Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

RICHFIND qualcuno mi aiuta?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi pippox » 10/04/05 23:29

uff...che devo fare? mi devo arrendere?
non ci voglio credere!!!!! :evil:
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Sponsor
 

Postdi Dylan666 » 11/04/05 12:40

Io te lo ripeto: sicomme potrebbe essere uno spyware moooolto tosto da togliere se non becchiamo i processi che lo ricreano (e con se.dll c'è voluto una vita dato che sono pure nomi casuali) fai meglio a spulciarti tutti i risultati di Google finché non trovi la tua variante
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi pippox » 11/04/05 13:41

ok...mi butto nuovamente su google...non ho cnaora capito quale variante ha infettato il mio pc...di sicuro lo spyware è "soffocato" da tutti i softw che ho installato...in primis NIS ...mah.....
nel mentre se avete notizie...sono qui :)
grazie ancora
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi pippox » 11/04/05 15:31

fatto questo....

http://labs.paretologic.com/spyware.asp ... e=Richfind

e niente....

trovato su C\WINDOWS

{00000002-00000000-0000000A-00001102-00000004-00511102}.BAK

e

{00000002-00000000-0000000A-00001102-00000004-00511102}

intanto continuo a smanettare
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi pippox » 11/04/05 17:53

....l'antisp di microsoft mi segnara dei file da rimuovere nella cartella BACKUPS di HijackThis.... sono delle dll...è normale che compaiano delle dll su quella cartella?...aprendole con notepad ho trovato
-------------------------------------------------------------------------------------
assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
version="1.0.0.0"
processorArchitecture="x86"
name="RichFind.DesktopBar.WebBand"
type="win32"
/>
<description>RichFind</description>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="X86"
publicKeyToken="6595b64144ccf1df"
language="*"
/>
</dependentAssembly>
</dependency>
</assembly>

------------------------------------------------------------------------------------
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi piercing » 12/04/05 09:20

Ma vogliamo dargli una soluzione a sto topic?

Cerchi di esporre in maniera chiara cosa diamine ti succede?

Nessun programma antispyware ti rileva nulla o mi sbaglio?

E allora qual'è il problema? Cerca di usare qualche parola in più per farci capire.

...e pulisci un pò di processi di quel pc... sta girandoci sopra veramente di tutto... il primo log che hai postato è veramente stragonfio di roba inutile...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi pippox » 12/04/05 09:31

piercing

il problema è molto chiaro...leggendo i post precedenti si capisce che ho mi sono beccato una variante di qualche nuovo fastidioso spyware...

con tutti i softw che ho per proteggermi (leggi post precedenti) questo spyware non è riuscito ad installare la sua toolbar ma mi ha modificato la pagina iniziale di EXP che con qualche minuto perso a smanettare con il registro ho risolto (leggi post precedenti)...ora apparentemente il pc non ha niente ma appena avvio tutti gli ASpyware tutti mi rilevano alcune chiavi di registro (leggi post precedenti) che puntualmente una volta cancellate si risistemano al loro posto

per quanto riguarda i miei processi...è tutta roba che avevo in esecuzione e tutta sotto controllo...(leggi post precedenti)

anche perchè proprio dai processi nn è emerso niente di strano...io sto mettendo piu informazioni possibili anche perchè sicuramente questo spyware mieterà molte vittime....
poi se qualcuno mi aiuta a risolvere il problema meglio ancora....grazie
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi pippox » 12/04/05 09:34

ma come cavolo ho scritto?....scusate ma mi sono appena alzato....spero si capisca :D
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi piercing » 12/04/05 09:44

beh.... se fosse chiaro non avrei chiesto lumi... cmq controlla se hai qualcosa in questa chiave di registro o anche solo se la hai...

HKEY_CURRENT_USER\Software\LAWGA

non mi sembra nessuna variante particolare di niente... semplicemente uno spyware...

i file con la Q li hai eliminati alla fine?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi pippox » 12/04/05 09:47

piercing è tutto scritto sui post precendenti

questa chiave
HKEY_CURRENT_USER\Software\LAWGA

non l'ho mai avuta..è in un link che ho citato su un post e i file con la Q li ho gia sistemati...ho scritto anche quello....
AIUTOOOOOOOOOOOOOOOOOOOOOO

:aaah
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi piercing » 12/04/05 09:57

pippox, io non ti capisco...

le chiavi di registro sono sistemate...
i file Q... non ci sono più

quale diamine è il problema? visto che mi sembra tutto risolto da come dici, possiamo anche considerare chiuso il topic... oppure invece di scrivere ARGHHH, AIUTOOO e simili, prova a dirci cosa non va... visto che la palla di vetro mi si è rotta qualche giorno fa...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi pippox » 12/04/05 10:06

ti faccio un riassunto della mia attuale situazione con il copia e incolla

--------------------------------------------------------------------------
l'antisp di microsoft mi segnara dei file da rimuovere nella cartella BACKUPS di HijackThis.... sono delle dll...è normale che compaiano delle dll su quella cartella?...aprendole con notepad ho trovato

assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
version="1.0.0.0"
processorArchitecture="x86"
name="RichFind.DesktopBar.WebBand"
type="win32"
/>
<description>RichFind</description>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="X86"
publicKeyToken="6595b64144ccf1df"
language="*"
/>
</dependentAssembly>
</dependency>
</assembly>


E ANCORA

il collegamento a richfind.com

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search


la mia situazione è questa...non riesco ad individuare cosa mi impedisce di cancellare questa chiave e chissà quali altre!!!

posso dirlo adesso

AIUTOOOOOOOOOOOOOOOOOOO
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi piercing » 12/04/05 10:26

pippox ha scritto:l'antisp di microsoft mi segnara dei file da rimuovere nella cartella BACKUPS di HijackThis.... sono delle dll...è normale che compaiano delle dll su quella cartella?


ovvio che si.... si chiama backup apposta!! evidentemente sono quelle che il programma ha levato e messo da parte... e come ogni buon backup se non ti servono puoi cancellare...

pippox ha scritto:il collegamento a richfind.com

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search


che c'è scritto nella chiave? cosa fai per eliminarla?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi pippox » 12/04/05 10:35

piercing tieni conto che sono un neofita rispetto a voi...

ok per i backups
nella chiave c'è scritto


http://www.richfind.com/ie

la rimuovo evidenziandola e poi tasto CANC
ho provato anche a modificare l'indirizzo...tipo http://www.msn.it
ma niente torna sempre cosi
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi piercing » 12/04/05 11:46

e se rinomini tutta la chiave? te la trovi ricreata?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi pippox » 12/04/05 11:54

si purtroppo si...se rinomino la chiave...me la aggiunge lasciandomi l'altra!!!
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi pippox » 12/04/05 12:03

su google non ho trovato niente in merito al mio problema se non al fatto che questo spyware ha numerose varianti....ma le soluzioni suggerite non hanno funzionato...in tutte ci sono riferimenti a file e chiavi di registro che io non ho...o sono gia state rimosse dai softw
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi piercing » 12/04/05 12:17

ok.... a questo punto... chiudendo tutto il software attivo fai un altra scansione di hijackthis completa e ripostala.
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi pippox » 12/04/05 13:35

ok grazie....appena possibile riavvio e posto il log...grazie
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi pippox » 12/04/05 15:57

ecco qui...appena riavviato ed eseguita la scansione

Logfile of HijackThis v1.99.1
Scan saved at 16.56.08, on 12/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\NICOLA\Documenti\HijackThis\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.1\THGuard.exe"
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {1842B0EE-B597-11D4-8997-00104BD12D94} (iCC Class) - http://www.pcpitstop.com/internet/pcpConnCheck.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1956b8e2403 ... 601_it.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5737202328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Ba ... b31267.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62ACC6C7-E32D-4116-8EDF-45AA5013F310}: NameServer = 85.37.17.16 151.99.125.1
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "RICHFIND qualcuno mi aiuta?":


Chi c’è in linea

Visitano il forum: Nessuno e 19 ospiti