebbe appartenere a "Prince of persia" il gioco, quindi se ce l'hai installato sul pc disistallalo altrimenti appena lo reinstalli, sarai punto e a capo.

C:\Programmi\Common Files\VCClient\VCMain.exe

è uno spyware anche detto Vsmon.exe quindi eliminalo

C:\WINNT\startupmgr.exe

altro spy eliminare.


O4 - HKLM\..\Run: [Windows Update Service] update32.pif

O4 - HKLM\..\Run: [System Updates Service] updates.pif

O4 - HKLM\..\Run: [SVCH Service] svch32.pif

O4 - HKLM\..\Run: [Updt Service] updt.pif

O4 - HKLM\..\Run: [REGRUN] C:\WINNT\system32\iexplorer\a.exe

O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\kwiikr.exe reg_run (questo modifica i file di registro e le rispettive chiavi)

O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\ABox.exe

O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe (questo viene segnalato come trojan quindi esseno uguale a primo che ti ho detto che è segnato in giallo, penso che il trojan ti sia arrivato direttamente da quel gioco, se lo hai installato o scaricato o altro.

O4 - HKLM\..\RunServices: [Windows Update Service] update32.pif

O4 - HKLM\..\RunServices: [System Updates Service] updates.pif

O4 - HKLM\..\RunServices: [SVCH Service] svch32.pif

O4 - HKLM\..\RunServices: [Updt Service] updt.pif

O4 - HKCU\..\Run: [Windows Update Service] update32.pif

O4 - HKCU\..\Run: [System Updates Service] updates.pif

O4 - HKCU\..\Run: [SVCH Service] svch32.pif

O4 - HKCU\..\Run: [Updt Service] updt.pif

O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe

O4 - HKCU\..\Run: [CU2] C:\Programmi\Common Files\VCClient\VCMain.exe

O4 - HKCU\..\RunServices: [Windows Update Service] update32.pif

O4 - HKCU\..\RunServices: [System Updates Service] updates.pif

O4 - HKCU\..\RunServices: [SVCH Service] svch32.pif

O4 - HKCU\..\RunServices: [Updt Service] updt.pif

O17 - HKLM\System\CCS\Services\Tcpip\..\{73F00002-A101-45BD-AE92-C0CA303E47AA}: NameServer = 85.37.17.51 151.99.125.1

O23 - Service: windows setup manager - Unknown - C:\WINNT\startupmgr.exe


penso sia tutto...

[Dylan666]

Per una futura prevenzione e auto-eliminazione degli spyware:

http://www.pc-facile.com/combattere_spyware_t111274/

http://www.pc-facile.com/guida_hijackthis_t148946/

[purpetta]

sono scema perchè non capisco... ho provato a cancellare tutto ma nulla e poi nn capisco i processi run come faccio a eliminarli?

[Luke57]

sono scema perchè non capisco... ho provato a cancellare tutto ma nulla e poi nn capisco i processi run come faccio a eliminarli?

Non ti abbattere troppo.... oltre alla guida di hijackthis segnalata da Dylan, guarda anche questa
http://www.aiutamici.com/software/descr ... CodSw=1175
La voce 017 non la spuntare, penso sia il tuo server per la connessione.

[Dylan666]

sono scema perchè non capisco... ho provato a cancellare tutto ma nulla e poi nn capisco i processi run come faccio a eliminarli?

Va i modalità provvisoria, seleziona le chiavi dette prima che ritrovi nella lista di HijackThis, premi fix e poi resetta. Fai un nuovo log da modalità normale e faccelo vedere

[purpetta]

Logfile of HijackThis v1.99.0
Scan saved at 21.37.34, on 15/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\kwiikr.exe reg_run
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73F00002-A101-45BD-AE92-C0CA303E47AA}: NameServer = 85.37.17.51 151.99.125.1
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio amministrativo di Gestione disco logico - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[LUPO21]

ti è rimasto da eliminare:
O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\kwiikr.exe reg_run
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O17 - HKLM\System\CCS\Services\Tcpip\..\{73F00002-A101-45BD-AE92-C0CA303E47AA}: NameServer = 85.37.17.51 151.99.125.1
dopodiche stai pure tranquilla e installa un firewall!
ciao ciao

[Dylan666]

La voce O17 NON va eliminata e se la elimina tanto si ricrea disconnettendo e riconnettendo il modem dato che quelli sono i DNS li assegna a ogni connessione la compagnia internet per farci navigare

Le altre due voci 04 segnalate da LUPO21 vanno tolte e bisogna controllare dopo un reset che non si siano ricreate.
Dai anche uno sguardo alle proprietà di ctfmon.exe e guarda se è roba di Office

[Heba]

scusate, tanto per capire anche io dove sbaglio, la voce O17 ho detto che andava eliminata semplicemente perchè gli ip del server che compaiono sono gli stessi che compaiono in molti log di Hjt che sono stati postati ultimamente quindi, paranoicamente, ho pensato che fosse un rootkit installato e che ci fosse qualcuno in ascolto sul server, visto che comunque gli ip sono due e non uno.
Altre soluzioni, mi vengono in mente che lavorino tutti nello stesso ufficio o che siano la stessa persona, ma queste due mi sembrano ancora da paranoica reale, quindi se qualcuno gentilmente mi spiega come fare a capire se si tratta di un rootkit o di del suo server, ringrazio...sto comunque imparando...

[purpetta]

ho cancellato le voci che mi avete detto e ho controllato se c'erano ancora... non c'erano ma le finestre continuano ad aprirsi

[Dylan666]

scusate, tanto per capire anche io dove sbaglio, la voce O17 ho detto che andava eliminata semplicemente perchè gli ip del server che compaiono sono gli stessi che compaiono in molti log di Hjt

Essendo quelli dei DNS ed è normale che vengano forniti sempre in coppia. In genere se ci si vuole levare il dubbio io utilizzo questa pagina e faccio un IPWHOIS Lookup su quegli indirizzi.

http://www.dnsstuff.com/

Se vedo nomi di compagnie italiane

[Dylan666]

Se vedo nomi di provider italiani dicevo, è tutto ok

ho cancellato le voci che mi avete detto e ho controllato se c'erano ancora... non c'erano ma le finestre continuano ad aprirsi

Mi fai vedere una foto di queste finestre?
http://www.pc-facile.com/guide/linkare_ ... ine_forum/

[Luke57]

Logfile of HijackThis v1.99.0

Ciao, scarica la versione più recente di hijacthis è la 1.99.1 qui e prova a rifare il log con tale versione.

[Heba]

scusate, tanto per capire anche io dove sbaglio, la voce O17 ho detto che andava eliminata semplicemente perchè gli ip del server che compaiono sono gli stessi che compaiono in molti log di Hjt

Essendo quelli dei DNS ed è normale che vengano forniti sempre in coppia. In genere se ci si vuole levare il dubbio io utilizzo questa pagina e faccio un IPWHOIS Lookup su quegli indirizzi.

http://www.dnsstuff.com/

Se vedo nomi di compagnie italiane

ok...grazie...ma, domanda, sarà stupida, ma mi è venuta in mente così...
non è possibile che ci sia qualcuno in ascolto con quegli ip che abbia compagnie italiane, ossia un hacker italiano? (non sto facendo polemica, giuro vorrei solo capire, grazie)

[Dylan666]

Innanzi tutto è altamente improbabile, in genere chi fa spyware usa server su nazioni in cui le leggi è i controlli non sono affatto severi (Russia, paesi dell'est, dell'Africa ecc). Poi sono rarissimi i casi di spyware che agiscono su quel parametro invece di usare gli HOST, dato che creare dei DNS taroccati è molto più dispendioso che non modificare quel file (si tratta di farsi incanalare e rimbalazare tutte le navigazioni dei computer infetti, un traffico non indifferente).

Comunque come ho detto si può anche provare a toglierli, levare i file sospetti e riconnettersi, tanto si ricreeranno. Ma togliendoli mentre si è connessi dopo diverà impossibile navigare, bisognerà per forza scollegarsi.

PS: le mie osservazioni sono tutte "sul campo" magari se passa qualcuno preparato anche al livello teorico aggiunge altri motivi o corregge le cose che ho detto