Mi Controllate Per Favore Il Log Hijackthis?

[gen]

Da qualche giorno mi succede che mi si apre una videata dal titolo

TOOL SICURO

e sparisce la videata di Mozilla e sulla barra delle applicazioni appare la scritta "error mozilla"

Una scritta dice che il sistema non è utilizzato al meglio e di installare TOOL SICURO per risolvere i problemi.

Io naturalmente rispondo NO ma mi riappare la stessa videata, per cui devo spegnere e riavviare il computer per poter navigare.

Ho notato che questo succede (almeno finora) quando sono nella pagina

http://tin.alice.it/index.html

finora mi è successo 3 volte sempre in questo modo per cui non so se il mio PC sia stato infettato in qualche modo

Vi sarei grato se poteste analizzare il log HiJackThis

Logfile of HijackThis v1.99.1

Scan saved at 19.43.39, on 18/06/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\GianCarlo\Desktop\SICUREZZA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tin.alice.it/indexbb.html

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\ctbr.dll

O2 - BHO: (no name) - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll

O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll

O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\ctbr.dll

O3 - Toolbar: (no name) - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - (no file)

O4 - HKLM\..\Run: [smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Conexant\Adsl\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Conexant\Adsl\dslagent.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO

O4 - Startup: HDDlife.lnk = C:\Programmi\BinarySense\HDDlife 3\HDDlifePro.exe

O4 - Startup: Mozilla Firefox (2).lnk = C:\Programmi\Mozilla Firefox\firefox.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9563.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\ctbr.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HDDlife HDD Access service - BinarySense, Inc. - C:\Programmi\File comuni\BinarySense\hldasvc.exe

O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Grazie dell'attenzione

[$angelique!?]

Ciao giancarlo,

è uno dei molti programmi-virus, che ti invitano a scaricare il programma per eliminare virus in realtà è un vero e proprio malware...

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

Salvalo sul desktop.

(se il file salvato dal primo link non dovesse funzionare, scaricalo dal secondo link)

1. Doppio click su combofix.exe, comparirà la seguente videata:

http://img293.imageshack.us/img293/8500/combofix01fn6zj1.jpg

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

4. Posta il log creato

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Nota: ComboFix non funziona in modalità provvisoria.

_____________________________

Scarica ed esegui Lop S&D.exe per lanciare l'installazione

http://eric.71.mespages.googlepages.com/LopSD.exe

- Adesso doppio click su Lop S&D presente sul tuo desktop

- Scegli la lingua e seleziona 1 (ricerca)

- Attendere......

- Alla fine posta il log (C:\lopR.txt)

_____________________________

fai anche uno scan con PrevxCSI

http://info.prevx.com/downloadcsi.asp

allega il risultato

[gen]

Ho seguito le tue istruzioni e ti allego i log

log_prevx.txt

Modificato June 19, 2008 da -giancarlo
inserimento allegato

[gen]

e qui allego gli altri 2 log

ComboFix.txt

lopR.txt

[$angelique!?]

adesso riavvia Lop S&D ma questa volta scegli l'opzione 2

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) http://www.ccleaner.com/download/downloadpage.aspx?f=2

Wise Registry Cleaner http://www.wisecleaner.com/soft/WRC3Setup.exe

+ Lingua italiana http://www.wisecleaner.com/soft/languages/wrc3/Italiano.zip

una volta scaricato, (dopo averlo decompresso) copialo nella cartella "Language" del programma

Ripulisci il sistema con Ccleaner

Pulisci il registro con Wise Registry Cleaner (elimina le voci in verde)

(è normale che nel log visualizzi che alcune voci non possono essere rimosse)

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Se non riesci ad allegare il report,

carica il file su http://www.wikifortio.com/

e poi copia il link per poterlo scaricare

[gen]

Ho seguito le istruzioni e ti allego il report

Kaspersky_log.html

[$angelique!?]

I file individuati da Kaspersky non sono nulla di grave...

se riscontri ancora problemi:

fai uno scan con MalwareBytes Antimalware

http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html

Click here if it does not.

[gen]

Ti ringrazio del prezioso aiuto

ciao

[gen]

Qualche minuto fa mi è di nuovo apparso la videata TOOL SICURO ed ho dovuto spegnere e riavviare il sistema per poter continuare a navigare.

Nei giorni scorsi quando mi era successo avevo notato che succedeva sempre quando avevo aperta la pagina

http://tin.alice.it/index.html

che utilizzavo come pagina iniziale

naturalmente per prima cosa ho cambiato pagina iniziale

Oggi visto che pensavo di essermi tolto il problema ho rimesso come pagina iniziale

http://tin.alice.it/index.html

e mi si e di nuovo riproposto il problema quando ero in quella pagina

credo che ciò significhi che:

o c'è qualcosa nel mio PC che non sono riuscito a eliminare

oppure è un difetto della pagina tin.alice.it

cosa ne pensi?

[$angelique!?]

Ciao giancarlo...

I pop-up di Tool Sicuro diventano fastidiosi perchè si installano nella cache del browser,

mentre si utilizza la webmail di Yahoo!, specie la nuova versione, ma anche la mail di Alice.it.

(sulle opzioni Internet cancella la cache di IE, i cookies)

hai scansionato con MalwareBytes??

prova anche con Superantispyware

ti consiglio anche di usare Firefox con la funzione Noscript abilitata...

manualmente prova a ripulire tutti file temporanei...

Start > Esegui > "regedit" > ok

portati nella chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ed elimina tutti i valori che si riferiscono a toolsicuro.com

(attenzione ad operare nel registro)

[gen]

Ho seguito le tue istruzioni e spero che ora sia tutto posto.

Per sicurezza ho fatto l'immagine del disco con True Image ed avrei ancora una domanda da farti a questo proposito, l'immagine che ho fatto è divisa in 2 parti, per poter masterizzarla su 2 DVD, cosa che ho fatto, quando però ho provato a entrare nei file creati con la funzione Explore Image è apparsa la frase:

Immaginedeldisco.tib is corrupted. Please choose another file

Io penso (anzi spero) che sia per il fatto che l'immagine è divisa in due file distinti, tu ne sai qualcosa?

grazie

[gen]

Qualcuno sa aiutarmi?

[$angelique!?]

Ciao giancarlo,

Immaginedeldisco.tib is corrupted. Please choose another file

l'avviso parla di file corrotto...forse qualcosa è andato storto

comunque qui trovi una guida A True Image

http://wininizio.it/forum/index.php?showto...mp;#entry482976