PDA

Visualizza versione completa : E mò a questo chi lo elimina?


sx1mania
14-07-2006, 05.52.09
Raga ogni volta che ricerco o su Google o su Ebay, mi si apre un'altra finestra che bypassa anche Popoops e il blocco di Windows, come da foto allegata.
Non riesco a risolvere il problema ne con :

Zonealarm
Ewido 4 aggiornato
Ad Aware
Arovaxantispyware

che ne dite?

Semi.genius
14-07-2006, 08.40.52
fai un log con HijackThis e postalo

Giorgius
14-07-2006, 13.52.49
Usa Ewido 4.0.0.172b ;)
http://free.grisoft.com/doc/5390/lng/us/tpl/v5#ewido-free

Arthur85
14-07-2006, 20.50.44
Fai una scansione con Hijackthis e analizza il log sul sito hijackthis.de ... risolvi di sicuro...

CIAO

sx1mania
14-07-2006, 21.28.55
l'ho fatto e non ho notato nulla di strano, ma lo rifarò e lo posterò così mi date una mano, grazie ragazzi :)

sx1mania
16-07-2006, 22.30.58
Logfile of HijackThis v1.99.1
Scan saved at 22.30.35, on 16/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\Explorer.EXE
d:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Google\Gmail Notifier\gnotify.exe
C:\PROGRA~1\PopOops\PopOops.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Alchool\Alcohol 120\StarWind\StarWindService.exe
C:\Programmi\UPHClean\uphclean.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\DOCUME~1\Alieno\IMPOST~1\Temp\Rar$EX00.657\Root kitRevealer.exe
C:\DOCUME~1\Alieno\IMPOST~1\Temp\KYNCQPMGDS.exe
C:\DOCUME~1\Alieno\IMPOST~1\Temp\Rar$EX00.563\Hija ckThis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Class - {F7B96152-0FC3-561D-3477-9DAE75350129} - C:\WINDOWS\miuwg1.dll (file missing)
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programmi\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [PopOops] C:\PROGRA~1\PopOops\PopOops.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] D:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open in New &Window (PopOops) - C:\WINDOWS\Web\PopOops.htm
O8 - Extra context menu item: Scarica con Free Download Manager - file://d:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati da Free Download Manager - file://d:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica sito web con Free Download Manager - file://d:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://d:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - d:\Programmi\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - d:\Programmi\Hello\PicasaCapture.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2288D45-ED8B-4D3D-A41A-EA6E7E3A8545}: NameServer = 213.230.130.222 213.230.155.94
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - d:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programmi\Alchool\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ecco il log :mm:

prandot
17-07-2006, 23.00.03
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2288D45-ED8B-4D3D-A41A-EA6E7E3A8545}: NameServer = 213.230.130.222 213.230.155.94

é un indirizzo IP o dominio che conosci?

sx1mania
18-07-2006, 01.03.28
non credo proprio, ora che fo?

UG0_BOSS
18-07-2006, 01.44.15
esporta per sicurezza la chiave in un file e poi eliminala

sx1mania
19-07-2006, 14.12.13
Grazie a Prandot che ha inviduato la stringa maledette e grazie a tutti, ho risolto con hjac, l'ho eliminato stesso con il programmino e pare sia tutto ok, proprio non ci avevo fatto caso.

Comunque voglio aprire una parentesi, io uso da sempre ZoneAlarm, ma l'ultima versione ha problemi gravi secondo me, quindi ora stò usando Comodo sia Firewall che Antivirus, è tutto gratis e il pc va anche meglio, nel senso che lo tiene meno frenato, ora con Comodo apre le finestre di explorer molto + velocemente, quindi era ZoneAlarm che le teneva frenate, ed anche la connessione va meglio, calcolate che navigo con il cell quindi già vado lento, poi mi freni anche un pò ;)

Giorgius
19-07-2006, 16.20.11
Comodo antivirus non è ancora all'altezza di altri software antivirus gratuiti
http://www.hwupgrade.it/articoli/sicurezza/1524/comodo-antivirus-una-nuova-soluzione-free_3.html

Opterei con una soluzione ibrida tipo AntiVir o ClamWin ultima versione. ;)

sx1mania
19-07-2006, 17.35.42
Grazie per la segnalazione, ma io ripeto che ho avuto un miglioramento passando a Comodo, quindi sono deciso a testarlo, Vi farò sapere in fururo, magari in un altro post :)

sx1mania
25-07-2006, 23.42.12
Ragazzi mi rimangio tutto quello che ho detto, ho dovuto formattare e rimettere la nuova versione di Zone Alarm la 6.5.731.000 ita!!!

In pratica con Comodo era si tutto + veloce ma mi sono riempito di schifo, fino a che l'HD mi faceva un rumuore assurdo, come quando gli stacchi la corrente di colpo.

Che casino, erano anni che non formattavo, ero abituato a mangiarmi sia i virus che gli spyware, ma qualcosa non è andato per il verso giusto.

Adesso stò prendendo tutte le precauzioni del caso, mi stò riempiendo di protezioni, ciao e grazie a tutti :)

Vise
21-08-2006, 20.58.32
credo di esser affetto dallo stesso problema...però l'ip è diverso ma simile come struttura (name server: 85.37.17.6 85.38.28.89) e controllando con whois i due indirizzi ip sembrano quelli della telecom...o è solo una finta?

Sergio Neddi
24-08-2006, 22.35.41
Quelli sono semplicemente i DNS.

Giorgius
25-08-2006, 09.26.50
Dr.Web CureIt! Curing Utility

Download: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Ha rimosso una variante del Trojan.Downloader in 2 Pc infetti, che presentavano una finestra Web simile a quella segnalata in questo Thread.

Sergio Neddi
25-08-2006, 22.04.11
L'ho provato giusto oggi per vedere come va, ma non avevo più PC infetti. Comunque, su di un PC di lavoro mi ha riconosciuto come malware il VNC che uso per lavorarci da remoto.
In effetti un VNC server, se infilato in un PC ad insaputa dell'utente, potrebbe effettivamente essere considerato come maligno, quindi non è sbagliato che lo segnali.
Quando avrò modo di provarlo sul campo e non su PC puliti (immagino la sett. prossima) vedrò come si comporta.