Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

finestre che si aprono improvvise......

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

finestre che si aprono improvvise......

Postdi SAW III » 12/11/06 14:21

salve a tutti
da ieri, ogni volta che navigo (lento x la verità) mi si aprono finestre che mi propongo l'acquisto di medicinali, articoli tecnici, software. a secondo quello che cerco sulla rete.... trattasi quindi di spyware sicuramente....
solo che con il mio antivirus AVS che con BitDefenderOnLine nn riesco ad arrivare a capo di niente... anche una scansione completa con Ad-Aware nn ha risolto il problema.......
vi invio il file .log di hijackthis....... ;)
Logfile of HijackThis v1.99.1
Scan saved at 11.18.18, on 12/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Antivirus\avp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\DAEMON-Tools\daemon.exe
C:\Programmi\Antivirus\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {7EA30240-50F7-787D-F7B2-F7F7ADC14921} - C:\WINDOWS\jlpmi1.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\DAEMON-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [aol] "C:\Programmi\Antivirus\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://D:\Programmi\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - D:\Programmi\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.pixaco.it/static/download/p ... upload.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{955D53A2-6BB3-400B-8160-470ACA70C9E2}: NameServer = 193.70.152.15 193.70.152.25
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\Antivirus\avp.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[/url]
SAW III
Newbie
 
Post: 2
Iscritto il: 12/11/06 14:08

Sponsor
 

Postdi Luke57 » 12/11/06 15:16

Ciao , prova a scaricare questi due tools:
La prevx ha rilasciato un tool di rimozione per il malware linkoptimizer/gromozon:

http://www.prevx.com/gromozon.asp
disattiva l'antivirus durante la scansione. Il programma fa riavviare il computer e al riavvio termina la scansione. Rilascia un report che trovi in C:\Gromzon_Removal.log.

Scarica anche il tool della symantec

http://smallbiz.symantec.com/security_r ... 16-4153-99

lo scan va eseguito dalla modalità provvisoria (riavvii il computer, premi il tasto F8 ripetutamente all'accensione del computer e prima che si carichi windows, nella schermata che appare scegli modalità provvisoria spostandoti con le freccette e confermi la scelta premendo invio. Segui poi le istruzioni a schermo).

Posta i due report.

In caso di difficoltà nell'esecuzione dei tools rinominali con nome a casaccio (lasciando ovviamente inalterata l'estensione) e poi eseguili.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 12/11/06 22:10

Ciao, per prima cosa copia l’eseguibile di hijackthis in una cartella del disco fisso appositamente dedicata tipo C\HJT, (non del desktop, come hai fatto tu)in modo che il programma possa fare un backup delle voci rimosse.

Poi, apri il programma dalla nuova cartella, clicchi “open the misc tools section”, “open process manager”, cerchi ed evidenzi i seguenti processi
C:\WINDOWS\Temp\rsym1.exe
Premi “kill process”

Torni al menu principale con “back”, premi “scan”, cerchi e spunti le seguenti voci:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Andrea & Saba\Desktop\917133040.dll (file missing)
O4 - HKLM\..\Run: [rsym1.exe] C:\WINDOWS\Temp\rsym1.exe
O15 - Trusted Zone: http://www.1987324.com
O23 - Service: SysRwf - Unknown owner - \\?\C:\Programmi\Windows NT\lpt3.exe (file missing)

Premi fix checked

Lancia poi questi comandi, uno di seguito all’altro:

start>esegui>sc stop SysRwf (lo digiti nello spazio)>OK
start>esegui>sc delete SysRwf (lo digiti nello spazio)>OK


Riparti in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Rendi visibili file e cartelle nascosti:
da risorse del computer >strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

cerchi ed elimini, se ci sono i file:
C:\Documents and Settings\Andrea & Saba\Desktop\917133040.dll
C:\WINDOWS\Temp\rsym1.exe


Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

svuota il cestino.

Riavvia in modalità normale.

prova a scaricare questi due tools:
La prevx ha rilasciato un tool di rimozione per il malware linkoptimizer/gromozon:

http://www.prevx.com/gromozon.asp
disattiva l'antivirus durante la scansione. Il programma fa riavviare il computer e al riavvio termina la scansione. Rilascia un report che trovi in C:\Gromzon_Removal.log.

Scarica anche il tool della symantec

http://smallbiz.symantec.com/security_r ... 16-4153-99

lo scan va eseguito dalla modalità provvisoria (riavvii il computer, premi il tasto F8 ripetutamente all'accensione del computer e prima che si carichi windows, nella schermata che appare scegli modalità provvisoria spostandoti con le freccette e confermi la scelta premendo invio. Segui poi le istruzioni a schermo).
Anche questo tool rilascia un report nella stessa cartella dove hai sistemato il file.

Posta i report delle scansioni più altro log di hijackthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 12/11/06 22:12

Ciao, tralascia il mio secondo post, ho sbagliato bersaglio, era indirizzato a un'altra persona :oops:
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi SAW III » 15/11/06 00:19

ok...................
adesso provo il tutto......... :!:
SAW III
Newbie
 
Post: 2
Iscritto il: 12/11/06 14:08


Torna a Sicurezza e Privacy


Topic correlati a "finestre che si aprono improvvise......":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti