Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

strane finestre che si aprono da sole... ma perch!?!?!!?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi Viktor » 11/11/05 03:22

Ciao ragazzi,

ho anche io lo stesso problema, finestre Pop-up che si aprono ogni quattro minuti, solo durante la navigazione, portandomi su siti tipo ebay o casinò on-line. Il tutto è iniziato dopo aver scaricato un Codec per Windows Media Player.

Ho provato a risolvere utilizzando il Panda Antivirus, Ad Aware e lo Spybot Search & destroy, ma le finestre restano.

Da quanto leggo in questo topic, ogni caso è diverso, quindi vi
allego di seguito i dati ottenuti tramite hijackthis e spero mi possiate dare un consiglio per risolvere la situazione. Vi ringrazio e vi saluto cordialmente:

Logfile of HijackThis v1.99.1
Scan saved at 3.07.12, on 11/11/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\PCI AUDIO APPLICATIONS\MIXER.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\SOFTWARE\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=C:\PROGRA~1\PANDAS~1\PANDAA~1\ptsnoop.exe;C:\WINDOWS\SYSTEM\ptsnoop.exe;C:\WINDOWS\ptsnoop.exe;C:\WINDOWS\COMMAND\ptsnoop.exe
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programmi\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .btmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.yeak.net
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/onec ... iscali.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604737.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\nosuch.mht!http://66.98.244.67/tor/it/chm1/online.chm::/on-line.exe
Viktor
Newbie
 
Post: 7
Iscritto il: 11/11/05 03:04

Sponsor
 

Postdi Dylan666 » 11/11/05 13:38

@Viktor
incolla il log qui e leva le voci rosse e quelle gialle sconosciute:
http://hijackthis.de/index.php?langselect=italian

Dopoi fai un bel windows update e metti Internet Explorere 6....

@andy79
mi mandi una copia di questo file per posta a dyla666 [chiocciola] pc-facile.com ?

C:\WINDOWS\system32\hrns0557e.dll
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Sefi » 11/11/05 14:21

Quando sono andata a scaricare l'Uninstaller anche a me non lo faceva scaricare... proprio per le impostazioni... e allora me lo son fatta scaricare da un mio amico programmatore pc e me l'ha inviato via MSN (e con lui che mi consultavo per rimuovere Look2Me oltre che con voi)... e me l'ha inviato...
... e se Ewido me l'ha bloccato io sono andata oltre... ho sfidato il fato... ero troppo stressata... 3 giorni di lotte immaginate un po' :evil: ...
... il pc è pulito... ho cancellato l'Uninstaller... ho scansionato il pc con tutti i programmi aggiornati di Spyboat1.4 (inclusa una patch per Look2Me), AdAware Se Professional, CWShredder, Spyware Blaster, Ewido, Kill2Me, XoftSpy, Spy Sweeper, Bazooka e all'antivirus Kaspersky... il mio pc non ha nulla... il firewall mi blocca le connessioni a siti che non dovrebbero (monitorizzo tutto)... fatto sta che di finestre non ne spuntan più... né altre robe... tutto va alla perfezione... HiJackThis me lo conferma... quindi per me funza l'Uninstaller...

... solo che mi chiedo una cosa... prima s'inventano 'sto Look2Me e poi mettono l'Uninstaller... a che pro? É questa l'unica mia domanda che non trova risposta... boh... :?:

Inoltre ho aggiornato XP al Pack2 e ho scaricato tutti i suoi updates... più di questo... che dovrei fare? :P
My wings don't work the way yours do...
Sefi
Utente Junior
 
Post: 30
Iscritto il: 06/11/05 13:59
Località: SevenHellSeven

Postdi Dylan666 » 11/11/05 14:25

Sefi ha scritto:... solo che mi chiedo una cosa... prima s'inventano 'sto Look2Me e poi mettono l'Uninstaller... a che pro?


Non so esattamente come funziona in questi casi ma ipotizzo per non rischiare qualche denuncia da associazioni di conumatori o roba simile, in america a queste cose stanno molto attenti e spesso i risarcimenti riducono sul lastrico le compagnie coinvolte.

Infondo gli conviene mettere l'uninstaller e non rischiare, tanto lo troverà 1 utente ogni 200...
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Viktor » 11/11/05 19:51

:P Ciao Dylan,

ti ringrazio per il suggerimento, ho fatto come hai detto, ho cancellato
tutti i bollini rossi e i gialli, ma le finestre rimangono ugualmente, arrivano
puntualmente ogni quattro secondi.

C' è un'altra soluzione?

Per l'update di I.E. - Posso farlo tranquillamente o devo prima svuotare l'Hard Disk?

Grazie.
Viktor
Newbie
 
Post: 7
Iscritto il: 11/11/05 03:04

Postdi Sefi » 11/11/05 19:53

Puoi riallegare un log aggiornato di HIJackThis completo?
My wings don't work the way yours do...
Sefi
Utente Junior
 
Post: 30
Iscritto il: 06/11/05 13:59
Località: SevenHellSeven

Postdi Dylan666 » 11/11/05 20:02

Brava Sefi, senza un nuovo log non posso dire nulla ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Viktor » 11/11/05 23:10

:lol:

Ciao,

di seguito allego il nuovo Log (appena rieseguito). Faccio notare che il file denominato PTSNOOP.EXE mi viene dato rosso, ma se provo ad eliminarlo, mi esce una finestra di dialogo con la scritta:

impossibile eliminare PTSNOOP: il file specificato è usato da Windows.

Quindi, per evitare ulteriori problemi non ho insistito. Inoltre, ho evitato di eliminare il file in giallo:

016 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/onec ... iscali.cab

Perchè Tiscali è il server che mi permette la connessione.

Per l'Update di Internet Explorer che mi dite?

Grazie ad entrambi.

Logfile of HijackThis v1.99.1
Scan saved at 23.18.54, on 11/11/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\PCI AUDIO APPLICATIONS\MIXER.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\SOFTWARE\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=C:\PROGRA~1\PANDAS~1\PANDAA~1\ptsnoop.exe;C:\WINDOWS\SYSTEM\ptsnoop.exe;C:\WINDOWS\ptsnoop.exe;C:\WINDOWS\COMMAND\ptsnoop.exe
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programmi\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .btmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/onec ... iscali.cab
Viktor
Newbie
 
Post: 7
Iscritto il: 11/11/05 03:04

Postdi Sefi » 11/11/05 23:20

PTSNOOP.exe è un file che fare con l'installazione del modem...

Quando avevo l'infezione da Look2Me anch'io avevo la cartella C:\WINDOWS\web\ con il file related.htm... quindi credo (ma prima aspetta Dylan ;) ) che tu possa tranquillamente fiXare queste due stringhe... il resto non saprei :neutral:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
My wings don't work the way yours do...
Sefi
Utente Junior
 
Post: 30
Iscritto il: 06/11/05 13:59
Località: SevenHellSeven

Postdi Dylan666 » 11/11/05 23:47

Sefi ormai mi ruba il lavoro :D
Scherzo, il mio "lavoro" è solo moderare, quindi più interagite e vi aiutate fra voi utenti e meglio è per il forum ;)

Confermo tutto quello che è stato detto nel post precedente: le due voci 09 vanno tolte mentre ptsnoop.exe al 90% è sicuro, ma è meglio se ne vedi le porprietà e ti assicuri che faccia parte del tuo modem.

L'ultima versione di IE la scarichi coi windows update o da qui (anche se non so precisamente dove)

http://www.microsoft.com/windows/ie_int ... fault.mspx
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi toni84 » 12/11/05 01:06

Caro dylan ti conviene informarti il file viene aperto e analizzato,si, come dici tu viene anche dato in pasto ai loro antivirus ma viene anche aperto per vedere se le stringhe corrispondono a quelle presenti nel loro database,se le stringhe non sono uguali si chiama variante e quindi devono aggiungerlo nel loro database ma comunque il file viene sempre e comunque aperto,siccome tempo non ne ho, lo sto mandando adesso ad altre aziende e vediamo cosa dicono ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Dylan666 » 12/11/05 12:17

È inutile! Ti mandano sempre e solo risposte create con risponditori automatici dopo controlli sommari (altro che variante). Propongo di sospendere la diatribia fino a quando uno di due non avrà informazioni NUOVE e DI PRIMA MANO (cioè NON analisi di Tizio o Caio ma log propri).
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Viktor » 12/11/05 16:43

:cry: Niente ragazzi,

ho fatto come mi avete consigliato, ho tolto le due stringhe, ma le finestre ricompaiono ugualmente ogni quattro minuti.

Ho controllato, una ad una, tutte le applicazioni che mi si aprono in esecuzione automatica, sia tramite msconfig che con il software jv16 Power Tools, ma tutte mi risultano conosciute o in esecuzione da molto tempo, quindi credo siano sicure.

Tuttavia, ho notato che ogni volta che accendo il Pc, nelle primissime schermate, quelle a sfondo nero, compare ogni volta la seguente frase:

Aggiornamento dei file di configurazione in corso...questa operazione potrebbe richiedere qualche minuto.

In precedenza, la stessa frase mi compariva raramente e solo dopo aver installato un nuovo software.

Per l'update di Internet Explorer, volevo solo sapere se posso fare l'update immediatamente o se prima devo svuotare l'Hard Disk per evitare perdite di dati. Per essere più cjiaro, si sovrascrive senza creare problemi ai software installati e senza cancellare dati?

Allego di seguito il nuovo Log nel caso abbiate nuovi consigli. Grazie mille.

Logfile of HijackThis v1.99.1
Scan saved at 16.49.05, on 12/11/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\PCI AUDIO APPLICATIONS\MIXER.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\SOFTWARE\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=C:\PROGRA~1\PANDAS~1\PANDAA~1\ptsnoop.exe;C:\WINDOWS\SYSTEM\ptsnoop.exe;C:\WINDOWS\ptsnoop.exe;C:\WINDOWS\COMMAND\ptsnoop.exe
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programmi\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .btmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/onec ... iscali.cab
Viktor
Newbie
 
Post: 7
Iscritto il: 11/11/05 03:04

Postdi Dylan666 » 12/11/05 16:57

Vado di corsa, non ho letto tutto il post, ho capito solo che il problema non è risolto. A questo punto leva pure le due voci riguardanti PTSNOOP.EXE e vedi se risolvi
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 12/11/05 17:23

Ciao, devi eliminare C/windows/ptsnoop.exe, fallo con hijackthis ,apri hijackthis,clicca su "Open the misc tool section" clicca su "open process manager"
seleziona il processo e clicca su "Kill process"
poi clicca su "Back"
clicca su "Config"
clicca su "Delete file on reboot"
inserisci nella casella questo percorso C:\WINDOWS\sptsnoop.exe
Ti dice di riavviare, dirgli di sì. Fai un nuovo log e vedi se c'è sempre.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi andy79 » 12/11/05 17:46

Vorrei aggiornarvi sulla soluzione del mio problema comune anche ad altri.
Grazie all'aiuto di Sefi sono riuscito ad eleminare Look2me, anche se ancora ho qualche problema con la pagina iniziale di Explorer, che credo però sia dovuto ad altri fattori.Comunque vi posto il log di Hijackthis della situazione attuale dopo la cura UnInstaller.
Grazie a tutti in particolare a Sefi.

Logfile of HijackThis v1.99.1
Scan saved at 17.45.10, on 12/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ewido\security suite\securitysuite.exe
C:\Programmi\DC++\DCPlusPlus.exe
C:\Programmi\BitTorrent\btdownloadgui.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Documents and Settings\Andrea\Desktop\antipopup\HijackThis.exe

O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/file ... _en_US.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - ftp://www.mapconsulting.it/ACTIVEXCAB/mgaxctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0500334453
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} (NCSLayeredView Class) - http://www.urbanisticaecasa.regione.laz ... ns/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A305CF7-987B-481E-BC86-A751AF385B86}: Domain = enterprise.ergnet.it
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O19 - User stylesheet: C:\WINDOWS\windows.dat
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

;)
andy79
Newbie
 
Post: 2
Iscritto il: 10/11/05 11:50

Postdi Viktor » 12/11/05 19:46

:-?

Ancora niente,

mi spiace rompere nuovamente, ho rifatto le operazioni suggeritemi da Luke57 ben quattro volte, ma il file PTSNOOP.EXE va via momentaneamente. Ogni volta che riavvio il Pc torna al suo posto.

Dalle proprietà del file, esce che:

pesa 10 KB
la data di creazione risalirebbe al mercoledì 8 Giugno 2005 mentre l'ultima modifica (assurdo) risalirebbe al venerdì 7 Gennaio 2000
L'ultimo accesso sarebbe avvenuto oggi.

Conoscete un altro modo per eliminarlo?

Grazie.
Viktor
Newbie
 
Post: 7
Iscritto il: 11/11/05 03:04

Postdi Luke57 » 13/11/05 11:21

Ciao, sembrerebbe che il file faccia parte del modem e che si ricrei ogni volta che lo avvii. Ho trovato questa discussione
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Tiseria » 13/11/05 11:35

Viktor ha scritto::-?

Ancora niente,

mi spiace rompere nuovamente, ho rifatto le operazioni suggeritemi da Luke57 ben quattro volte, ma il file PTSNOOP.EXE va via momentaneamente. Ogni volta che riavvio il Pc torna al suo posto.

Dalle proprietà del file, esce che:

pesa 10 KB
la data di creazione risalirebbe al mercoledì 8 Giugno 2005 mentre l'ultima modifica (assurdo) risalirebbe al venerdì 7 Gennaio 2000
L'ultimo accesso sarebbe avvenuto oggi.

Conoscete un altro modo per eliminarlo?

Grazie.



In un messaggio precedente dicevi che ogni volta che riavvii Windows.. ti compare il messaggio di: Aggiornamento dei file di configurazione in corso...

Cerca il file WININIT.INI, lo apri con il notepad e verifica che cosa c'e' scritto all'interno.

Non lo so se il file ptsnoop.exe faccia parte del tuo modem, ma è molto strano che crei tutte queste istanze di esecuzione.....

Ciao
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi Dylan666 » 13/11/05 13:22

andy79 ha scritto:Vorrei aggiornarvi sulla soluzione del mio problema comune anche ad altri.


Tutto ok, c'è solo una segnalazione su windows.dat che non ho ben compreso (dicono di leiminarlo solo se IE sembra più lento del solito).

Però mi potevi mandare la DLL come ti avevo chiesto... :(
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "strane finestre che si aprono da sole... ma perch!?!?!!?":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti