"Possible spyware o adware infection"

**sammy286** · 17-03-2008, 21:38

Ciao a tutti...
Navigando in rete..mi sono inbattuto nel solito pop up porno che parte in automatico...e per sbaglio ci ho cliccato...

Ecco...da quel giorno....(ieri n.d.r.)....mi esce una cosa strana sul browser:

pagina IE7 normale,però in alto mi esce scritto

"Warning: possible spyware or adware infection! Click here to scan your computer for spyware and adware..."

Ho provato con Avast a controllare, ho provato con Ad Aware SE...ma niente, non mi rileva nulla...
Allora..lanciato Ad-Watch SE Professional...e a tutti i processi esce un Alarm, un tentativo to alter a procected object has been detected....

Io mi dico..possibile che un caxxo di pop up fa tutto sto casino???

E non riesco neppure a capire che problema ho...uffa!!!

Vabbè...aspetto qualche consiglio....ringrazio già da ora!!!

Ciao ciao

**Deifobe** · 17-03-2008, 22:23

Scarica Hijackthis e mettilo in un cartella dedicata (tipo: c:\programmi\Hijackthis).
Eseguilo e clicca sul tasto "Do a system scan and save a log file". Posta il file di testo ottenuto.

Scarica SystemScan, disconnetti il pc da internet => esegui systemscan => togli tutte le spunte eccetto che a queste scansioni:

- Recent files
- Duplicates in BAK folders
- Registry Run Keys
- Scheduled jobs
- Loaded modules
- Hidden objects
- Include HOSTS file
- Suspicious Files

=> clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.

ciao

**sammy286** · 17-03-2008, 23:07

File di testo con Hijackthis:

-----------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.33.05, on 17/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Progra~1\Keyboard\Ikeymain.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Kenkeybd] C:\Progra~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Schedulatore di FinePrint v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp 5a.exe" /source=HKLM
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C930D7F7-DA6D-4E85-8AFF-84F996043DCA}: NameServer = 85.37.17.7 85.38.28.95
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O21 - SSODL: VolumeMon - {bea0c4ad-2789-4f95-8911-de074825056f} - C:\WINDOWS\Installer\{bea0c4ad-2789-4f95-8911-de074825056f}\VolumeMon.dll
O21 - SSODL: SrvCheck - {90be90a7-c11f-434d-ae9a-b062de782110} - C:\WINDOWS\Installer\{90be90a7-c11f-434d-ae9a-b062de782110}\SrvCheck.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 8839 bytes

-----------------------------------------------------------------------------------

E poi il link di Freefilehosting con il rapporto di Suspetcfile:
report101.txt

Ecco il tutto richiesto...e grazie!!!!

Ciao ciao

**Deifobe** · 18-03-2008, 14:33

scarica Avenger, CCleaner e disconnetti il pc da internet.

Disattiva il ripristino configurazione di sistema: clicca su start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"

Apri "risorse del computer", vai in C:\DOCUME~1\Sammy286\IMPOST~1\Temp ordina i files per tipo ed elimina tutti i jpg come questo => ~7f7c8dc54ed451c853b0963d2c00.jpg (ovviamente i nuleri cambiano)

Esegui avenger e nello spazio bianco copia e incolla:

files to delete:
C:\WINDOWS\altvxvm.dll
C:\WINDOWS\fmsxwqs.exe
C:\WINDOWS\drnpfdxwrs.dll
C:\WINDOWS\system32\UDLA5Axq.exe
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At29.job
C:\WINDOWS\tasks\At27.job
C:\WINDOWS\tasks\At28.job
C:\WINDOWS\tasks\At30.job
C:\WINDOWS\tasks\At33.job
C:\WINDOWS\tasks\At34.job
C:\WINDOWS\tasks\At31.job
C:\WINDOWS\tasks\At32.job
C:\WINDOWS\tasks\At42.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At43.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At26.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At25.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At40.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At41.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At36.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At37.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At38.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At39.job
C:\WINDOWS\tasks\At47.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At48.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At35.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At44.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At45.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At46.job
C:\WINDOWS\tasks\At22.job
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\064t147o.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\0JQw8stL.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\10je8SFD.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\268N8hpC.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\340p42sF.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\3iw1mT3Y.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\4O865Ns3.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\6201e5ld.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\63m30qoU.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\64Ab0AID.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\6870TJFD.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\84miI6hm.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\aU2aML72.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\h8HcsjBV.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\IVHx8a6c.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\Iy75fvOj.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\jL18GKmg.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\lLAETwgS.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\lpISL2L0.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\n3UAr3SF.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\nnhC5jLx.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\r4angJC0.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\s8iluvjg.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\SlH776qm.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\VpNF4gTq.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\w87Y5Xxe.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\w8d3s35t.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\wmNaSn1o.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\X2do811a.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\xkt51i34.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\MWWbtFtQ.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\gqq24y0k.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\668CU1U8.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\dnn57v3h.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\eoo57w3i.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\QBBfxJxU.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\002AS4S2.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\3iw1mT3Y.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\63m30qoU.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\SlH776qm.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\xkt51i34.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\w87Y5Xxe.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\VpNF4gTq.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\4O865Ns3.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\s8iluvjg.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\wmNaSn1o.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\268N8hpC.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\aU2aML72.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\340p42sF.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\nnhC5jLx.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\84miI6hm.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\lLAETwgS.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\h8HcsjBV.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\0JQw8stL.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\064t147o.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\10je8SFD.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\64Ab0AID.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\n3UAr3SF.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\jL18GKmg.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\6870TJFD.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\Iy75fvOj.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\w8d3s35t.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\r4angJC0.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\S4rwiEha.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\e5NjBz9J.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\lpISL2L0.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\65171.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\IVHx8a6c.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\6201e5ld.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\X2do811a.exe
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\9D8030.dmp
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\4E3BD5.dmp
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\qbb57j3u.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\3296125
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\335KD7D5.dat
C:\DOCUME~1\Sammy286\IMPOST~1\Temp\mww24f0q.dat

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{34D7198C-3B26-4434-B8B0-53DCE7410E70}

Esegui CCleaner e ripulisci file temporanei e cookie (eseguilo 2 volte).

vai nella cartella C:\WINDOWS\tasks\ e se vedi altri file come questo At44.job ma con i numeri diversi, eliminali.

Controlla questo file C:\WINDOWS\Installer\{bea0c4ad-2789-4f95-8911-de074825056f}\VolumeMon.dll su Virustotal
che dovrebbe essere ok ma non trovo nulla a riguardo..

Riposta un nuovo rapporto di systemscan. Per i "recent files" aumenta i giorni (per default sono fissati a 60, basta il livello appena precedente.)

**sammy286** · 18-03-2008, 20:46

Ciao!!!

Allora...fatto tutto ciò che mi hai detto...:
- Avenger mi ha riportato un report con alcuni errori...niente di che cmq...

- Poi CCleaner tutto ok!

- Per il file che mi hai detto di controllare...qst è il rapporto..leggo un po' di Trojan...però non ci capisco nulla!!!

http://www.virustotal.com/it/analisi...3491bd89881f61

- Infine..il nuovo reporto di systemscan posto sempre sul freeFileHosting:
report106.txt

(Per i recent file....aumenta i giorni con il livello precedente???

io ho messo 30...precedente a 60 => diminuisco i gg...

)

Grazie mille per l'aiuto...mi sa che ho il pc un po' incasinato...

**Deifobe** · 19-03-2008, 00:09

ehmmm per ora non lo guardo nemmeno il rapporto.. mi è bastato il file analizzato...

fai una scansione con Kaspersky_virusscanner e posta il rapporto. La scansione è online ma puoi disconnettere tranquillamente il pc da internet dopo aver selezionato "my computer".. e al termine della scansione salva il rapporto come file di testo e caricalo su freefilehosting... i file trovati dovranno essere eliminati.

se non ti dispiace, puoi comunque postarmi anche quello di avenger?

... così lo guardo anche io...

per systemscan: non avevo l'eseguibile per controllare.. cmq intendevo: imposta i giorni a 90 (i files job che abbiamo eliminato arrivavano a 58 giorni, quindi i file dal 61° giorno in poi, se presenti, non li vedevo... avevo risolto facendoteli eliminare a mano ma volevo cmq controllare.. nella fretta mi sono spiegata male.. :P )

Pc incasinato? non so.. per ora va ancora bene... vediamo il rapporto di kaspersky e poi ti dirò se era davvero incasinato..

ciao

**sammy286** · 19-03-2008, 08:48

Ciao!!! Anzi..direi buongiorno...

Tutta notte per la scansione KasperSky...e il risultato è qst:
RapportoKasperSky.txt

Per quanto riguarda il rapporto di Systemscan invece, l'ultimo è qst:
reportSystemSkan.txt

Invece, con Avenger, ho un file report del primo controllo effettuato, però è criptato con chiave, quindi non posso aprirlo...ma ne ho fatto un'altro..ovviamente, salvato prontamente in txt:
ReportAvenger.txt

PS: Ma kaspersky è sempre a pagamento,vero?
Io avevo Kaspersky, antihaker e AV, mi trovavo benissimo...fino a che non sono entrato in blaklist per gli aggiornamenti...quidni tolto e messo Avast..ma rimpiango Kaspersky...

Grazie...ciao ciao

**Deifobe** · 19-03-2008, 09:16

Per ora esegui questo script, il resto lo devo controllare con calma (eccetto nero, che dovrebbe essere ok, in reatà).

files to delete:
C:\Documents and Settings\LocalService\Impostazioni locali\Temp\28yIUq74.exe
C:\Documents and Settings\LocalService\Impostazioni locali\Temp\BPwT121n.exe
C:\Documents and Settings\LocalService\Impostazioni locali\Temp\NU6DTJV6.exe
C:\Documents and Settings\LocalService\Impostazioni locali\Temp\q5527ogo.exe
C:\Documents and Settings\Sammy286\Impostazioni locali\Temp\6iQhlg7N.exe
C:\Documents and Settings\Sammy286\Impostazioni locali\Temp\7mY45B6c.exe
C:\Documents and Settings\Sammy286\Impostazioni locali\Temp\LyLfxX7Y.exe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Riesegui 2 volte ccleaner, hai ancora tutti i temp..
Il file di avenger lo trovi in c:\avenger. Quello che hai postato deve essere quello che hai rieseguito (non ha eliminato nulla perchè non ha trovato i file).
Hai eliminato i files manualmente come ti avevo detto?

Ciao

**sammy286** · 19-03-2008, 21:38

Ciao...

Allora:
- Il report di Avenger, l'ultimo che ho eseguito è qui;

Il primo report.txt generato con Avenger non riesco ad aprirlo, è in una cartella C:/Avenger, in un file compresso, ma mi chiede una password, che non ho, per aprirlo.... (se vuoi ti carico su rapidshare quel file "backup-19.03.2008- 7.27.07,60.rar"...)

- Io ho eseguito 2 volte CCleaner, ho fatto pure analizza e non ha trovato altri temp.
I file *.jpg da C:\DOCUME~1\Sammy286\IMPOST~1\Temp li ho cancellati tutti a mano, proprio come mi hai detto...sisi...

**Deifobe** · 19-03-2008, 22:09

ok

quando puoi, riesegui systemscan. Dimmi anche se il pc continua ad avere i problemi iniziali..

EDIT : opss... me ne sono ricordata ora.. devi fare una cosa:
apri il registro (start - esegui - digita regedit e dai l'ok)
segui questo percorso (facendo attenzione):
HKEY_LOCAL_MACHINE\system\controlset001\services\a o2wzpee

clicca su ao2wzpee con il tasto destro del mouse e seleziona "esporta".
devi salvarla esattamente così:
nome: servizio.txt
tipo di file: testo
salvala in c:\
chiudi il registro

poi chiudi il file di testo e lo carichi su freefilehosting.
Vorrei controllare questo servizio..

ciao

Discussione: "Possible spyware o adware infection"

Strumenti discussione

Ricerca discussione

Visualizza

"Possible spyware o adware infection"

Permessi di invio