Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Apertura ripetuta di una finestra internet in avvio

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Apertura ripetuta di una finestra internet in avvio

Postdi marklanders » 07/03/05 00:42

Premetto che non ci capisco molto di computer ma che comunque uso regolarmente un antivirus e più programmi contro gli spyware (ad-aware, spybot,...).
Da un po' di tempo a questa parte ogni volta che avvio windows dopo qualche secondo (ancor prima di connettermi) mi si apre una finestra di internet explorer r la richiesta di connessione remota. Al mio "no" appare la finestra non in linea con indirizzo "http://undeltalpp.kiffer.at/index.htm". Connettendomi ad internet e facendo refresh appare una pagina di un sito con titolo "portland communication".
Non mi pare niente di pericoloso però mi piacerebbe sapere se c'è qualche modo per togliere questa cosa dal pc. (ad-aware e spybot non risolvono nulla in questo caso).
Grazie
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Sponsor
 

Postdi dado » 07/03/05 01:15

Cerca tra le guide nell'apposita sezione di questo sito come eliminare spyware e come usare il programma hijackthis. E' scritto tutto l', oltre che nelle migliaia di topic nel forum su questo argomento. Hai fatto una ricerca?

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi marklanders » 07/03/05 02:27

Ho usato hijack ma non ho risolto il problema... o meglio... la pagina che si apre adeso è questa:
http://www.portland.co.uk/404.esp
e si apre ogni volta che avvio il pc...
ecco il mio logfile (ho tolto tutto ciò di cui ero sicuro):

Logfile of HijackThis v1.99.1
Scan saved at 2.38.08, on 07/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\Trust\270KDS~1\Mouse\Amoumain.exe
C:\recycler\installer.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\marklanders\Documenti\Download\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\recycler\installer.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{71B71EEB-5E84-4E6D-9BA2-834CB7A0ED42}: NameServer = 85.37.17.14 151.99.125.1
O21 - SSODL: dLzdM - {60081FE9-CAA2-B543-FA6F-FF22799A12C6} - C:\WINDOWS\System32\vc.dll

Se qualcuno mi può aiutare... grazie!
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi marklanders » 07/03/05 02:34

Tra l'altro mi son accorto che questa chiave

O17 - HKLM\System\CCS\Services\Tcpip\..\{71B71EEB-5E84-4E6D-9BA2-834CB7A0ED42}: NameServer = 85.37.17.14 151.99.125.1

avevo già provato a cancellarla perchè il controllo automatico mi diceva che era potenzialmente sospetta, però è ritornata!

Non so se può voler dire qualcosa....
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi marklanders » 07/03/05 02:47

e quel...
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\recycler\installer.exe

l'analisi automatica me lo da per sconosciuto... ho cercato su google ma in italiano non c'è nulla, però nella ricerca internazionale su qualche sito (credo tedesco) vedo che è 'sta roba viene associata alle parole "trojan",...

non ci capisco nulla... se qualcuno sa, lo prego, mi aiuti!
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi marklanders » 07/03/05 14:47

Oggi, in più, mi sono accorto che oltre alla connessione abituale (ALICE, Miniport WAN (PPOEE)) mi è apparsa anche questa che io non ho messo:

SIXA
Miniport WAN (PPOEE)

Contestualmente, nel log file di hijack, sono apparse in più queste due voci:
In running progress: C:\WINDOWS\System32\icasServ.exe
e sotto: O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe

Cosa devo fare?
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi marklanders » 07/03/05 15:19

ho fatto un po' di confusione... "icasServ" ce l'avevo anche nel logfile che ho postato stanotte...

Cmq io ci sto provando in tutti i modi a capire ciò che non va e per quanto possibile ho cercato di seguire tutto quello che c'è scritto nelle guide e nei post...
Se solo qualcuno mi rispondesse dando un'occhiata al mio log... tra l'altro l'ho anche "ripulito" quindi non dovrebbe essere molto difficile per voi capire se c'è qualcosa che non va...
Ringrazio ancora chi mi volesse aiutare!
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi Tomas Milian » 08/03/05 21:49

Innanzitutto aggiorna Internet Explorer che è importante!

Poi guarda questo sito:
http://www.techsupporthome.com/showthread.php?t=42368

In poche parole dovresti eliminare icasServ.exe.

Il sito ti spiega bene come farlo solo che è in inglese! :(

Se non capisci qualcosa fammi sapere! ;)
"Chi caca sotto la neve, pure se fa la buca e poi la copre, quando la neve se scioglie la m**da viè sempre fuori!"
Avatar utente
Tomas Milian
Utente Senior
 
Post: 211
Iscritto il: 18/02/05 20:25
Località: Roma

Postdi marklanders » 09/03/05 11:50

Allora....
intanto grazie per avermi risposto...

Approfitto della tua gentilezza per chiederti ancora un paio di cose... considera che sono veramente ad uno stato di conoscenza basilare...

1) Come si aggiorna internet explorer?

2) Immaginando che il problema fosse quell' "icasserv" ho provato a toglierlo con hijack (ti ringrazio per la segnalazione ma io di inglese non ci capisco nulla).... ho provato a riavviare e ora il mio log file è questo:

Logfile of HijackThis v1.99.1
Scan saved at 11.40.51, on 09/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\Trust\270KDS~1\Mouse\Amoumain.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\PopUp Killer\popupkiller.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\marklanders\Desktop\Utility pulizia PC\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [PopUpKiller] C:\Programmi\PopUp Killer\popupkiller.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{71B71EEB-5E84-4E6D-9BA2-834CB7A0ED42}: NameServer = 85.37.17.14 151.99.125.1
O21 - SSODL: dLzdM - {60081FE9-CAA2-B543-FA6F-FF22799A12C6} - C:\WINDOWS\System32\vc.dll


...icaserv non c'è più ma cercandolo con il cerca di windows trovo questi due file:
C/windows/preftech/icasserv.exe-2DB44664.PF
C/WINDOWS/system32/icasserv.exe

Cosa devo fare?... immagino che cancellarli non si può...
Tra l'altro non riesco a capire se sia roba pericolosa o no... il problema delle pagina che si apre è scomparso... se qualcuno mi può dare un consiglio...

3) Per quanto riguarda le ultime due righe del logfile (quelle che iniziano con 017 e 021) la rilevazione automatica me le da rispetivamente per abbastanza sospetta e sconosciuta. In ogni caso se le cancello con hijack mi ritornano all'avvio successivo. Che fare? Quel vc.dll centra qualcosa con il famigerato se.dll di cui parlate ovunque?

Grazie
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi marklanders » 09/03/05 14:02

e in più ho anche questa voce sospetta che non riesco ad eliminare con hijack (cioè la elimino ma ritorna quando riavvio)...

C:\DOCUME~1\MARKLA~1\IMPOST~1\Temp\60b0eb94.exe
O4 - HKLM\..\RunOnce: [1611145192] C:\DOCUME~1\MARKLA~1\IMPOST~1\Temp\60b0eb94.exe delete

e questa si vede che "lavora" anche con il task manager...

io non ho nessun problema evidente ma proprio per questo non capisco se mi devo preoccupare o no di questo e dei problemi segnalati nei post precedenti (icasserv.exe e le ultime due righe del logfile).

Aspetto qualche dritta... grazie!
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi marklanders » 10/03/05 00:46

Qualcuno potrebbe solamente dirmi se, vedendo il filelog, ho qualcosa di cui preoccuparmi (pur non avendo nessun problema evidente?)... ultimamente con tutti i miei amici che mi dicono che sono pieni di schifezze nel pc sto diventando come un malato immaginario...
perchè, al limite, non avrei grossi problemi a formattare (o è una soluzione troppo drastica?)...
Vi prego... aspetto un cenno...
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi dado » 10/03/05 14:52

Basta far analizzare il log su http://www.hijackthis.de/it

Cmq, quello che viene evidenziato dall'analisi è:
- che hai una versione di internet explorer ormai vecchia

- che questa voce
O17 - HKLM\System\CCS\Services\Tcpip\..\{71B71EEB-5E84-4E6D-9BA2-834CB7A0ED42}: NameServer = 85.37.17.14 151.99.125.1
è abbastanza sospetta. Consiglio:
Conoscete l'indirizzo IP o il Dominio '85.37.17.14 151.99.125.1'? Se no, eliminate questo oggetto.

- che le ultime tre voci
O21 - SSODL: dLzdM - {60081FE9-CAA2-B543-FA6F-FF22799A12C6} - C:\WINDOWS\System32\vc.dll

C/windows/preftech/icasserv.exe-2DB44664.PF

C/WINDOWS/system32/icasserv.exe

sono sconosciute.
Quindi devi accertarti non siano nocive... le ultime due non mi piacciono un granchè... il file dll non mi ispira neppure lui tanta fiducia, visto che non è in un elenco delle dll...

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi marklanders » 10/03/05 15:54

icasserv l'ho eliminato...

O17 - HKLM\System\CCS\Services\Tcpip\..\{71B71EEB-5E84-4E6D-9BA2-834CB7A0ED42}: NameServer = 85.37.17.14 151.99.125.1
io la elimino con hijack però se la elimino poi non mi si apre nessuna pagina di internet explorer fino a quando non riavvio e questa ritorna

O21 - SSODL: dLzdM - {60081FE9-CAA2-B543-FA6F-FF22799A12C6} - C:\WINDOWS\System32\vc.dll
idem... se la elimino ritorna all'avvio successivo e non so come eliminarla definitivamente

Ora io chiedo? Meglio formattare (anche se non ho nessun problema evidente)?
marklanders
Utente Junior
 
Post: 14
Iscritto il: 07/03/05 00:33

Postdi dany » 10/03/05 19:45

Non mi sembra il caso, soprattutto se non hai problemi.
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi piercing » 10/03/05 20:34

... e tra l'altro... come riferito in tutte le guide che abbiamo linkato e che puoi leggere all'inizio di questa sezione nei topic importanti...

perchè non aggiorni il tuo sistema?????

fai un bel windowsupdate completo.... e poi rifai un log di hijackthis...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma


Torna a Sicurezza e Privacy


Topic correlati a "Apertura ripetuta di una finestra internet in avvio":


Chi c’è in linea

Visitano il forum: Nessuno e 50 ospiti