presunto spyware!

[Beppeweb v 2.0]

Mi ha impostato lo sfondo (che ovviamente non riesco a cambiare ne tantomeno a eliminare tanto me lo ricrea di nuovo) e sulla barra delle applicazioni mi esce un triangolino di pericolo, se clicco mi porta a questa pagina: http://www.topantispyware.com/spywareremovers.php?131

Con ad-aware non ho risolto niente! Che faccio?



ah ogni tanto mi compare qualche messaggio "servizio messaggistica immediata" ma non so neanche da quale programma derivi!
Inoltre mi imposta da solo la home page: http://new-search.net/index.php?v=6&aff=766981

[Etilico]

prova a postare il log di hijackthis (leggi i 3d in rilievo!)

[Copertino]

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Privato\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=766981
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=766981
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [KB840987] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0E837D3-F874-4D65-BF49-D6503C700B8D}: NameServer = 193.70.152.15 193.70.152.25
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

[amvinfe]

a parte che non ho ben capito questa sostituzione di utente...comunque, spero tu abbia letto il tutorial per l'uso corretto di HijackThis e la prossima volta metti tutto il log anche la parte iniziale.

elimina:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=766981
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=766981
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [KB840987] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll


dalla provvisoria elimina:
C:\WINDOWS\System32\spoolsrv32.exe ==> non confonderlo con il file C:\WINDOWS\system32\spoolsv.exe che è un file legittimo

C:\WINDOWS\System32\xplugin.dll

riavvia e fai una scansione online
http://www.bitdefender.com/scan/license.php
riavvia e posta un nuovo log

[Copertino]

Scusa l'ignoranza ma che vuol dire da "provvisoria"?
__________________________________________________ ____
Il resto del log:
Logfile of HijackThis v1.99.1
Scan saved at 18.20.45, on 05/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

[Copertino]

Questo è l'esito dello scan dell'antivirus (non ho ancora cancellato i due file da "provvisoria")
C:\Documents and Settings\Privato\Impostazioni locali\Temp\~DF6.tmp: infected with Trojan.Downloader.Agent.FN
C:\Documents and Settings\Privato\Impostazioni locali\Temp\~DF6.tmp: deleted
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\01QF45UB\cursor[1].htm: infected with Exploit.Win32.MS05-002.Gen
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\01QF45UB\cursor[1].htm: disinfection failed
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\782XR451\connect[1].htm: infected with Exploit.Html.Codebase.Exec.Gen
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\782XR451\connect[1].htm: disinfection failed
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\782XR451\cursor[1].htm: infected with Exploit.Win32.MS05-002.Gen
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\782XR451\cursor[1].htm: disinfection failed
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\CD6BKT2F\index2[1].htm: infected with Exploit.Html.MhtRedir.Gen
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\CD6BKT2F\index2[1].htm: disinfection failed
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\G5EFG5IN\index2[1].htm: infected with Exploit.Html.MhtRedir.Gen
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\G5EFG5IN\index2[1].htm: disinfection failed
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\KDURW9EB\cursor[1].htm: infected with Exploit.Win32.MS05-002.Gen
C:\Documents and Settings\Privato\Impostazioni locali\Temporary Internet Files\Content.IE5\KDURW9EB\cursor[1].htm: disinfection failed
C:\WINDOWS\system32\runsvc32.exe: infected with Trojan.Dropper.Small.OY
C:\WINDOWS\system32\runsvc32.exe: disinfection failed
C:\WINDOWS\system32\tksrv99.exe: infected with Trojan.Downloader.Esepor.AA
C:\WINDOWS\system32\tksrv99.exe: disinfection failed
C:\WINDOWS\system32\tmksrvu.exe: infected with Adware.WUpd.A
C:\WINDOWS\system32\tmksrvu.exe: disinfection failed

[amvinfe]

come avrai potuto capire dal log di responso della scansione online, non tutti i files sono stati eliminati o disinfettati, anche perchè tutti sono collegati a malware e quindi non disinfettabili.
Ora se vuoi fare una cosa intelligente, oltre a mettere HijackThis all'interno di una nuova cartella per poi collocarla in C:\Programmi (nel tutorial è spiegato, ma evidentemente neanche sai dell'esistenza del tutorial) scaricati ed installati oltre ad aggiornarlo un antivirus, sempre che tu non voglia continuare ad usare il pc senza.

Quale scaricare???
fai un po' tu, di free ce ne sono almeno tre
antivir
avast!
avg7
(sono in ordine alfabetico)
e li trovi tutti nel 3d in rilievo -links utili-

dimenticavo, fai anche gli aggiornamenti Microsoft perchè non hai neanche una protezione contro i bugs, non avendo installato neanche il SP1

http://service1.symantec.com/SUPPORT...20906143424924