Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

REDIRECT IP

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

REDIRECT IP

Postdi thethunder » 12/08/06 10:35

Buongiorno a tutti, sono un nuovo utente e ne approffito per salutare tutti e ringraziare fin d'ora per il vostro aiuto.
Quando provo a collegarmi ad internet il pc si collega ad un ip diverso da quello del router per cui non avviene nessuna connessione.
E poi in basso compare lo scudetto giallo di "aggiornamento in corso..." simile a quello di windows..
Vi allego un log di hiyackthis..
Sono disperato.....
Grazie ancora.
Logfile of HijackThis v1.99.1
Scan saved at 11.18.39, on 12/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Apps\Powercinema\PCMService.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\Programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [CheckBO] C:\Documents and Settings\Tivadar\Impostazioni locali\Temp\CheckBO.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [AXVenore] "C:\Programmi\AXVenore\AXVenore.exe"
O4 - HKCU\..\Run: [trust meal] C:\DOCUME~1\Sary\DATIAP~1\MULTIT~1\Real Show.exe
O4 - HKCU\..\Run: [PSHope] "C:\Programmi\PSHope\PSHope.exe"
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://truelove-tn.spaces.msn.com//Phot ... nPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Sponsor
 

Postdi kadosh » 12/08/06 11:10

Da spostare in Security.
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi thethunder » 12/08/06 12:09

cosa vuol dire: da spostare in SecuritY
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Postdi Dylan666 » 12/08/06 12:57

Hai postato in "Sistemi Operativi Windows" ma la sezione giusta sarebbe stata "Sicurezza & provacy" (prima chiamata "security & privacy") quindi quando passa un moderatore di questa sezione deve metterti lì ;)

Incolla il log qui e dicci se ci sono voci giale che NON riconosci:
http://hijackthis.de/it

Ma a che IP vieni ridiretto?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi andorra24 » 12/08/06 13:33

Ti consiglio di disinstallare il MessengerPlus! 3 perche' contiene un adware e dal tuo log mi sembra di capire che l'hai installato con tutto il suo adware annesso.
Poi dovresti andare nel Pannello di controllo/installazione applicazioni e controlla se trovi una voce AXVenore e una voce PSHope e li disinstalli immediatamente.
Adesso passiamo al log di hijackthis. Metti la spunta nella casellina accanto alle seguenti voci e premi fix checked:

O4 - HKCU\..\Run: [AXVenore] "C:\Programmi\AXVenore\AXVenore.exe"
O4 - HKCU\..\Run: [trust meal] C:\DOCUME~1\Sary\DATIAP~1\MULTIT~1\Real Show.exe
O4 - HKCU\..\Run: [PSHope] "C:\Programmi\PSHope\PSHope.exe"

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica killbox da qui: http://www.bleepingcomputer.com/files/killbox.php
con killbox elimina (se presenti) i seguenti files:
C:\Programmi\AXVenore\AXVenore.exe (dopo aver eliminato il file exe elimina anche la cartella AXVenore)
C:\DOCUME~1\Sary\DATIAP~1\MULTIT~1\Real Show.exe
C:\Programmi\PSHope\PSHope.exe (dopo aver eliminato il file exe elimina anche la cartella PSHope)

Fai una scansione con superantispyware:
http://www.superantispyware.com/downloa ... PYWAREFREE
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Dylan666 » 12/08/06 13:38

andorra24 ha scritto:Ti consiglio di disinstallare il MessengerPlus! 3 perche' contiene un adware e dal tuo log mi sembra di capire che l'hai installato con tutto il suo adware annesso.


Glis spyware nel MSGPlus! 3 non sono obbligatori, possono essere rifiutati al momento del setup o tolti in seguito:

http://www.msgpluslive.net/help/faq/pri ... sor-uninst
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi andorra24 » 12/08/06 13:44

Dylan666 ha scritto:Glis spyware nel MSGPlus! 3 non sono obbligatori, possono essere rifiutati al momento del setup o tolti in seguito:

http://www.msgpluslive.net/help/faq/pri ... sor-uninst

Si lo so che possono essere rifiutati durante il setup ma dal log dell'utente e' evidente che ha installato il MSGPLUS3 senza togliere l'adware e adesso si ritrova con questi ospiti indesiderati nel pc che devono essere tolti.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi thethunder » 12/08/06 13:51

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O4 - HKCU\..\Run: [AXVenore] "C:\Programmi\AXVenore\AXVenore.exe"

O4 - HKCU\..\Run: [trust meal] C:\DOCUME~1\Sary\DATIAP~1\MULTIT~1\Real Show.exe

O4 - HKCU\..\Run: [PSHope] "C:\Programmi\PSHope\PSHope.exe"

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\system32\Shdocvw.dll

l'indirizzo ip è:169.254.163.116

l'antivirus mi dice che il file RSINSTALLIT.EXE è infetto

Credo che il problema sia altrove ma non so dove...

Devo passare nella sezione Security?

Tutto è cominciatto quando zona alarm mi segnalava che un file di nome svchost tentava di collegarsi al server..

poi non so sed io inavvertitamente ho dato il consenso o no...

Grazie di tutto
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Postdi thethunder » 12/08/06 14:07

per andorra 24....

faccio tutto po ti faccio sapere...

Grazie!!! :lol:
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Postdi Dylan666 » 12/08/06 14:13

andorra24 ha scritto:Si lo so che possono essere rifiutati durante il setup ma dal log dell'utente e' evidente che ha installato il MSGPLUS3 senza togliere l'adware e adesso si ritrova con questi ospiti indesiderati nel pc che devono essere tolti.


Lo so, per questo ho meso il link per disinstallarli ora che ormai li ha messi: c'è una procedura apposita (dal pannello disinstallazioni) che non necessita di alcun antispyware o operazione manuale ;)
;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi thethunder » 12/08/06 16:36

...allora provo a disinstallare dal pannell del mess...
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Postdi thethunder » 12/08/06 20:46

salve! Ecco le ultime novità:

l'antivirus ha ritrovato(già precedentemente elminato) il trojan SWIZZOR che ha impestato tutto.

Il file BINSTALLIT.exe è infetto con applicazione di WIN32/ Adware.WHEN U.SAVE NOW

Real Show non è presente nella cartella indicata nel log di Hijathis ma in
WINDOWS/PREFECT.Infatti dopo una nuova scansione di Hijathis è ancora li.

Non è possibile disinstallare Mess.live & Sponsor perchè mi dice che devo disinstallare anche il Mess.Plus.

Molti problemi vero?

Li possiamo risolvere?

Grazie.
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Postdi andorra24 » 12/08/06 22:39

Ma hai provato a fare le cose che ho scritto nel mio primo messaggio?
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Dylan666 » 13/08/06 01:25

thethunder ha scritto:Non è possibile disinstallare Mess.live & Sponsor perchè mi dice che devo disinstallare anche il Mess.Plus.


Non dovrebbe essere così: il link che ti ho dato dice che nel pannello di disinstallazione dovrebbe esserci la voce "Messenger Plus! Live & Sponsor" e che una volta cliccata, seguendo le istruzioni a schermo, a un certo punto ti deve chiedere se levare msg e sponsor o solo quest'ultimo.
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi thethunder » 13/08/06 19:19

per Andorra 24:non ho provato,ho fatto quello che mi hai detto ma la connessione non avviene e un host non specificato tenta di connettersi ad internet per cui i file li ho eliminati come tu mi hai consigliato.

Per Dylan 666:purtroppo non è così.
Quando provo a eliminare live e sponsor dice che il mess. si è rovinato per cui devo disinstallare anche lui.

Probabilmente è come dici tu,cioè la possibilità di scegliere e forse dipende dai problemi che ho.

Cmq non riesco a venirne a capo.

Saluti.
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Postdi Dylan666 » 13/08/06 20:31

thethunder ha scritto:Per Dylan 666:purtroppo non è così.
Quando provo a eliminare live e sponsor dice che il mess. si è rovinato per cui devo disinstallare anche lui.


Probabilmente questo accade preché è già parzialmente intervenuto un antispyware. Rimuovi tutto il MSG Plus!, tanto quando lo fai ti chiede se vuoi lasciare salvate sul PC le impostazioni per future re-installazioni (che comunque puoi mettere da parte anche da Plus! > Preferenze > Importa/Esporta), poi reinstalla ma rifiutando gli spyware
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi thethunder » 13/08/06 22:46

ok..posso poi postarti eventuali risultati?

Non pensavo che fosse così complicato...

Grazie ancora....
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Postdi Dylan666 » 13/08/06 23:25

Non c'è nulla di complicato ;)
Solo disinstalli e reinstalli il MSG PLus! Ma stavolta SENZA sponsor.
Poi postaci il nuovo log ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi thethunder » 15/08/06 19:07

OK!... Volevo cmq sapere se l'impossibilità di connettermi ad internet,dipende anche dal Mess.

Saluti e buona serata.
thethunder
Utente Senior
 
Post: 100
Iscritto il: 12/08/06 10:13

Postdi Dylan666 » 15/08/06 19:10

direi di no
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "REDIRECT IP":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti