Spyware

**gart** · 12-01-2006, 11:22

Ciao a tutti...ho un grosso problema....mi si sono visualizzati sul desktop dei collegamenti ad internet (casino, siti porno ecc) e non riesco a eliminarli, e tutte le volte che mi collego ad internet mi si aprono in cointinuazione le pagine riferite a quei collegamenti ed è impossibile navigare.....ho provato a fare tutte le scansioni possibili ma niente....ecco il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10.04.45, on 12/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\bin\btwdins.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Internet Explorer\SIGNUP\ZoneAlarm\zlclient.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\BTTray.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
F:\Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0411/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.olidata.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\itDDD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [jweb4] C:\WINDOWS\_DlrApps\jweb4.exe /astart
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\btsendto_ie_ctx.htm
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.it
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

**gart** · 12-01-2006, 12:44

Nessuno mi sa aiutare?

**holifay** · 12-01-2006, 13:36

E ma che fretta che hai

Avevi aggiornato Ewido prima di fare la scansione?

Prova così:
- scaricati Deldomain.inf e salvalo sul desktop
- disconnettiti da internet
- avvia Hijackthis, meglio se da modalità provvisoria e clicca "Do a system scan only"
- seleziona queste voci e poi premi "fix"

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0411/
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\itDDD.exe
O4 - HKCU\..\Run: [jweb4] C:\WINDOWS\_DlrApps\jweb4.exe /astart
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz

- abilita la visualizzazione dei file nascosti e di sistema
- cerca itDDD.exe (in C:\WINDOWS\System32) ed eliminalo
- cerca jweb4.exe (in C:\WINDOWS\_DlrApps) e prima di eliminarlo per favore mettilo in un file zippato con password, che poi invierai (con la password per aprire il file) a: analisimalware@email.it
- verifica il contenuto della cartella C:\WINDOWS\_DlrApps ed eventualmente cancellala tutta
- clicca con il destro sul file deldomain.inf e seleziona installa
- cancella i file delle cartelle temporanei e la cache di Internet Explorer
- connettiti ad internet e fai una scansione online con kaspersky
- aggiorna Internet Explorer
- invia il file zippato con password, grazie
- posta se vuoi un nuovo log di HijackThis

Ciao!

**gart** · 12-01-2006, 16:15

Dove lo scarico deldomain? il link che mi hai dato non mi funzione...

comunque, ho fatto la scansione con hijackthis, ho eliminato quello che mi hai detto....però niente, è sempre uguale. Ho cercato itDDD.exe e jweb4.exe, ma non ci sono.
Ecco il mio nuovo log di hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 15.07.38, on 12/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\bin\btwdins.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\BTTray.exe
C:\Documents and Settings\MARCO B\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0411/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.olidata.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\btsendto_ie_ctx.htm
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.it
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Roper\Connect Bluetooth USB Tiny Adapter\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Come posso fare?

**LUCASS** · 12-01-2006, 16:21

Guarda che funziona il sito

se non riesci scaricalo da QUI
Estrailo sul desktop e poi esegui le istruzioni di holifay

**gart** · 12-01-2006, 16:55

A cosa serve deldomain.inf?

Cmq non ho risolto niente....il collegamenti continuano ad accomparire sul desktop....

**antares11** · 12-01-2006, 17:21

Originariamente inviato da gart
Dove lo scarico deldomain? il link che mi hai dato non mi funzione...

A cosa serve deldomain.inf?

lo scarichi dal sito indicato da holifay che funziona e ti dà questo:
quote

; DelDomains.inf © 11-28-04 | Revised 10-29-05
; Created by: Mike Burgess Microsoft MVP
; http://mvps.org/winhelp2002/
;
; Warning: Deletes all entries in the Restricted & Trusted Zone list
; http://mvps.org/winhelp2002/restricted.htm
;
; To execute this file: in Explorer - right-click (this file)
; Select Install from the Menu.
; Note: you will not see any onscreen action.

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Ranges"

**holifay** · 12-01-2006, 17:47

deldomains.inf semplicemente serve a ripristinare la zona "Siti Attendibili" in Internet Explorer (Strumenti\Opzioni\Protezione).

Forse mi sfugge qualcosa, ma il log mi sembra OK, a parte la pagina iniziale che va sistemata.

Non ho capito se riesci a cambiare la home-page di IE (a mano da Strumenti\opzioni) e poi ti torna ancora quella di specialgoods o se proprio non riesci mai a cambiarla.

Eventualmente riprova a fixare la voce con HijackThis. Fallo senza avere IE aperto e senza essere connesso ad Internet.

Se non riesci manualmente copia quanto sotto in un file di testo che rinomerai con estensione reg. Poi clicchi con il destro sul file e rispondi Sì.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.html.it/forum"

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel]
"HomePage"=dword:00000000

EDIT: senti, visto il QUOTE va a capo senza motivo e così non funzionerebbe, scaricati questo script in vbs e avvialo per sbloccare la home page, poi la cambi come vuoi.
http://www.dougknox.com/security/scr...ethomepage.vbs

**gart** · 12-01-2006, 18:08

la home page anche se la rimuovo con hijackthis ritorna sempre....cmq come faccio con i collegamenti sul desktop.....

praticamente improvvisamente mi si sono visualizzati, e anche una iconcina accanto all'orologio che mi dice che ho un virus.....questi collegamenti tentano di aprirsi anche quando sono scollegato da internet.....e sull'iconcina accanto all'orologio (sempre da disconnesso) mi dice che sto subendo un attacco.....io ho fatto la scansione con ewido, spybot....,ad-aware,avg....poi i log di haijackthis l'avete visto anche voi.....cosa devo fare per eliminarli? questi programmi sono quelli che avete consigliato nel trad...e con tutti risulta che il mio pc è pulito....

**LUCASS** · 12-01-2006, 18:11

Chi conosce il tedesco almeno penso che lo sia può tradurre questa pagina(rimozione)
http://users.telenet.be/marcvn/spyware/1075320.htm

Discussione: Spyware

Strumenti discussione

Ricerca discussione

Visualizza

Spyware

Permessi di invio