Pop-up che si aprono a piacere e Spybot che non collabora...

[goat]

Ciao ciao,
nonostante il mio frequentare siti osè sia di recente molto scemato, troppo lavoro e poca libido, mi trovo a dover convivere per l'ennesima volta con qualche sorta di file parassita ed estraneo.
Vi ringrazio fin d'ora per la pazienza. Davvero.

Semplicemente mi trovo le solite care pop-up che mi si aprono ogni 10 o 15 minuti, inoltre IE, una volta avviato, mi si presentava privo della barra dei pulsanti standard, dei collegamenti ecc.
Ho riavviato il computer in modalità provvisorio e nell'ordine ho fatto una scansione con CWShredder, Ad-Aware e AntiVir XP. Quando ho fatto partire anche Spybot mi sono accorto dell'icredibile lentezza della sua scansione, parlo di quasi 4 ore rispetto al quarto d'ora standard. Dopo aver riavviato il tutto ho risolto il problema del browser mentre le pop-up persistono...
So di avere qualche programma non aggiornato, però nell'arco di qualche giorno verrà operata una vera e propria rivoluzione per quanto riguarda i sistemi operativi dei nostri computer.
Domanda: la continua infezione del mio computer potrebbe essere dovuta a qualche collega che naviga in siti porci? Insomma, posso essere infettato tramite la rete che collega i nostri computer?
Di seguito il log ottenuto con HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11.41.22, on 22/09/2005
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\WINNT\System32\msole32.exe
C:\WINNT\System32\msole32.exe
C:\Programmi\InCD\InCD.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINNT\System32\qttask.exe
C:\WINNT\popuper.exe
C:\WINNT\System32\intmonp.exe
C:\WINNT\explorer.exe
C:\Programmi\HJThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interfree.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] C:\Programmi\InCD\InCD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\System32\msmsgs.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAC02FE7-D0D8-4788-B8F3-75C8105DBDF3}: NameServer = 85.255.113.147,85.255.112.24
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[holifay]

Ti do il mio contributo, visti i tuoi buoni propositi e l'onestà di ammettere la visita a certi siti

Il problema principale è che hai Trojan Popuper che si annida in una chiave di avvio non analizzata da Hijack. Quindi occorre un po' di attenzione in più.

1. abilita la visualizzazione dei file nascosti
2. disabilita il ripristino di sistema
3. scaricati il file popuper_remover.zip. Salvalo sul desktop unzippalo e avvialo
4. Riavvia il PC in modalità provvisoria
5. avvia Hijack e premi fix su queste voci:

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\System32\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAC02FE7-D0D8-4788-B8F3-75C8105DBDF3}: NameServer = 85.255.113.147,85.255.112.24

6. cancella questi file (se li trovi)
C:\WINNT\System32\msmsgs.exe
C:\WINNT\System32\payload.dat (copia di quello sopra)
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\shnlog.exe

7. scarica questo file e installalo. Serve a sistemare correttamente le zone di protezione di IE

8. aggiorna Internet Explorer

[LUCASS]

Ciao aggiungo queste info che ho trovato
Dalla modalita provvisoria
start>esegui>regedit>ok
Portati in
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar'
nel pannello di destra(dati) trova ed elimina se presente
{08BEC6AA-49FC-4379-3587-4B21E286C19E}

'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar \ WebBrowser'
nel pannello di destra(dati) trova ed elimina se presente
{08BEC6AA-49FC-4379-3587-4B21E286C19E}

HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {08BEC6AA-49FC-4379-3587-4B21E286C19E}
elimina se è presente

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {08BEC6AA-49FC-4379-3587-4B21E286C19E}'
elimina se è presente

Riavvia il pc
Start>pannello di controllo>opzioni internet>portati sulla scheda programmi>clicca su "Ripristina impostazioni Web"

[goat]

Ciao e grazie per le vostre indicazioni.
Ho appena fatto tutto quello che mi avete consigliato. Di seguito il nuovo file log che ho ricavato. Tutto a posto?

Logfile of HijackThis v1.99.1
Scan saved at 11.11.15, on 26/09/2005
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\Programmi\InCD\InCD.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINNT\System32\qttask.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\Programmi\HJThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] C:\Programmi\InCD\InCD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[LUCASS]

Ciao ,il log è pulito,forse dovresti levare qualcosa di inutile che ti parte in automatico,tipo la diagniostica della stampante
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3
\hpztsb07.exe


PS:Assicurati tramite windows update di avere tutti gli aggiornamenti e se vuoi esegui una scansione on-line
http://www.kaspersky.com/service?chapter=161739400

[goat]

Perfetto, grazie mille per la collaborazione.
Come ho scritto nel primo post a giorni daremo una bella sistemata a tutti i computer dello studio.
Grazie e ciao,
goat