lidretto

Popup & Dialer: "vuoi Connetterti Ora?"

Iniziato da lidretto,

17 messaggi in questa discussione

Inviato (modificato)

Salve a tutti! questo è il problema: mi si aprono delle piccole finestrelle popup e mi cambia la homepage quando apro il browser di IE

Controllando con taskmanager, ho scoperto che vengono creati dei files .exe nella cartella C:/Documents and Settings/User, ho provato a cancellarli, ma dopo qualche giorno ricompaiono.

Kaspersky non le riconosce come nocive, ho provato a non cancellarli e a fare uno scan con AdawareSE, ma non li riconosce. Ho provato con CCcleaner, ma niente. Forse non sono veri e propri dialer?

Ho provato a modificare l'estensione da .exe a .txt e ad aprirli, non si vede granchè, pero' si riconosce questa riga molto facilmente:

KERNEL32.DLL advapi32.dll oleaut32.dll shell32.dll LoadLibraryA GetProcAddress VirtualProtect VirtualAlloc VirtualFree ExitProcess RegCloseKey SysFreeString ShellExecuteA

Ho provato a fare una scansione con hijackthis e ve la propongo..secondo me è un problema di chiavi di registro, basta cancellare quella "cattiva" e dovrebbe essere tutto a posto. Pero' non sono un esperto, quindi a voi la parola! Grazie dell'aiuto che mi darete.

Logfile of HijackThis v1.99.1

Scan saved at 20.46.21, on 08/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Programmi\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Apoint2K\Apoint.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programmi\TOSHIBA\Power Management\CePMTray.exe

C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe

C:\Programmi\EzButton\EzButton.EXE

C:\Programmi\TOSHIBA\TouchPad\TPTray.exe

C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

C:\Programmi\Apoint2K\Apntex.exe

C:\Programmi\Eset\nod32kui.exe

C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\D-Link\DSL-200\dslstat.exe

C:\Program Files\D-Link\DSL-200\dslagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Programmi\ATnotes\ATnotes.exe

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Swatch.exe

C:\Documents and Settings\Filippo\Desktop\kkk\kkk_dTemperature\DTemp.exe

C:\Programmi\Windows Live\installer\WLSetupSvc.exe

C:\Programmi\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\System32\WISPTIS.EXE

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\NOTEPAD.EXE

C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Documents and Settings\Filippo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.add-hhh.info/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programmi\TOSHIBA\Free Update Service\splash.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Aza Cracking Access

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {32700F1D-5810-4A50-A45E-E2ADFA5AE1FE} - C:\WINDOWS\system32\h323mspd.dll (file missing)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\PROGRA~1\GbPlugin\gbiehabn.dll

O2 - BHO: (no name) - {E948B185-780D-425C-A615-7109F66A6FAE} - C:\WINDOWS\system32\dnsrslwr.dll (file missing)

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Programmi\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [EzButton] C:\Programmi\EzButton\EzButton.EXE

O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [battery Checker] C:\Program Files\TOSHIBA\Battery Checker\BtryChkr.exe

O4 - HKLM\..\Run: [msci] C:\DOCUME~1\Filippo\IMPOST~1\Temp\20051122225922_mcinfo.exe /insfin

O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe

O4 - HKLM\..\Run: [jv16PT - Privacy Protector] C:\Programmi\jv16\jv16PT.exe -ExecTask "C:\Programmi\jv16\Tasks\_PrivacyProtector\Task.jvb"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Swatch.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Filippo\Menu Avvio\Programmi\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programmi\TOSHIBA\Free Update Service\splash.html

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://iriderosso.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: GbPluginAbn - C:\PROGRA~1\GbPlugin\gbiehabn.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\PROGRA~1\GbPlugin\GbpSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

Modificato da lidretto

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

ciao e benvenuto/a

fai cosi;

* Assicurati di avere accesso a file e cartelle nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* disattiva il ripristino configurazione di sistema

* Avvia in modalità provvisoria

ATTENZIONE***Ricordati di mettere HIJACK in una cartella a lui dedicata (C:\HJT ), altrimenti non sarà in grado di fare il backup delle voci rimosse.

Avvia hijackthis, metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked (Ovviamente se qualcuna la conosci trascurala)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.add-hhh.info/

O2 - BHO: (no name) - {32700F1D-5810-4A50-A45E-E2ADFA5AE1FE} - C:\WINDOWS\system32\h323mspd.dll (file missing)

O2 - BHO: (no name) - {E948B185-780D-425C-A615-7109F66A6FAE} - C:\WINDOWS\system32\dnsrslwr.dll (file missing)

03 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [msci] C:\DOCUME~1\Filippo\IMPOST~1\Temp\20051122225922_mcinfo.exe /insfin

O4 - Global Startup: Swatch.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Filippo\Menu Avvio\Programmi\IMVU\Run IMVU.lnk (file missing)

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

* Dai una ripulita a cookie,cache e prefetch con Ccleaner

(Quando lo installi ricordati che se lasci le spunte di defuat ,verrà installata anche la toolbar yahoo)

(prima di usarlo vai in Opzioni/avanzate e togli la spunta da :Elimina file temp di Windows solo se piu vecchi di 48 ore)

* Ritorna in modalità normale e posta un log aggiornato

* Fai anche uno scan online Kaspersky in questo modo

_____________________________________________

Alla fine delle procedure di pulizia è fondamentale :

1) ri-nascondere i file e le cartelle di sistema

2) Riattivare il ripristino configurazione di sistema (XP / ME)

3) Creare un nuovo punto di ripristino

:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

ciao Steve, grazie del benvenuto e delle dritte da eseguire. Allora ho fixato ciò che mi hai detto di fixare, pero':

O4 - Global Startup: Swatch.exe

è un'applicazione che dà l'ora in formato internet, l'ho lasciata stare, ce l'ho da 2 anni

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) -

questa l'ho fixata ma come vedrai qui sotto è ricomparsa.. è un'applicazione di "global positioning system", ho cercato su internet ce l'ha parecchia gente, non so se esula dal mio problema di dialer, cmq penso sia un problema secondario. C'è anche più in basso, alla terzultima voce:

(O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\PROGRA~1\GbPlugin\GbpSv.exe)

O2 - BHO: (no name) - {32700F1D-5810-4A50-A45E-E2ADFA5AE1FE} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {E948B185-780D-425C-A615-7109F66A6FAE} - (no file)

queste 3 mi hai detto di non fixarle, pero' mi preoccupano un po', non so come procedere.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

queste voci dipendono dal fatto che ho deciso di passare a IE7, ero un pazzo a tenere IE6, me ne sono accorto solo ora.. ho aggiornato prima di fare la pulizia..non so se tenerle o fixarle, dammi un consiglio..

Per il resto ho fatto tutto, ora riattivo il punto di ripristino e ne creo uno appena ho postato questo log..ecco il nuovo Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 14.57.48, on 09/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Programmi\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Apoint2K\Apoint.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programmi\TOSHIBA\Power Management\CePMTray.exe

C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe

C:\Programmi\EzButton\EzButton.EXE

C:\Programmi\TOSHIBA\TouchPad\TPTray.exe

C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

C:\Programmi\Eset\nod32kui.exe

C:\Programmi\Apoint2K\Apntex.exe

C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\D-Link\DSL-200\dslstat.exe

C:\Program Files\D-Link\DSL-200\dslagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Programmi\ATnotes\ATnotes.exe

C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Swatch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Filippo\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gest.unipd.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Aza Cracking Access

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {32700F1D-5810-4A50-A45E-E2ADFA5AE1FE} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\PROGRA~1\GbPlugin\gbiehabn.dll

O2 - BHO: (no name) - {E948B185-780D-425C-A615-7109F66A6FAE} - (no file)

O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Programmi\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [EzButton] C:\Programmi\EzButton\EzButton.EXE

O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [battery Checker] C:\Program Files\TOSHIBA\Battery Checker\BtryChkr.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe

O4 - HKLM\..\Run: [jv16PT - Privacy Protector] C:\Programmi\jv16\jv16PT.exe -ExecTask "C:\Programmi\jv16\Tasks\_PrivacyProtector\Task.jvb"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Swatch.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programmi\TOSHIBA\Free Update Service\splash.html

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://iriderosso.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) -

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: GbPluginAbn - C:\PROGRA~1\GbPlugin\gbiehabn.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\PROGRA~1\GbPlugin\GbpSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

Buon mercoledì a tutti :)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

la 04 e 016 puoi lasciarle quindi.....

per le altre, se guardi bene ti ho detto di fixare;

O2 - BHO: (no name) - {32700F1D-5810-4A50-A45E-E2ADFA5AE1FE} - C:\WINDOWS\system32\h323mspd.dll (file missing)

O2 - BHO: (no name) - {E948B185-780D-425C-A615-7109F66A6FAE} - C:\WINDOWS\system32\dnsrslwr.dll (file missing)

che sono due delle tre che hai riportato, l'altra riguarda msn

rifixa queste;

O2 - BHO: (no name) - {32700F1D-5810-4A50-A45E-E2ADFA5AE1FE} - (no file)

O2 - BHO: (no name) - {E948B185-780D-425C-A615-7109F66A6FAE} - (no file)

e dicci come va

:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Posso dire la fonte del dialer: questo sito di portoghese online dove sto imparando la lingua:

www. beepw orld. i t / m e m b e r s 9 6 / brasilian/

ho messo apposta gli spazi perchè non si possa cliccare.. in pratica io sono appena andato in questa pagina con FIREFOX, e il bello e' che si modifica la pagina iniziale di IE!

Mi si apre SpybotS&D, che mi avverte il cambiamento di questa voce di registro:

Categoria: Browser page

Modifica: Valore modificato

Voce: Start Page

Vecchi dati: http://www.gest.unipd.it

Nuovi dati: http//www.add.hhh.info/

CONSENTI MODIFICA vs. NEGA MODIFICA

io la nego, ovviamente. Ma se apro taskmanager trovo un'applicazione di sole consonanti che sta girando (e che mi apre la finestrella popup "vuoi connetterti ora?").. inoltre in "C:\Documents and Settings\User\" appare il .exe corrispettivo..

c'e' da capire se: non andando piu' in quel sito non mi succederà piu' nulla, o se tra tipo 3 settimane mi si apriranno nuove finestre senza nemmeno andarci..

Ho provato a non negarla la modifica al registro, lasciando in sospeso per un attimo il giudizio a SpybotS&D.. aprire hijackthis e fare uno scan.. poi andare ad analizzare il file di hijackthis, e.. risulta che il programma .exe che sta girando (quello di sole consonanti) non è considerato pericoloso! :regole:

A questo punto: secondo te devo rifare la procedura di togliere i punti di ripristino, entrare con F8, con potere di amministratore, dare uno scan+fix di hijack, far girare cccleaner, ritornare in modalità normale e rimettere i punti di ripristino, creandone uno?

buonaserata

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

uhm.. scaricato e avviata la combofix, seguite le istruzioni..

a metà del processo di scan del combofix, nella finestrella mi compare la scritta "cambiato l'orologio interno, non variata alcuna voce di registro".. poi improvvisamente il pc si blocca e mi mostra una schermata totalmente a sfondo blu con la scritta "pc bloccato per impedire il danneggiamento del sistema" , e appare in basso un contatore che va lentamente da 1% a 100%, dopodiche il pc si spegne di colpo.

l'ho fatto 2 volte, ma l'esito e' sempre lo stesso :)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

ho fatto.. cosa devo postare?

nel desktop mi e' comparso il catchme.log, eccolo:

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 19:08:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden files ...

IPC error: 2 Impossibile trovare il file specificato.
scan completed successfully
hidden files: 0

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao :P

se hai eseguito SDfix dovresti postare C:\SDFix\Report.txt

:P:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

ciao angelique.. mi sa che ci sono state complicazioni, perchè il report non dice nulla.. eccolo:

[b]SDFix: Version 1.171 [/b]
Run by Filippo on 2008-04-15 at 19:09

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\PROGRA~1\SDFIX_~1\SDFix

[b]Checking Services [/b]:

qui sotto dovrebbero esserci i checking services.. ma e' vuoto..ora provo a rifarlo..sorry

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Allora, SDFix si comporta così:

si apre la finestra, faccio Y e premo INVIO.. parte.. mi dice:

Starting Repairs
Checking Running Processes and Services
Please be patient as this may take up to 20 minutes
Restoring windows registry values
Restoring default Host files
Checking files
Please Wait...

25% Checked
50% Checked
75% Checked

poi il computer si spegne di botto :) forse x surriscaldamento? (è un portatile)

riavvio, non succede nulla..

ecco il report:

[b]SDFix: Version 1.171 [/b]
Run by Filippo on 2008-04-16 at 10:56

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\PROGRA~1\SDFIX_~1\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

quando lo esgui, disconnettiti da internet, disattiva gli altri programmi di sicurezza, soprattutto Spybot e il suo TeaTimer

:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Uhm.. l'ho eseguito in modalità provvisoria (provvisoria senza rete), e non c'era nessun programma antivirus o antirootkit /nulla che andava :omaggi:

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

spyware terminato e ad aware dormono da troppo tempo. ma sono ancora attendibili?

invece spybot mi ha trovato più voci maligne. idem per il più grande e completo kapersky.

entrando in system volume information togli le voci infette.

poi rifai spybot e kapersky (completo però, tutto il pc, non aree critiche)

poi grattate (...) che con la confusione che regna in rete, non si sa mai.

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

spyware terminato e ad aware dormono da troppo tempo. ma sono ancora attendibili?

invece spybot mi ha trovato più voci maligne. idem per il più grande e completo kapersky.

entrando in system volume information togli le voci infette.

poi rifai spybot e kapersky (completo però, tutto il pc, non aree critiche)

poi grattate (...) che con la confusione che regna in rete, non si sa mai.

ti sembra normale accodarti in questo modo ad altri post? creando solo confusione e soprattutto senza nessuna spiegazione ? 

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Vai alla lista Discussioni HiJackThis - Posta qui i Log