problema con spyware

di **bledarinho** » 02/05/05 12:22

vabbè raga, mi dispiace per il tempo che v'ho fatto perdè....ma nulla...ho eliminat anke quello....e quel file di *** si ricrea...

di **Tomas Milian** » 02/05/05 16:32

Prova ad entrare in modalità provvisoria ed eliminare il file con hijackthis o anche a mano.

Poi prova ad eliminare anche:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.joqtphpwbacxegkumrzio.com/76 ... Qrl5tl.htm

Per concludere dovresti controllare se gli ip di queste due voci ti sono conosciuti:

O17 - HKLM\System\CCS\Services\Tcpip\..\{D64E4C29-DFEF-41DC-9466-A13C5C8D2DCA}: NameServer = 192.168.50.1

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.49.220:8080

di **Dylan666** » 02/05/05 17:16

Tomas Milian ha scritto:O17 - HKLM\System\CCS\Services\Tcpip\..\{D64E4C29-DFEF-41DC-9466-A13C5C8D2DCA}: NameServer = 192.168.50.1

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.49.220:8080

Se sei in LAN o cose simili?

di **Tomas Milian** » 02/05/05 19:18

Si lo so, se sei in lan quei parametri sono perfetti!

Anzi sicuramente sono giusti... anche perchè non sono indirizzi ip pubblici che magari potevano fare riferimento a qualche sito strano.

di **bledarinho** » 03/05/05 17:53

grazie raga che ce la state mettendo tutta per aiutarmi...

allora vi spiego...

il primo lo cancello, gli altri due so gli ip che mi collego all'universita tramite una lan

il primo ip è server dns preferito....

il secondo è l'ip normale...

tutte e deu sono della lan dell'univerista....che faccio, gli dovrei eliminare...ma penso di no cmq...attendo una vostra conferma

di **Tomas Milian** » 03/05/05 18:03

Tomas Milian ha scritto:O17 - HKLM\System\CCS\Services\Tcpip\..\{D64E4C29-DFEF-41DC-9466-A13C5C8D2DCA}: NameServer = 192.168.50.1

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.49.220:8080

Questi non li devi eliminare!

di **Dylan666** » 03/05/05 18:06

Che sintomi hai ancora? Posta un nuovo log

di **bledarinho** » 03/05/05 18:37

Logfile of HijackThis v1.99.1
Scan saved at 19.34.52, on 03/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programmi\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Sophos SWEEP for NT\ICMON.EXE
C:\Programmi\Sophos\Remote Update\imonitor.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Bledar Pergjika\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programmi\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programmi\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{D51C36A5-EC28-47D2-A1C8-7C620D3989AD}: NameServer = 212.151.136.246 130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{D64E4C29-DFEF-41DC-9466-A13C5C8D2DCA}: NameServer = 192.168.50.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programmi\Sophos\Remote Update\cachemgr.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programmi\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programmi\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ragazzi, la 017 con quell'ip lunghissimo, si ricrea, nonostante io lo abbia cancellato....sospetto?

di **Dylan666** » 03/05/05 18:50

Sicuro che non siano solo i DNS di Tele2 ?

di **bledarinho** » 03/05/05 18:54

mah puo darsi....solo che io non li ho neanche impostati.....si saranno fatti automaticamente...ma cmq uso Tele2...quindi , genietto e anke mitico

, potresti avere ragione...thank

di **bledarinho** » 03/05/05 19:02

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.joqtphpwbacxegkumrzio.com/76 ... Qrl5tl.htm

cmq , ragazzi per il momento possiamo cantare vittoria, perche non si crea piu quel maledetto spyware....e mi sa che quello sopra doveva essere il problema....perche appena avviavo internet explorer, mi uscivano una pubblicita...e adesso non piu....

grazie di tutto...ovviamente se si ricrea...ricollaboriamo

di **bledarinho** » 03/05/05 19:08

ops...sono stato smentito....

raga, il problema è quello sopra...come faccio?

io lo elmino con hijackthis, ma poi si ricrea....

come faccio....sentite, ho anke regCleaner...ma non lo so usare....come dovrei farla la pulizia dei registri???

di **Dylan666** » 03/05/05 19:18

bledarinho ha scritto:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.joqtphpwbacxegkumrzio.com/76 ... Qrl5tl.htm

Qudni quello si ricrea? Anche se sei off-line dopo un reset?

di **bledarinho** » 03/05/05 19:22

si, ho appena provato...mi sono disconesso, ho lanciato hijack, l'ha trovato....l'ho eliminato e dopo un po l'ho rilanciato.....e l'ha ritrovato....

di **Dylan666** » 03/05/05 19:38

Siamo sicuri che questo...
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

...sia questo?
http://www.liutilities.com/products/win ... /igfxsrvc/
Guarda le proprietà del file e vedi se dice Intel(R) Graphics Accelerator Helper o cose simili

di **bledarinho** » 03/05/05 19:55

quarda ne ha trovati 3

- c: \swsetup\video

- c: \windows\system32

- c: \swsetuo\video\win2000

ho fatto proprieta del secondo, nome prodotto Inter(r) common user interface

societa intel corporation,

di **Dylan666** » 03/05/05 20:27

e allora nel log ora non c'è nulla che di per se mi insospettisca.
Ma tu ha un redirect su http://www.joqtphpwbacxegkumrzio.com? Il sito pare non esistere.

di **bledarinho** » 03/05/05 20:34

che vuol dire redirect??? cmq si, penso che il sito non esiste....l'ho provato prima....ma allora perche si ricrea, qual'è il problema...lo so che non è grave, perche è una pubblicita....pero la curiosita

di **Dylan666** » 03/05/05 20:36

Cioè quando apri il browser verso che siti vieni reindirizzato? Che finestre ti appaiono?

di **Dylan666** » 03/05/05 20:37

Magari proverei anche a dare una passatina di questo:
http://www.pc-facile.com/download/anti- ... ware_beta/

problema con spyware

Topic correlati a "problema con spyware":

Chi c’è in linea