Condividi:        

Spyware.

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Spyware.

Postdi faker » 10/03/06 16:29

Stavo navigando su un sito sulle novità discografiche e ad un certo punto non ho capito più nulla: l'hd ha cominciato a macinare chissà cosa ed il desktop è stato modificato nell'aspetto e nelle icone. Avast sembra non funzionare più a dovere, mi sono comparsi 2 cerchietti rossi con una X in basso a dx. e mi compaiono sempre questi 2 messaggi:
1) Your computer is in danger. Windows Security Center has detected spyware/adware infection! It is strongly recommended to use special antispyware tools to prevent data loss. Click here to install the latest protection tool.
2) avast: tempo limite di connessione. Tempo limite di connessione internet scaduto. Attendere?
Naturalmente non ho installato nulla. Ho fatto una scansione con AdAware ed Avast antivirus ma non è servito a nulla. Comunque Internet non mi funziona più bene (ho Fastweb). Ho fatto una scansione con HiJach e questo è il log:
Logfile of HijackThis v1.99.1
Scan saved at 16.18.17, on 10/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\kernels8.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\C'è Posta\CPosta.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Melissa\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2CEDDE6E-9134-49F6-8042-EF0E9B1F8DAA} - C:\Documents and Settings\Melissa\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\4inav.dat
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\System32\IeHelperExVS.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\System32\vxgamet4.exe2560.exe
O4 - Startup: C'è Posta.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O18 - Filter: text/html - {EC142A29-B4A1-406C-9D09-4A0621F1139B} - C:\DOCUME~1\Melissa\IMPOST~1\Temp\e.eee
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe

Vi prego aiutatemi, non riconosco più il mio pc, sono disperato!!!!
:eeh: :eeh: :eeh: :eeh:
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Sponsor
 

Postdi fabrizius » 10/03/06 17:41

Ciao,
come prima cosa ti servirebbe fare un windows update,altrimenti ti ritroverai spesso a combattere con infezioni varie
Per il log:
scarica KillBox ed elimina questi processi:
(Inserisci il percorso completo del file in Full Path,seleziona DELETE ON REBOOT e clicca sulla X rossa destra)
C:\Windows\xpupdate.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\kernels8.exe

Ora:
disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
2/Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
3/Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente
il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).

Rifai uno scan con hijackthis e fixa le seguenti voci:(se qualcuna la conosci trascurala)
O2 - BHO: (no name) - {2CEDDE6E-9134-49F6-8042-EF0E9B1F8DAA} - C:\Documents and Settings\Melissa\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\4inav.dat
O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\System32\IeHelperExVS.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\System32\vxgamet4.exe2560.exe
O18 - Filter: text/html - {EC142A29-B4A1-406C-9D09-4A0621F1139B} - C:\DOCUME~1\Melissa\IMPOST~1\Temp\e.eee
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

Adesso dai un ripulita ai files inutili,temp etc,
fatti aiutare da Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Ritorna in modalità normale,riattiva il ripristino config.di sistema e posta un log aggiornato
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi faker » 11/03/06 18:51

fabrizius ha scritto:Ciao,
come prima cosa ti servirebbe fare un windows update,altrimenti ti ritroverai spesso a combattere con infezioni varie
Per il log:
scarica KillBox ed elimina questi processi:
(Inserisci il percorso completo del file in Full Path,seleziona DELETE ON REBOOT e clicca sulla X rossa destra)
C:\Windows\xpupdate.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\kernels8.exe

Ora:
disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
2/Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
3/Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente
il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).

Rifai uno scan con hijackthis e fixa le seguenti voci:(se qualcuna la conosci trascurala)
O2 - BHO: (no name) - {2CEDDE6E-9134-49F6-8042-EF0E9B1F8DAA} - C:\Documents and Settings\Melissa\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\4inav.dat
O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\System32\IeHelperExVS.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\System32\vxgamet4.exe2560.exe
O18 - Filter: text/html - {EC142A29-B4A1-406C-9D09-4A0621F1139B} - C:\DOCUME~1\Melissa\IMPOST~1\Temp\e.eee
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

Adesso dai un ripulita ai files inutili,temp etc,
fatti aiutare da Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Ritorna in modalità normale,riattiva il ripristino config.di sistema e posta un log aggiornato


Ciao e grazie mille per le indicazioni. Sto andando molto lentamente e per gradi, sia perchè vorrei fare tutto per bene sia perchè sto incontrando molte difficoltà in quanto il collegamento Internet è molto instabile. Per adesso sono riuscito a fare l'Update di Windows (Start - Windows Update), anche se ho preferito non installare ancora il SP2 in quanto ho avuto in passato problemi con Pinnacle. Vorrei metterti al corrente dei principali problemi che ho riscontrato:
1) Ho notato che le icone Internet Explorer, Outlook e Cestino nonchè quelle dei preferiti sono un pò diverse, come se avessero un'ombreggiatura al bordo mentre quelle dei preferiti sono scomparse;
2) Appena accendo il pc, alla scansione iniziale Avast mi trova dei Trojan che sposto nel cestino di Avast per poi cancellarli. Quando riavvio il pc, però, si ricaricano;
3) La connessione Internet è diventata estremamente instabile: appena sono connesso (ho la flat di Fastweb) vengo dirottato su un sito XXX (Ebony) continuamente;
4) Quando Avast mi individua il Trojan, leggo il percorso per eliminarlo manualmente, ma non riesco a trovarlo.
Ora vado avanti con le indicazioni che mi hai dato e poi ti posto il log di Hijack. Pensi che ci sono speranze di risolvere il problema senza dover formattare? Per me sarebbe una tragedia perchè perderei dei dati importantissimi!!
Grazie ancora.
:( :( :( :(
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi fabrizius » 11/03/06 18:59

dopo aver eseguito tutto riposta un log,vedrai che riusciremo ad aiutarti vai tranquilla
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi faker » 11/03/06 23:37

Scusa la pignoleria, ti racconto com'è andata ad ogni passaggio:

come prima cosa ti servirebbe fare un windows update,altrimenti ti ritroverai spesso a combattere con infezioni varie
e questo l'ho fatto anche se con molta difficoltà dato che mentre ero collegato ad Internet venivo sempre dirottato verso un sito XXX;

Per il log:
scarica KillBox ed elimina questi processi:
(Inserisci il percorso completo del file in Full Path,seleziona DELETE ON REBOOT e clicca sulla X rossa destra)
C:\Windows\xpupdate.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\kernels8.exe

dopo il delete del 3° file, al riavvio c'è stato un blocco del sistema con una schermata nera, per cui ho dovuto resettare. Al riavvio già erano risolti alcuni problemi: non mi compariva più il messaggio di "Danger", l'unico problema era il continuo tentativo di connessione ad Internet.
Ora:
disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
2/Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
3/Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente
il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).

Rifai uno scan con hijackthis e fixa le seguenti voci:(se qualcuna la conosci trascurala)
O2 - BHO: (no name) - {2CEDDE6E-9134-49F6-8042-EF0E9B1F8DAA} - C:\Documents and Settings\Melissa\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\4inav.dat
O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\System32\IeHelperExVS.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\System32\vxgamet4.exe2560.exe
O18 - Filter: text/html - {EC142A29-B4A1-406C-9D09-4A0621F1139B} - C:\DOCUME~1\Melissa\IMPOST~1\Temp\e.eee
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing) > QUESTO FILE NON L'HO TROVATO.

Adesso dai un ripulita ai files inutili,temp etc,
fatti aiutare da Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)
Al riavvio in modalità normale mi è comparsa una schermata nera con questo messaggio:
"Impossibile avviare Windows poichè il file seguente manca o è danneggiato:
<directory principale Windows>\system 32\ntoskrnl.exe. Installare di nuovo una copia del file sopra visualizzato".
Ho dato Invio e, apparentemente, sembra tutto a posto.
Se ho risolto, sei un grande e te ne sono infinitamente grato. Fammi sapere al più presto, questo è il log dopo l'intervento

Ritorna in modalità normale,riattiva il ripristino config.di sistema e posta un log aggiornato[/quote]

Logfile of HijackThis v1.99.1
Scan saved at 22.46.42, on 11/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\System32\efsdfgxg.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\C'è Posta\CPosta.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Melissa\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\efsdfgxg.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: C'è Posta.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2031139531
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe

Ciao e ancora grazie.
P.S. Sono molto tranquillo, mi fido ciecamente dei membri del Forum! (tranquilla???? ma come mai hai pensato che fossi una lei???) :D :D :D :D
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi fabrizius » 11/03/06 23:56

ciao,
bo...non so nemmeno io perché ho scritto tranquilla :undecided: ,
Per il log:
Apri il task manager(Ctrl+Alt+Del) e termina questo processo se c'é:
efsdfgxg.exe
Poi Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)

Cerca ed elimina il rispettivo file:
C:\WINDOWS\System32\efsdfgxg.exe

Adesso apri hijackthis e fixa queste voci:
O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\efsdfgxg.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - Startup: C'è Posta.lnk = ?
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
PS:se non ci riesci fallo dalla modalità provvisoria

Fai una scansione con i programmi noti se li hai,altrimenti scaricali...
Dai una ripulita ai files inutili con
fatti aiutare da Ccleanerper eliminare i files inutili
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

PS1:IE ancora non l'hai aggiornarto,comunque ti consiglio anche questi due programmi:
SpywareBlaster
Guida all'uso
e anche
CWShredder
Guida all'uso

Alla fine riposta un log aggiornato
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi lucas/s » 12/03/06 00:55

Elimina anche il file in grasetto
C:\WINDOWS\System\svchost.exe
Stai attendo la cartella da dove lo devi eliminare è System
no System32

Notte
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi faker » 12/03/06 01:21

[
PS1:IE ancora non l'hai aggiornarto


Ho selezionato la ricerca ed installazione automatica degli aggiornamenti!
:o :o :o
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi fabrizius » 12/03/06 02:24

Vai qui per scaricare gli ultimi aggiornamenti
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi faker » 12/03/06 22:27

Ciao, scusami se non mi sono fatto vivo prima ma sono stato un pò impegnato (problemi familiari). Pensavo di aver risolto il problema ma quando ho messo in pratica le ultime indicazioni che mi hai dato, mi sono accorto che non è così!
[b]Apri il task manager(Ctrl+Alt+Del) e termina questo processo se c'é:
[b]efsdfgxg.exe
[/b]Poi Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)[/b]
Quando ho cercato di aprire il Task Manager mi è comparso un messaggio di errore: "TASK MANAGER E' STATO DISABILITATO DALL'AMMINISTRATORE".

Cerca ed elimina il rispettivo file:
C:\WINDOWS\System32\[b]efsdfgxg.exe
[/b]
Sono passato, poi, a questo secondo punto ed anche qui messaggio di errore: "IMPOSSIBILE DA ELIMINARE ACCESSO NEGATO". Appena ho cliccato su questo file, immediatamente si è attivato il collegamento Internet. A questo punto ho preferito fermarmi in attesa di tuoi consigli (preziosi). Pensi che la cosa sia più grave del previsto? :( :(
Fai una scansione con i programmi noti se li hai,altrimenti scaricali...
In genere la scansione la faccio con Avast Antivirus e AdAware. Se hai altri programmi da consigliarmi li provo ben volentieri.
Ciao e sempre grazie.
;) ;)
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi Luke57 » 12/03/06 22:42

Ciao faker, prova a eseguire in ordine per come sono scritte queste operazioni ( che riepilogano i suggerimenti di fabrizius e lucas/s):
1)fai girare hijackthis, premi “open the misc tools section”, poi “open process manager”, cerchi ed evidenzi il seguente processo:
C:\WINDOWS\System32\efsdfgxg.exe
Clicchi kill process
2)Ritorni indietro con “back”, premi “scan”. Cerchi e metti il segno di spunta alle seguenti voci:
O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\efsdfgxg.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - Startup: C'è Posta.lnk = ?
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
Premi fix checked
3)Riavvii in modalità provvisoria (Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
4)Avvia Gestione risorse e imposta la visualizzazione dei file e cartelle nascoste, così:
Seleziona strumenti>Opzioni Cartella
Seleziona “Visualizza”
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti (consigliato)"
Click Ok
5)Cerchi ed elimini i seguenti file:
C:\WINDOWS\System32\efsdfgxg.exe
C:\WINDOWS\System\svchost.exe /s
( attento a non eliminare il file svchost.exe nella directory C\Windows\system32\svchost.exe)
C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
6)vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu
cancella il contenuto di Windows\temp, windows\tmp
(temp e tmp da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)
7)sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies)
8)svuota il cestino
9) posta nuovo log
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi faker » 13/03/06 13:04

La cosa si sta dimostrando più difficile del previsto, comunque ti indico cosa è successo passo dopo passo:
1)fai girare hijackthis, premi “open the misc tools section”, poi “open process manager”, cerchi ed evidenzi il seguente processo:
C:\WINDOWS\System32\efsdfgxg.exe
Clicchi kill process > Fin qui tutto OK
2)Ritorni indietro con “back”, premi “scan”. Cerchi e metti il segno di spunta alle seguenti voci:
O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\efsdfgxg.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - Startup: C'è Posta.lnk = ? > Questo è un programma di Fastweb che mi avvisa quando c'è posta ma comunque dovevo rimuoverlo.
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
Premi fix checked > A questo punto mi è comparso questo messaggio di errore:
"Unexpected error occurred! Error #52 (Bad file name or number) in Sub GetLongPath (?.exe). Please send a report to merijn@spywareinfo.com, mentioning what you were doing, and what version of Windows you have. This message has been copied to your clipboard".
3)Riavvii in modalità provvisoria (Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
4)Avvia Gestione risorse e imposta la visualizzazione dei file e cartelle nascoste, così:
Seleziona strumenti>Opzioni Cartella
Seleziona “Visualizza”
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti (consigliato)"
Click Ok
5)Cerchi ed elimini i seguenti file:
C:\WINDOWS\System32\efsdfgxg.exe > Anche qui messaggio di errore: "Impossibile eliminare efsdfgxg: Accesso negato. Controllare che il disco non sia pieno o protetto da scrittura e che il file non sia attualmente in uso".
C:\WINDOWS\System\svchost.exe /s
( attento a non eliminare il file svchost.exe nella directory C\Windows\system32\svchost.exe)
C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll > Anche qui messaggio di errore: "Impossibile eliminare ur32mega: File già in uso da un altro utente o programma. Chiudere il programma che sta utilizzando il file, quindi riprovare".
6)vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu > Ci sono 2 applicazioni ANIO Service e ANIWZCS2 Service che non conosco ma non si riesce a rimuoverle. Appena le ho selezionate è partita la connessione Internet. Ho eliminato, allora le rispettive cartelle il Programmi ma in Installazioni/Applicazioni me li ritrovo sempre.
cancella il contenuto di Windows\temp, windows\tmp
(temp e tmp da start>cerca>tutti i file e cartelle, copi e incolli: *.temp >Qui non mi ha trovato nessun file;*.tmp >Qui mi ha trovato alcuni file che ho eliminato, ed elimini tutti quelli trovati)
7)sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies)
8)svuota il cestino
9) posta nuovo log[/quote]
Alla fine ho rifatto tutto il processo alla lettera ma l'unico file ostico che non riesco a cancellare è:
C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
E questo è il log:
Logfile of HijackThis v1.99.1
Scan saved at 12.34.06, on 13/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Melissa\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2031139531
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe

Speriamo bene perchè mi sto un pò preoccupando. Grazie ancora e ciao.
;) ;) ;) ;) ;)
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi Luke57 » 13/03/06 13:32

Ciao, prova a fare così:
start>esegui>services.msc ( nello spazio bianco), cerchi il servizio
ANIWZCSdService, doppio click su di esso e lo imposti su Disabilitato.
Apri hijackthis, cerchi le seguenti voci:
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)
Premi fix checked
Solita procedura per cercare ed eliminare il file
C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
Cerca ed elimina anche questo ( non ci dovrebbe essere, però)
C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
Riposta il log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi faker » 13/03/06 18:49

Ti aggiorno sulla situazione:
Ciao, prova a fare così:
start>esegui>services.msc ( nello spazio bianco), cerchi il servizio
ANIWZCSdService, doppio click su di esso e lo imposti su Disabilitato. > Fin qui tutto OK.
Apri hijackthis, cerchi le seguenti voci:
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll > Quando clicco "Fix checked" viene cancellato ma poi, quando rifaccio lo scan lo ritrovo. Non viene cancellato nemmeno in modalità provvisoria.
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing) > Questo file non l'ho trovato dopo lo scan.
Premi fix checked
Solita procedura per cercare ed eliminare il file > Solita procedura intendi in modalità provvisoria? Comunque in modalità provvisoria lo ricerco per eliminarlo manualmente ma non riesco a cancellarlo in quanto mi dice: "File in uso da un altro programma".
C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
Cerca ed elimina anche questo ( non ci dovrebbe essere, però)
C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe > Infatti, questo file non c'è.
E' normale che in modalità provvisoria, all'avvio di Windows ci siano 2 utenti: Amministratore e Utente 1? Io non l'ho mai impostato così! Può essere questo il motivo per cui il Task Manager risulta disabilitato?
Riposta il log.[/quote]
E questo è il log:
Logfile of HijackThis v1.99.1
Scan saved at 18.00.58, on 13/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Melissa\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2031139531
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe

Ma a questo punto, poichè sembra essere tutto a posto, cos'è che non va?
Ciao e grazie.
;) ;) ;)
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi Luke57 » 13/03/06 19:20

Ciao Faxer, complimenti perchè nei tuoi riassunti si capisce benissimo ciò che hai fatto e come lo hai fatto. Quella voce 020 è una dll non di sistema e quindi sospetta e nemmeno in rete si trovano riferimenti, prova a eliminarla con questa funzione di hijackthis:
apri il programma, clicchi "open the misc tools section", clicchi " delete a file on reboot..." sulla sinistra, trovi quella dll nella sua directory
C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
e clicchi 0k. Vedi così se è stata eliminata. Per il resto, nel log non appare niente altro.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi faker » 14/03/06 01:26

Luke57 ha scritto:Ciao Faxer, complimenti perchè nei tuoi riassunti si capisce benissimo ciò che hai fatto e come lo hai fatto. Quella voce 020 è una dll non di sistema e quindi sospetta e nemmeno in rete si trovano riferimenti, prova a eliminarla con questa funzione di hijackthis:
apri il programma, clicchi "open the misc tools section", clicchi " delete a file on reboot..." sulla sinistra, trovi quella dll nella sua directory
C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
e clicchi 0k. Vedi così se è stata eliminata. Per il resto, nel log non appare niente altro.

Grazie per i complimenti. In genere ritengo che le cose o vanno fatte bene o è meglio non farle. Grazie anche per l'ennesimo consiglio, lo proverò con calma domani dato l'orario. Volevo solo sottolineare che, in questi giorni in cui ho tentato di ripulire il pc "infetto", non mi sono più collegato ad Internet da questo, dato che partiva sempre il collegamento a mia insaputa. Ora sembra che questo problema non si presenti ma preferisco rimuovere anche quel file sospetto prima di connettermi. E prima di connettermi, dato che con la flat sono sempre in rete, vorrei informarmi meglio sulle protezioni da adottare, dopo quello che mi è successo e che prima non avevo mai dovuto affrontare. Comunque, anche questo mi è servito per imparare qualcosa.
Ciao e ancora grazie. ;) ;) ;) ;) ;)
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi faker » 14/03/06 17:48

Luke57 ha scritto:Ciao Faxer, complimenti perchè nei tuoi riassunti si capisce benissimo ciò che hai fatto e come lo hai fatto. Quella voce 020 è una dll non di sistema e quindi sospetta e nemmeno in rete si trovano riferimenti, prova a eliminarla con questa funzione di hijackthis:
apri il programma, clicchi "open the misc tools section", clicchi " delete a file on reboot..." sulla sinistra, trovi quella dll nella sua directory
C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll
e clicchi 0k. Vedi così se è stata eliminata. Per il resto, nel log non appare niente altro.


Perfetto, sono riuscito ad eliminare anche quel dll ostico e questo è l'ultimo log:
Logfile of HijackThis v1.99.1
Scan saved at 17.30.14, on 14/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Melissa\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2031139531
O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documenti\Settings\ur32mega.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe

L'unica cosa, ora mi ritrovo qua e là sull'uità C:, vari documenti di testo e non so se vale la pena metterci mano ed eliminarli. A proposito, qualche consiglio per potermi proteggere meglio quando sono in rete, oppure l'abbinamento Avast-Kerio Firewall è sufficiente?

Grazie ancora per l'aiuto, sicuramente ci troveremo ancora su questo magnifico forum!
;) ;) ;)
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi faker » 14/03/06 21:51

Dopo aver ripulito il pc, ho ripreso a navigare ma mi sono accorto che c'è un nuovo cliente sulla barra degli strumenti: Yahoo! Poichè non mi interessa per niente tenermela, ho tentato di disinstallarla. Ho provato in Installazioni/Applicazioni ma non c'è nulla. Ho provato in Programmi, dove c'è una cartella Yahoo! ed un'applicazione unyt (uninstall Yahoo toolbar) ma ad un certo punto mi chiede un file necessario per la rimozione. Intanto in Installazioni/Applicazioni mi trovo sempre quei 2 programmi ANIO Service e ANIWZCS2 Service che mi sembrano innocui ma che stanno sempre lì e non riesco a rimuoverli. Qualche consiglio?
Ciao e ancora grazie.
;) ;)
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Postdi Luke57 » 15/03/06 08:17

Ciao fake, per eliminare la barra di yahoo ci dovrebe essere un menu a discesa in alto accanto al simbolo, altrimenti fissi la voce 03 corrispondente
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
mentre per la rimozione dei due programmi prova Myuninstaller, piccolo programma ottimo in questi casi.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi faker » 15/03/06 19:51

faker ha scritto:Dopo aver ripulito il pc, ho ripreso a navigare ma mi sono accorto che c'è un nuovo cliente sulla barra degli strumenti: Yahoo! Poichè non mi interessa per niente tenermela, ho tentato di disinstallarla. Ho provato in Installazioni/Applicazioni ma non c'è nulla. Ho provato in Programmi, dove c'è una cartella Yahoo! ed un'applicazione unyt (uninstall Yahoo toolbar) ma ad un certo punto mi chiede un file necessario per la rimozione. Intanto in Installazioni/Applicazioni mi trovo sempre quei 2 programmi ANIO Service e ANIWZCS2 Service che mi sembrano innocui ma che stanno sempre lì e non riesco a rimuoverli. Qualche consiglio?
Ciao e ancora grazie.
;) ;)


Grazie mille, sono riuscito a mettere a posto tutto. Sarai sempre nei miei pensieri (non fraintendere!).
Ciao ;) ;) ;) ;) ;) ;) ;)
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Spyware.":

spyware
Autore: babart
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 17 ospiti