Condividi:        

Aiuto! Finestra che collega a sito non richiesto...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Aiuto! Finestra che collega a sito non richiesto...

Postdi nyquist » 15/07/05 20:00

Vi prego aiutatemi non ce la faccio +… Non so + dove sbattere la testa…

Scusate la premessa, ma onestamente non so proprio più che fare :cry: .

Da un po’ di tempo sul pc mi compare questa finestra:


attenzione il contenuto che segue è vietato ai minori di 18 anni
clicca no x l'accesso x 30 minuti al costo di 15 euro
clicca si x la connessione a 3 euro al minuto
x chiudere il programma componi f4+alt
ecc.ecc. il tutto mandato da @gmail.com

inoltre, documenti mi appare un'icona di internet Explorer e un icona winmovieplugin. E l’indirizzo predefinito di explorer diventa http://www.skymasters.biz?1462

Non so proprio come fare per porre rimedio. :(

Inoltre, il PC prova a collegarsi (si collega) automaticamente alla rete… Se non avessi l’ADSL, non so cosa accadrebbe… Con l’analogico mi ritroverei ad accedere a qualche schifezza a pagamento, almeno credo…

Come volevasi dimostrare…. Mentre vi scrivo (con word), ecco partire la connessione ad internet ed avviarsi tutto il processo.

Vi prego aiutatemi.
Ho lanciato HijackThis.exe questo è quello che mi dice

Logfile of HijackThis v1.99.1
Scan saved at 20.43.40, on 15/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\hbvjpril.exe
C:\Documents and Settings\christian\Dati applicazioni\sgrunt\IE4321.exe
C:\WINDOWS\avsoft.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\avsoft.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HDAudio Driver 2.0] C:\WINDOWS\system32\hbvjpril.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\christian\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7535222578
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://fax.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE


Non sono esparto di computer per questo vi domando una grande cortesia, potreste indicarmi, se vi sono, tutte le procedure da compiere per risolvere il problema…

Vi ringrazio anticipatamente per tutto.

Un grande saluto,

nyquist
nyquist
Utente Junior
 
Post: 19
Iscritto il: 15/07/05 18:57

Sponsor
 

Postdi toni84 » 15/07/05 21:25

ciao allora disattiva il ripristino di configurazione di sistema e avvia in modalita provvisoria avvia hijack e cancella queste stringhe:

C:\WINDOWS\system32\hbvjpril.exe

C:\Documents and Settings\christian\Dati applicazioni\sgrunt\IE4321.exe

O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\christian\Dati applicazioni\sgrunt\IE4321.exe

O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\christian\Datiapplicazioni\sgrunt\IE4321.exe

O15 - Trusted Zone: http://www.archiviosex.net

O15 - Trusted Zone: http://www.linkautomatici.com

O15 - Trusted Zone: http://www.redfunny.com

O15 - Trusted Zone: http://www.sgrunt.biz

O15 - Trusted Zone: http://www.skymasters.biz

O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://fax.tiscali.it/netphone/ocx/mosquito.cab

con la funzione cerca(opzioni cartella metti la spunta su visualizza file e cartelle nascoste)trova ed elimina se presenti questi file:

hbvjpril.exe
IE4321.exe
hbvjpril.exe

elimina queste cartella:
sgrunt

sottoponi a scansione con virus total e jotti i seguenti file:
C:\WINDOWS\avsoft.exe
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i

http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/

per ripristinare la trusted zone puoi usare questo script
SCARICARE LO SCRIPT DA QUI:
http://www.mvps.org/winhelp2002/DelDomains.inf
file>salvare la pagina una volta salvata in modalita provvisoria fai girare lo script cliccandoci sopra finito tutto ripeti le varie scansioni con l'antivirus e l'antispy(li puoi trovare nella sezione download)pulisci con ccleaner i file temporanei i cookie e via dicendo con regseeker le chiavi vecchie o non + usate(sezione download)

buon lavoro ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi nyquist » 15/07/05 23:18

Molte grazie. Ora mi organizzo con tutto il necessario e avvio l’operazione.

Ci sono un paio di cose però che vorrei domandarti:

In modalità provvisoria il mio PC non ha l’accesso ad internet, come posso fare per i punti che mi hai indicato:

sottoponi a scansione con virus total e jotti i seguenti file:
C:\WINDOWS\avsoft.exe
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i


Si i file sono presenti, ma tra il 1° ed il 3° che differenza c’è?

hbvjpril.exe
IE4321.exe
hbvjpril.exe

Volevo sapere che operazione è questa, a cosa serve?

per ripristinare la trusted zone puoi usare questo script
SCARICARE LO SCRIPT DA QUI:
http://www.mvps.org/winhelp2002/DelDomains.inf
file>salvare la pagina una volta salvata in modalita provvisoria fai girare lo script ciccandoci


Vanno bene

Norton e spybot come antivirus e antispy?

Ancora molte grazie.

Un saluto,

nyquist
nyquist
Utente Junior
 
Post: 19
Iscritto il: 15/07/05 18:57

Postdi toni84 » 16/07/05 00:18

ciao allora adesso rispondo alle tue domande
1-in modalita provvisoria non c'è la connessione perchè il sistema carica solo i servizi e le periferiche essenziali e la connessione non è tra queste per connetterti devi selezionare la voce "Avvia in modalita provvisoria con rete"una cosa simile
2-la scansione dei file la devi fare quando hai finito di far tutto,oppure prima che accedi in modalita provvisoria
3-la differenza non la so,so solo che sono tutti eseguibili sconosciuti nessuna informazione è non è un buon segno quindi vanno eliminati
4-certe volte hijack non riesce a ripristinare la trusted zone(stringhe 015)allora con quello script le cose dovrebbero tornare apposto!!
5-potresti scaricare adware se personal 1.6 lo trovi sul sito il software http://www.ilsoftware.itcon anche il language pack in italiano!!!ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi nyquist » 18/07/05 12:56

Ciao.

Volevo ringraziarti!

Ho fatto le procedure che mi hai detto, e credo che +o- ci siamo… anche se queste due non credo di averle fatte correttamente:

sottoponi a scansione con virus total e jotti i seguenti file:
C:\WINDOWS\avsoft.exe
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i

In ogni caso ora non si collega + al sito di prima, e non carica + i vari collegamenti sul desktop, ecc…

Continua però a rimanere un problema.

Ogni tanto (abbastanza spesso in realtà), il PC si SCOLLEGA dall’ADSL e nella finestra di dialogo “Connessione remota”, nella casella “Connetti a” appare l’indicazione del modem analogico (e non + quello dell’ADSL) e nelle caselle nome utente e password le voci risultano cancellate.

Temo ci sia ancora qualcosa…
Mi potresti aiutare…non vorrei abusare del tuo tempo e della tua cortesia.

Ancora grazie,

un saluto,

nyquist
nyquist
Utente Junior
 
Post: 19
Iscritto il: 15/07/05 18:57

Postdi Tiseria » 18/07/05 14:29

Se ti scollega vuoldire che sei ancora infetta con il dialer.

Prova con Virit, lo trovi sul sito http://www.tgsoft.it
Lancia la scansione dalla modalita' provvisoria...
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi Dylan666 » 18/07/05 16:55

Senza che scarichi nulla di inutile, posta semplicemente un nuovo log e vediamo se è stato tolto tutto.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Tiseria » 18/07/05 17:37

Dylan666 ha scritto:Senza che scarichi nulla di inutile, posta semplicemente un nuovo log e vediamo se è stato tolto tutto.


Virit inutile ?

Si vede che tu non lo hai mia provato... strano che risolva quando i "famosi" falliscono alla grande!

vedi NAIL, Sgrunt e altri casi di questo forum.

Ciao
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi toni84 » 18/07/05 17:42

Tiseria ha scritto:
Dylan666 ha scritto:Senza che scarichi nulla di inutile, posta semplicemente un nuovo log e vediamo se è stato tolto tutto.


Virit inutile ?

Si vede che tu non lo hai mia provato... strano che risolva quando i "famosi" falliscono alla grande!

vedi NAIL, Sgrunt e altri casi di questo forum.

Ciao


bhe sinceramente personalmente non ho nemmeno voglia di provarlo,ce ne sono migliaia di programmi migliori di questo Virit se vuoi ti faccio alcuni nomi?ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi nyquist » 18/07/05 17:44

Ho riavviato il PC, e questo è quello che risulta.

Logfile of HijackThis v1.99.1
Scan saved at 18.36.55, on 18/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\avsoft.exe
C:\WINDOWS\newsd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\avsoft.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchoest2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i
O4 - HKLM\..\Run: [newsfeed12] C:\WINDOWS\newsd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7535222578
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://fax.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O20 - Winlogon Notify: -doebxigk - C:\WINDOWS\system32\fldoeb.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE


Infinite grazie a tutti.

Un saluto,

nyquist
nyquist
Utente Junior
 
Post: 19
Iscritto il: 15/07/05 18:57

Postdi Dylan666 » 18/07/05 17:56

Tiseria ha scritto:Virit inutile ?

Si vede che tu non lo hai mia provato... strano che risolva quando i "famosi" falliscono alla grande!

vedi NAIL, Sgrunt e altri casi di questo forum.


Lo ridico per l'ennesima volta: è un software sconosciuto, dal sito squallido, dall'interfaccia antidiluviana e che più che occuparsi di virus ha la fortuna di non cavarsela male con qualche spyware che (almeno qualche tempo fa) molti concorrenti non riconoscevano.
Fra l'altro non è nemmeno gratuito, e a parte quei 3 casi che citi non so nemmeno quanto possa essere potente contro infezioni VERE.

Oltretutto l'aggetivo "intuile" è dato dal fatto che le uniche 3 cose che sai che elimina (e che ripeti tutte le volte) si possono levare a mano, con un prodotto freeware (hijackthis) e che non scade mai.

Non capisco perché devi continuare a propinarcelo come la soluzione alle infezioni mondiali di tutti i codici malevoli quando al massimo ti ha tolto uno spyware che con un po' di esperienza ti levavi da solo con 2 chiavi.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi toni84 » 18/07/05 18:22

ciao allora come ti ho detto l'altra volta devi far scansionare questi file con virus total e jotti
http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/


C:\WINDOWS\newsd.exe
C:\WINDOWS\avsoft.exe
C:\WINDOWS\avsoft.exe /i
C:\WINDOWS\system32\fldoeb.dll
C:\WINDOWS\System32\LgNotify.dll
C:\WINDOWS\newsd.exe

da fissare ed eliminare solo questo per il momento:

O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchoest2.dll

ciao ciao





Dylan666 ha scritto:Lo ridico per l'ennesima volta: è un software sconosciuto, dal sito squallido, dall'interfaccia antidiluviana e che più che occuparsi di virus ha la fortuna di non cavarsela male con qualche spyware che (almeno qualche tempo fa) molti concorrenti non riconoscevano.
Fra l'altro non è nemmeno gratuito, e a parte quei 3 casi che citi non so nemmeno quanto possa essere potente contro infezioni VERE.

Oltretutto l'aggetivo "intuile" è dato dal fatto che le uniche 3 cose che sai che elimina (e che ripeti tutte le volte) si possono levare a mano, con un prodotto freeware (hijackthis) e che non scade mai.

Non capisco perché devi continuare a propinarcelo come la soluzione alle infezioni mondiali di tutti i codici malevoli quando al massimo ti ha tolto uno spyware che con un po' di esperienza ti levavi da solo con 2 chiavi.

:lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: [/quote]
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi nyquist » 18/07/05 20:26

L'indirizzo http://www.virustotal.com/flash/index_en.html on si carica... dopo riprovo

Ho utilizzato nel frattempo http://virusscan.jotti.org/

Questi i risultati:

C:\WINDOWS\newsd.exe

Jotti: INFECTED/MALWARE
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found Downloader.Small.30.AE
BitDefender Found Trojan.Downloader.Agent.KY
ClamAV Found Trojan.Downloader.Agent-62
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.ky
NOD32 Found Win32/TrojanDownloader.Agent.NBO
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Trojan.Downloader.Agent.19 (probable variant)


C:\WINDOWS\avsoft.exe

Jotti: INFECTED/MALWARE
AntiVir Found BDS/Webdor.V
ArcaVir Found Trojan.Webdor.X
Avast Found nothing
AVG Antivirus Found BackDoor.Generic.EWI
BitDefender Found Backdoor.Webdor.X
ClamAV Found nothing
Dr.Web Found BackDoor.WebDor
F-Prot Antivirus Found nothing
Fortinet Found W32/Bdoor.IP-bdr
Kaspersky Anti-Virus Found Backdoor.Win32.Webdor.x
NOD32 Found Win32/Webdor.Q
Norman Virus Control Found nothing
UNA Found Backdoor.Webdor
VBA32 Found Backdoor.Win32.Webdor.x


C:\WINDOWS\avsoft.exe /i
Questo non ho capito che file è, come faccio a fare lo scan.



C:\WINDOWS\system32\fldoeb.dll
Status: OK



C:\WINDOWS\System32\LgNotify.dll
Status: OK


C:\WINDOWS\newsd.exe
Si ripete (è uguale al primo)


Che devo fare?

Un saluto,

nyquist
nyquist
Utente Junior
 
Post: 19
Iscritto il: 15/07/05 18:57

Postdi toni84 » 18/07/05 21:31

ciao allora elimina questi file mi raccomando devi visualizzare i file e le cartelle nascoste e come opzioni di ricerca metti:cerca nei file e nelle cartelle nascoste,nei file di sistema e nelle sottocartelle:
prima di eliminarli scansione quei tre file qui:
http://www.ravantivirus.com/scan/indexn.php se ti individua qualcosa scriviti i nomi,poi elimina quei file e ripostami il log!!ciao ciao

newsd.exe
avsoft.exe
avsoft.exe /i
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi nyquist » 18/07/05 22:03

Allora per non sbagliare vediamo di capire…

Cerco i file:

newsd.exe
avsoft.exe
avsoft.exe /i

Solo e soltanto questi.

- Li passo alla scansione con http://www.ravantivirus.com/scan/indexn.php
- Segno eventuale log che mi dà
- Elimino i tre file
- Ti riposto l’eventuale log che mi hanno dato


Continuo però a non capire una cosa. Come faccio a trovare questo file avsoft.exe /i? Il sistema non lo trova. Riesco a trovare solo gli altri 2.

Cos’è quella /i? Anche nell’operazione di prima non sono riuscito a farne la scansione perché non me lo trovava.

Il file è avsoft.exe, ma cos’è quel /i?
Come lo trovo il file?
Che differenza c’è con avsoft.exe?

Scusami, ma un passaggio che non mi è chiaro.

Molte grazie.

un saluto,

nyquist
nyquist
Utente Junior
 
Post: 19
Iscritto il: 15/07/05 18:57

Postdi toni84 » 18/07/05 22:31

ciao sono io che sono stato poco chiaro prima fai la scansioni di quei tre file(se uno non lo trovi non importa poi vedremo come fare)se ti trova qualcosa te lo segni'cancelli quei file e mi riposti il log di hijack e nel caso quello dell'antivirus on-line!!spero di essere stato chiaro ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Tiseria » 19/07/05 07:53

Dylan666 ha scritto:Lo ridico per l'ennesima volta: è un software sconosciuto, dal sito squallido, dall'interfaccia antidiluviana e che più che occuparsi di virus ha la fortuna di non cavarsela male con qualche spyware che (almeno qualche tempo fa) molti concorrenti non riconoscevano.
Fra l'altro non è nemmeno gratuito, e a parte quei 3 casi che citi non so nemmeno quanto possa essere potente contro infezioni VERE.

Oltretutto l'aggetivo "intuile" è dato dal fatto che le uniche 3 cose che sai che elimina (e che ripeti tutte le volte) si possono levare a mano, con un prodotto freeware (hijackthis) e che non scade mai.

Non capisco perché devi continuare a propinarcelo come la soluzione alle infezioni mondiali di tutti i codici malevoli quando al massimo ti ha tolto uno spyware che con un po' di esperienza ti levavi da solo con 2 chiavi.


Infatti ho visto come Hijackthis ha risolto i casi NAIL e ABOUT:BLANK.
oppure non te lo ricordi ? ho fai finta... diciamo che e' sconosciuto solo a te.. aggiornati.

Per quanto riguarda la validita' di un prodotto anti-virus non va giudicato per l'aspetto ma se prende i virus.... e siccome ne ho provati tanti di AV sul campo.. ti posso dire che vi sono tanti falsi miti di AV.

non siamo mica ad una sfilata di moda.... perche' altrimenti ti consiglio i prodotti della Symantec.... tanto belli e pesanti!

Dopo Hijackthis elimina solo le voci di registro e non trova nemmeno tutti i programmi/moduli che vanno in esecuzione automatica...

Qui' chiudo perche' non voglio fare nessuna polemica....

Questo e' un paese libero e ognuno puo' esprimere la sua opinione, vale per te e vale per me.

Saluti
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi nyquist » 19/07/05 08:07

Questo il risultato della scansione...

Che faccio procedo con l'eliminazione?

newsd.exe

RAV AntiVirus command line for Linux i386.
Version: 8.4.3.
Copyright (c) since 1995 GeCAD The Software Company. All rights reserved.

Scan engine 8.11 for i386.
Last update: Sun, 12 Jun 2005 06:50:13 +0300
Scanning for 128372 malwares (viruses, trojans and worms).

Scan started on Tue Jul 19 10:00:28 2005

newsd.exe - OK

Scan ended on Tue Jul 19 10:00:28 2005


Scan results:
Time: 0 second(s).
Objects scanned: 1. New objects: 1
Infected: 0. Different virus bodies: 0.
Files: 1. Directories: 0. Archives: 0. Packed: 1. Mail files: 0.
Warnings: 0.


avsoft.exe


RAV AntiVirus command line for Linux i386.
Version: 8.4.3.
Copyright (c) since 1995 GeCAD The Software Company. All rights reserved.

Scan engine 8.11 for i386.
Last update: Sun, 12 Jun 2005 06:50:13 +0300
Scanning for 128372 malwares (viruses, trojans and worms).

Scan started on Tue Jul 19 10:02:20 2005

avsoft.exe - OK
/tmp/phpe5y2JS->(UPXW) - OK

Scan ended on Tue Jul 19 10:02:20 2005


Scan results:
Time: 0 second(s).
Objects scanned: 2. New objects: 2
Infected: 0. Different virus bodies: 0.
Files: 1. Directories: 0. Archives: 0. Packed: 1. Mail files: 0.
Warnings: 0.


avsoft.exe /i

Non trovato
nyquist
Utente Junior
 
Post: 19
Iscritto il: 15/07/05 18:57

Postdi Tiseria » 19/07/05 08:47

nyquist ha scritto:RAV AntiVirus command line for Linux i386.
Version: 8.4.3.
Copyright (c) since 1995 GeCAD The Software Company. All rights reserved.

Scan engine 8.11 for i386.
Last update: Sun, 12 Jun 2005 06:50:13 +0300
Scanning for 128372 malwares (viruses, trojans and worms).

Scan started on Tue Jul 19 10:00:28 2005

newsd.exe - OK

Scan ended on Tue Jul 19 10:00:28 2005


Si tratta del Trojan.Win32.Agent.DB

Che viene gia' intercettato da Virit dal 05/03/2005.

Come ti avevo gia' scritto ti conviene installare Virit versione 5.2.28 dal sito http://www.tgsoft.it

Oltre a newsd.exe devi eliminare avsoft.exe.

Molto sospetto è il file C:\WINDOWS\system32\fldoeb.dll

vediamo il resoconto di Virit.


Per toni84, sarebbe il RAV l'anti-virus che conosci meglio di Virit ?
non ha trovato niente.... :D :D :D
aggiornati!
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi toni84 » 19/07/05 17:09

puoi tranquillamente eliminare quei file che risultano infetto anche dal cestino,poi riposta il log di hijach e vediamo se c'è qualcosa da eliminare!!

@tiseria
aggiornati tu e non io,che sei fissata con virit che fa propio schifo e come dice dylan anche l'occhi vuole la sua parte e se vai sul sito di virit trovi una grafica che fa schifo,il sito viene aggiornato una volta all'anno,ed hai il coraggio di dire che è buono?ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Aiuto! Finestra che collega a sito non richiesto...":


Chi c’è in linea

Visitano il forum: Nessuno e 52 ospiti

cron