Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

strane finestre che si aprono da sole... ma perch!?!?!!?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi Dylan666 » 13/11/05 13:24

Viktor ha scritto::-?

Ancora niente


Ma a parte le dimensioni del file le proprietà non dicono nulla? Le finestre con le pubblicità che ti appaiono siamo sicuri che siano pop-up del browser o non del servizio di messaggeria istantanea messenger?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi Viktor » 13/11/05 13:34

:)

Ciao ragazzi,

da questa mattina, le finestre pop-up son sparite...boh!

Il file PTSNOOP.EXE è ancora lì, ma probabilmente i procedimenti eseguiti ieri son serviti a renderlo inoffensivo da stamane.

Vi ringrazio tutti per gli utili consigli.
Viktor
Newbie
 
Post: 7
Iscritto il: 11/11/05 03:04

Postdi Dylan666 » 13/11/05 13:43

Se PTSNOOP.EXE è ancora lì ma i sintomi sono spariti la colpa non era sua ed era un file del modem ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 13/11/05 17:32

Dylan666 ha scritto:Se PTSNOOP.EXE è ancora lì ma i sintomi sono spariti la colpa non era sua ed era un file del modem ;)

Condivido in pieno l'epilogo di Dylan :)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Perseus » 14/11/05 00:32

Contraddittoriamente, PTSnoop è il nome di un software di supporto per modem basati sul chipset PCTel, e destinato alla ricerca automatica di una porta COM disponibile. Contemporaneamente però PTSnoop è anche un cavallo di Troia, dotato dello stesso nome, che installa sulla macchina ospite un backdoor. La soluzione può essere soltanto quella di lanciare un programma antivirus aggiornato, che possa identificare il virus se è presente. Ricordiamo che tool specifici per eliminare i singoli virus sono disponibili presso i siti di tutti i maggiori produttori. [U.S.]
Questo è quanto concerne il
PTSnoop se le finestre si aprono ancora di sicuro (tra l'altro eri infettato dal dialer "Sfonditalia" che per l'appunto crea collegamenti con vari siti a pagamento) la tua Trusted Zone ha bisogno di essere messa a posto tramite un file "DelDomains.inf" fammi sapere se hai ancora bisogno, ma tutte le operazioni che hai fatto con con i vari programmi l'hai fatte in modalità provvisoria e dopo aver disattivato Configurazione di Sistema? Ciaoo fammi sapere.. :) Perseus
Perseus
Newbie
 
Post: 2
Iscritto il: 14/11/05 00:15

Postdi Perseus » 14/11/05 01:21

Cmq se hai ancora problemi ti consiglierei di usare una procedura un pò più lunga ma efficace al 100x100 se vuoi chiaramente....dopo l'uso di HijackThis ecco ciò che dovresti fare

1° Se hai antivirus tipo Norton ecc. disattivalo momentaneamente (solitamente quasi tutti danno la possibilità di farlo tramite l'iconetta vicino all'orologio dello stesso antivirus)

2° Disattiva Ripristino Configurazione Sistema (Importante se non lo facciamo corriamo il rischio di ritrovarci di nuovo il worm o ecc..)
Per disattivare Ripristino Configurazione Sistema di --Windows XP--
Secondo il tipo di visualizzazione del Menù Avvio:
-Tasto dx sull'icona Risorse del Computer o Start--tasto dx Risorse del Computer
-Ripristino configurazione di Sistema
-Mettere la spunta a Disattiva ripristino configurazione di sistema...

Per disattivare Ripristino Configurazione Sistema di --Windows Millenium--
-Start--Pannello di controllo--Sistema--Prestazioni--File System--Risoluzione dei problemi
-Mettere la spunta a Disattiva Ripristino configurazione di sistema
-Riavviare
Windows 2000 Windows 98 non hanno la funzionalità del Ripristino di Sistema

3° Avvia in modalità provvisoria

4° lancia questo file che ti allego "DelDomains.inf" ti rimetterà a posto la "Trusted Zone" basterà che dalla modalità provvisoria, scompatti il file e seleziona il file con estensione .inf, tasto destro del mouse su di esso e selezioni l'opzione "installa" e basta
http://digilander.libero.it/mim/DelDomains.zip

5° Fa la scansione con il SysClean (Antivirus) (se non lo hai già oltre il programma devi scaricare anche il pattern chiaramente l'ultimo il più aggiornato)

6° Lancia Cclean (leggi bene la guida prima di agire)(CCleaner é un programma per ripulire il computer da innumerevoli file inutili che occupano spazio prezioso e appesantiscono il sistema operativo)

7° Lancia SpyBot

8° Lancia Adware

E se non lo hai già mettiti un firewall tipo Sygate o Kerio
quando hai finito ricordati dopo che hai riavviato in modalità normale di ripristinare la Configurazione del Sistema e pubblica di nuovo il log HijackThis
Vai tranquillo con questa procedura è già collaudata con altre macchine
Ciaoo Immagine
Perseus
Newbie
 
Post: 2
Iscritto il: 14/11/05 00:15

Postdi Viktor » 14/11/05 11:54

:)

Ciao ragazzi,

come ho gia scritto nel mio ultimo intervento, non ho più alcun problema, le finestre pop-up sono sparite e, all'accensione del Pc, non compare neanche la frase:

Aggiornamento dei file di configurazione in corso...questa operazione potrebbe richiedere qualche minuto.

Quindi mi pare, almeno per ora, che tutto sia tornato alla normalità, quindi evito di eseguire altre operazioni.

Io credo che questo file, PTSNOOP.EXE, sia stato la causa di tutto in quanto è l'ultimo che ho cercato di anullare con Hijackthis, ma non sono un grande esperto. In precedenza, ho avuto problemi simili, con finestre che si aprivano automaticamente durante la navigazione, ma le ho eliminate semplicemente con il Panda Antivirus o, al massimo, con Ad Aware. Questa volta non c'era verso. Comunque, visto che qualcuno me l'ha chiesto, io non ho eseguito nessuna operazione in modalità provvisoria, non mi avete detto nulla in proposito. comunque nessun problema.

Ciao a tutti e grazie
Viktor
Newbie
 
Post: 7
Iscritto il: 11/11/05 03:04

Postdi Dylan666 » 14/11/05 21:35

Viktor ha scritto:Io credo che questo file, PTSNOOP.EXE, sia stato la causa di tutto in quanto è l'ultimo che ho cercato di anullare con Hijackthis


Lo ripeto: dato che NON lo hai tolto ma il problema è scomparso non poteva essere quella la causa ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Peshione » 16/11/05 18:08

Salve..........io ho lo stesso problema........le ho provate tutte ma niente da fare...qualche idea?
Peshione
Utente Junior
 
Post: 15
Iscritto il: 16/11/05 11:55

Postdi Sefi » 16/11/05 18:24

Stesso problema di finestre impazzite che si aprono ogni 3x2?
My wings don't work the way yours do...
Sefi
Utente Junior
 
Post: 30
Iscritto il: 06/11/05 13:59
Località: SevenHellSeven

Postdi Dylan666 » 16/11/05 18:40

Posta un log ma se pure a te chiedo la DLL che infetta mandamela per favore! :P
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Peshione » 16/11/05 18:45

ecco........

Logfile of HijackThis v1.99.1
Scan saved at 18.44.55, on 16/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Sitecom USB ADSL modem\CnxDslTb.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Documents and Settings\name\Desktop\FixQhost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\name\Desktop\pagine bastarde\HijackThis.exe
C:\Documents and Settings\name\Desktop\pagine bastarde\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Sitecom USB ADSL modem\CnxDslTb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5195276043
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CE097D3-2D92-4A32-A40C-112B8DDDD8BE}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CE097D3-2D92-4A32-A40C-112B8DDDD8BE}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\lvr4099qe.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
Peshione
Utente Junior
 
Post: 15
Iscritto il: 16/11/05 11:55

Postdi Dylan666 » 16/11/05 18:51

Elimina questi:
C:\Documents and Settings\name\Desktop\FixQhost.exe

O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe

O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\lvr4099qe.dll


Ti prego però, prima di eliminate la roba che ti ho detto mandami una copia del file lvr4099qe.dll per posta all'indirizzo dylan666 [chiocciola] pc-facile [punto] com ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Sefi » 16/11/05 18:51

La causa di tutto è questo qua:

O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\lvr4099qe.dll

... prova a fixarla... in modalità provvisoria... poi rifai il log e vedi se rispunta... se dovesse rispuntare c'è un'unica soluzione...
My wings don't work the way yours do...
Sefi
Utente Junior
 
Post: 30
Iscritto il: 06/11/05 13:59
Località: SevenHellSeven

Postdi Peshione » 16/11/05 19:34

eccomi di nuovo....non me lo fa copiare...spostare...allegare...e tutto ciò che mi avete detto non funziona....
Peshione
Utente Junior
 
Post: 15
Iscritto il: 16/11/05 11:55

Postdi Sefi » 16/11/05 19:41

Leggi questa pagina http://www.pc-facile.com/forum/viewtopi ... c&start=20

... e risolverai il tutto :P
My wings don't work the way yours do...
Sefi
Utente Junior
 
Post: 30
Iscritto il: 06/11/05 13:59
Località: SevenHellSeven

Postdi Dylan666 » 16/11/05 19:42

Ma che sito hai visitato o che programma hai installato prima di avere questo dialer? Voglio infettarmi pure io!!! :aaah

Se scorri questa discussione dall'inizio vedrai che si è parlato di un uninstaller, con tutti i pro e i contro che ciò comporta ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Sefi » 16/11/05 19:49

... io posso parlarti della mia infezione...

Ho cambiato pc sabato 5 novembre (quello "vecchio", di nemmeno un anno, gli era partita la scheda madre a causa di sbalzi di corrente [ma mo' mi son premunita]... tempo d'installare il modem ADSL, mettere il firewall ZoneAlarmPro e l'antivirus Kaspersky... e m'infetto! :o
Non ho navigato in alcun sito! É questo il bello!!! :mmmh:
My wings don't work the way yours do...
Sefi
Utente Junior
 
Post: 30
Iscritto il: 06/11/05 13:59
Località: SevenHellSeven

Postdi Peshione » 16/11/05 19:53

ecco qualcos'altro che magari vi torna utile

VirIT eXplorer Lite Log

SCANSIONE DELLA MEMORIA
OK
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
16/11/2005 - 18:28:05

[SCANSIONE DEL REGISTRO]
{86227D9C-0EFE-4f8a-AA55-30386A3F5686} Infetto da Trojan.Win32.Dialer.AO
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\name\Impostazioni locali\Temp\uninstall.exe Possibile variante da Trojan.Win32.Sidefind.A
C:\Programmi\MATLAB7\toolbox\comm\commdemos\html\scattereyedemo_21.png Infetto da Gotcha.Pogue:MtE.0_90
Contattare il Supporto Tecnico TG Soft
C:\Programmi\MATLAB7\toolbox\compiler\mcr\matlab\graph2d\@arrowline\arrowline.p Infetto da MtE.0_90
Contattare il Supporto Tecnico TG Soft
C:\Programmi\MATLAB7\toolbox\rptgen\rptgenv1\magic-square_html_files\image-2-hg.png Infetto da Gotcha.Pogue:MtE.0_90
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\system32\guard.tmp Infetto da Trojan.Win32.Agent.QM
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\system32\kndbene.dll Infetto da Trojan.Win32.Agent.QM
* * * RIMOSSO * * *

Chiavi Registro infette: 1.
Files Infetti: 6.
Files Sospetti: 0.
Files Analizzati: 114172.
Files Totali: 114172.
Chiavi Registro rimosse: 1.
Virus Rimossi: 1.

SCANSIONE DELLA MEMORIA
OK
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
16/11/2005 - 19:10:01

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Programmi\MATLAB7\toolbox\comm\commdemos\html\scattereyedemo_21.png Infetto da Gotcha.Pogue:MtE.0_90
Contattare il Supporto Tecnico TG Soft
C:\Programmi\MATLAB7\toolbox\compiler\mcr\matlab\graph2d\@arrowline\arrowline.p Infetto da MtE.0_90
Contattare il Supporto Tecnico TG Soft
C:\Programmi\MATLAB7\toolbox\rptgen\rptgenv1\magic-square_html_files\image-2-hg.png Infetto da Gotcha.Pogue:MtE.0_90
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\system32\guard.tmp Infetto da Trojan.Win32.Agent.QM
Contattare il Supporto Tecnico TG Soft

Chiavi Registro infette: 0.
Files Infetti: 4.
Files Sospetti: 0.
Files Analizzati: 114190.
Files Totali: 114190.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
Peshione
Utente Junior
 
Post: 15
Iscritto il: 16/11/05 11:55

Postdi Peshione » 16/11/05 21:05

ho usato anche l'unistaller......perchè avevo letto la pagina...ma niente da fare...a quanto pare ora da fastidio solo il file guard.tmp.....
Peshione
Utente Junior
 
Post: 15
Iscritto il: 16/11/05 11:55

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "strane finestre che si aprono da sole... ma perch!?!?!!?":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti