Log di Hijackthis+domanda su ZoneAlarm

[Dubh]

Ciao a tutti,
da una settimana combatto con XP tra virus, trojan etc. Ho tolto il Norton perchè era troppo pesante e ora ho NOD32, ZoneAlarm, AdAware e Spybot. Ad ogni "giro" di pc faccio la scansione di AdAware e ieri mi ha riconosciuto 120 "oggetti". Li ho eliminati, ma al riavvio ha di nuovo trovato roba. Appena apro IE escono pop-up e la pagina iniziale cambia...devo avere talmente tante schifezze che infatti la memoria è diminuita notevolmente (in pratica mi ha mangiato 1GB di roba se non di più...credo VVoVe: )

Credo sia importante dire che non ho installato il SP2 perchè l'omino che l'ha messo non ne ha usato uno originale...
Posto qui il log appena fatto di Hijackthis, magari mi potete aiutare...
Altra cosa: Zone Alarm non serve per bloccare pop-up pubblicitari, vero? A me non lo fa, anche se è tutto impostato su High. Avevo provato il Look'n'stop, ma mi bloccava anche cose utili, mentre la Google Toolbar non le blocca comunque.
Grazie a tutti :rollo:


Logfile of HijackThis v1.97.7
Scan saved at 14.00.44, on 14/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winsdns.exe
C:\Programmi\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\msbuffer.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programmi\McAfee\McAfee VirusScan\alogserv.exe
C:\wexpIerer.exe
C:\Programmi\Eset\nod32kui.exe
C:\iexplerer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msbuffer.exe
C:\Programmi\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documenti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.libero.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {31AD3CA8-CB88-2A55-E71E-161AF7D58BB0} - C:\PROGRA~1\AMOKDA~1\Soft Four.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Microsoft Keyz] winsdns.exe
O4 - HKLM\..\Run: [MicrosoftUpdate] syshelper.exe
O4 - HKLM\..\Run: [MSNMSGRR] C:\swin.bat
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [MSNMSGRE] C:\swef.bat
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MSNMSGRS1] C:\swed.bat
O4 - HKLM\..\Run: [Microsoft Buffer App] msbuffer.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Alogserv] C:\Programmi\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [sais] c:\programmi\180solutions\sais.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Microsoft Keyz] winsdns.exe
O4 - HKLM\..\RunServices: [MicrosoftUpdate] syshelper.exe
O4 - HKLM\..\RunServices: [Microsoft Buffer App] msbuffer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MicrosoftUpdate] syshelper.exe
O4 - HKCU\..\Run: [Microsoft Buffer App] msbuffer.exe
O4 - Startup: EPSON Controllo in background.lnk = C:\ESM2\Stms.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: &Translate Using Gist-In-Time (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: Win32 Classes -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...e61a49d18a3129
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...97/mcfscan.cab

[antares11]

a dir la verità non si sa dove cominciare ad intervenire, nel tuo caso :master:
riassumo alcune cose utili

- tieni sempre aggiornato ogni sw che gira nel tuo pc

- sembrerebbe che ms chiuda un occhio (per ora) in modo da permettere di installare SP2 di windows xp anche a chi non è in regola: scaricati ed installa SP2 che è un passo importante anche per la sicurezza (è anche anti popup)

- spendi un po' di tempo a leggerti i Links utili su Sicurezza Informatica e Virus di questo forum
http://forum.html.it/forum/showthrea...hreadid=235578

- come firewall Zone Alarm free è sufficiente

- come antivirus NOD32 non lo conosco ma ne trovi anche altri free: cmq ce ne sono anche di quelli più completi e con scansione online, li trovi in quel link; puoi anche usare Kaspersky Anti Virus shareware, almeno per quelle 2 o 3 settimane che è free: è un po' pesante ma molto efficace

- come antispyware/antiadware lavasoft ad-aware free va bene ma per rimuovere il malware solo dopo che sei stato infettato:
scaricati 'Giant Antispyware' shareware e inizia ad usarlo quantomeno finchè è gratis e non hai ripulito "l'orto"

- installati 'SpywareBlaster' free e tienilo aggiornato: agisce semplicemente come un 'buttafuori', ossia impedisce che certo malware, come nel tuo caso, si installi nel pc (infatti scarica un database di oltre 3.000 links di siti che installano spyware & adware)

- scaricati ed installa 'IE.SPYAD' altro utilissimo tool che col suo vasto database di links di siti dubbi va a completare il lavoro di SpywareBlaster

- altro utile tool è 'SpywareGuard' che è free e fa guardia attiva contro gli spyware

- come web browser lascia perdere per il momento Internet Explorer: non usarlo semplicemente perchè a meno che lo si setti molto bene è esso la prima causa dei tuoi guai
scarica ed installa Mozilla FIREFOX, te lo setti in un paio di minuti e subito inizi a navigare tranquillo e beato senza rimpiangere IE (ripeto, non serve disinstallare IE, basta bloccarlo con 4 X rosse in Zone Alarm)

- leggiti ancora quanto ti serve in questo forum, in particolare come scansionare in 'modalità provvisoria' ossia in modalità sicura, altrimenti farai fatica inutilmente

- quando alla fine farai un log di hijackthis usane l'ultima versione, che trovi nel Links Utili

per il momento basta e avanza: anzi non basta, usa gratis per 15 gg questo tool che è una vera manna nel tuo caso: è velocissimo ed efficace
'eScan 2003'

poi se anche dopo CWShredder & HiJackThis non ti sarai messo a posto, ti rimangono da fare solo 2 cose
- o bevi tanta di quell'acqua ..... ..... che ti pulisce dentro e ti fa ..... :master: ... bello fuori col pc
- oppure pialli tutto e rinasci a nuova vita

ps: z.a. è un firewall che blocca entrate e uscite al tuo pc e NON elimina popups

[Dubh]

Grazie, è commuovente una risposta simile, seguirò ogni tuo consiglio!!!(anche quello di bere tanta acqua, se necessario )
Avevo cercato un po' sul forum, ma certi programmi li leggo solo ora.

Graziegraziegraziegraziegraziegrazie

[amvinfe]

prima dei suggerimenti di antares11, ottimi fra l'altro a mio avviso,
prova a riavvaire in modalità provvisoria, apri HijackThis fai lo scan metti la spuna al fianco delle vosi, clicca su Fix checked

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about :blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {31AD3CA8-CB88-2A55-E71E-161AF7D58BB0} - C:\PROGRA~1\AMOKDA~1\Soft Four.exe
O4 - HKLM\..\Run: [Microsoft Keyz] winsdns.exe
O4 - HKLM\..\Run: [MicrosoftUpdate] syshelper.exe
O4 - HKLM\..\Run: [MSNMSGRR] C:\swin.bat
O4 - HKLM\..\Run: [MSNMSGRE] C:\swef.bat
O4 - HKLM\..\Run: [MSNMSGRS1] C:\swed.bat
O4 - HKLM\..\Run: [Microsoft Buffer App] msbuffer.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [sais] c:\programmi\180solutions\sais.exe
O4 - HKLM\..\RunServices: [Microsoft Keyz] winsdns.exe
O4 - HKLM\..\RunServices: [MicrosoftUpdate] syshelper.exe
O4 - HKLM\..\RunServices: [Microsoft Buffer App] msbuffer.exe
O4 - HKCU\..\Run: [MicrosoftUpdate] syshelper.exe
O4 - HKCU\..\Run: [Microsoft Buffer App] msbuffer.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...1e61a49d18a3129

sempre dalla provvisoria elimina
winsdns.exe
syshelper.exe
C:\swin.bat
C:\swef.bat
C:\swed.bat
msbuffer.exe
C:\Program Files\Windows SyncroAd \SyncroAd.exe <==la cartella
c:\programmi\180solutions \sais.exe<==la cartella

riavvia per permettere le modifiche.
Riavvia ancora in provvisoria apri AdAware (deve avere le firme aggiornate!), fai una scansione elimina tutti i valori infetti trovati.
Riavvia, collegati all'URL
http://housecall.trendmicro.com/hous...start_corp.asp
fai una scansione online, elimina i valori infetti.
Riavvia.
Posta un nuovo log di HijackThis

[antares11]

Originariamente inviato da Dubh
Grazie, è commuovente una risposta simile,.....graziegrazie

a parte il tono scherzoso che uso talvolta, i suggerimenti hanno valenza generale e non solo nel tuo caso
è cosa saggia tenersi informati attraverso un forum diversificato come questo di html.it poichè nel campo informatico solo 6 mesi o un anno sono un lasso di tempo in cui molte cose possono cambiare radicalmente e quel sw che prima andava molto bene ora potrebbe essere quasi inutile se non anche controproducente
esempi: spybot s&d oggi conta poco o niente, internet explorer 6 può essere rimpiazzato da firefox rapidamente e con soddisfazione (tranne casi particolari)

insomma la lettura di un buon forum dedicato alla sicurezza informatica fa da corroborante come un'ottima crema di moka.... che più la mandi giù, più te lo tira su.....
il morale, ovvio

[amvinfe]

Originariamente inviato da antares11
come un'ottima crema di moka.... che più la mandi giù, più te lo tira su.....
il morale, ovvio

[Dubh]

Tutto a posto, ce l'ho fatta con un'azione combinata dei vostri consigli, ho anche messo su Mozilla ed è tutto un altro vivere
Grazieeeeee!Almeno il problema dei virus e della sicurezza l'ho sistemato!!!Ora posso iniziare a pensare alle disgrazie dei drivers che non vede

PS: appena ho un po' di dindi passo ad Apple
Grazie ancora!