Siti che si aprono da soli ... e' un virus ?

[fers]

Da alcuni giorni (ho installato il sw spy-doctor che non riesco a disinstallare !) mi compaiono delle finestre pubblicitarie internet, alcune dicono che sono state trovate tracce di siti visitati e mi rimandano al sito di un prodotto Drive cleaner ... ed altre che tramite l'URL.CPVFEED.COM mi attivano delle finestre spesso vuote.

Di cosa si tratta ?? Ho installato l'antivirus CLAMWIN che non trova nulla e ho TrojanGuard che non rileva nulla eppure .....continuano ad apparire finestre indesiderate ! !

Chi puo' aiutarmi ??
Non ho trovato nulla di utile su Google ! ! VVoVe:

GRAZIE

Enrico

[MatCap83]

L'antivirus che hai usato sinceramente non l'ho mai sentito, comunque l'hai aggiornato?? E' probabile anche che sia uno spyware, e che quando ti colleghi ad internet ti fa aprire tutte le finestre che dici... Prova anche ad usare un anti-spyware, se non l'hai già, tipo ad-aware e guarda cosa ti dice dopo l'analisi...

[amvinfe]

ciao,
vai al link
http://forum.html.it/forum/showthrea...hreadid=811189
portati al punto 4, scarica la versione beta di HijackThis e segui attentamente i passaggi consigliati.

Posta il log di HijackThis

Scarica anche http://www.suspectfile.com/systemscan lo useremo nel caso ve ne fosse bisogno

[fers]

Ho fatto girare SPYBOT che ha trovato un certo HitBox che ho eliminato ma il problema sussiste ancora.
In allegato c'e' l'Hijackthis, chi mi sa dire qualche cosa in proposito ?

GRAZIE
Enrico

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.45.48, on 11/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\Downlo~1\00umu\wl90q.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\ADMIN\Desktop\APPLICAZIONI\HiJackThis_v2. exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0b190407-1175-4eb5-b7b3-56d8ea4e0e76} - C:\WINDOWS\system32\inses.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.6\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD LT.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O20 - AppInit_DLLs:
O20 - Winlogon Notify: inses - C:\WINDOWS\SYSTEM32\inses.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Programmi\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Programmi\Spyware Doctor\swdsvc.exe (file missing)

--
End of file - 4483 bytes

[amvinfe]

scarica http://swandog46.geekstogo.com/avenger.zip

l'eseguibile di HijackThis va messo in una propria cartella e la stessa posizionata in C:\ o C:\Programmi. Fatto questo esegui una nuova scansione, metti la spunta al fianco dei valori che riporterò più sotto, clicca su "Fix checked" ma non riavviare.


O2 - BHO: (no name) - {0b190407-1175-4eb5-b7b3-56d8ea4e0e76} - C:\WINDOWS\system32\inses.dll
O20 - AppInit_DLLs:
O20 - Winlogon Notify: inses - C:\WINDOWS\SYSTEM32\inses.dll
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Programmi\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Programmi\Spyware Doctor\swdsvc.exe (file missing)


Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\inses.dll
C:\WINDOWS\Downlo~1\00umu\wl90q.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger

Inoltre lancia l'eseguibile di Systemscan ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.zip (report.txt) il nome di questo file .zip sarà data+ora.zip esempio 11_05_2007_15_23_report
Vai su www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

[fers]

Accade una cosa strana quando tento di scaricare il file swandog46.geekstogo.com/avenger.zip
mi si chiude ie
e dopo alcuni istanti compare una finestra con la seguente scritta :

Link unavailable

Possible causes are:
Your geographic location is not allowed for this offer.
Duplicate IP Address.
A system error ocurred.
The offer has expired.
The AFID or CID is not valid or authorized.

Boooohooo. . . cosa significa ??
C'e' un altro posto per scaricarlo ??

GRAZIE
Enrico

[fers]

Mi accade la stessa cosa mettendo su google avenger.exe, mi sichiude ie

Cosa cavolo e' ???

CIAO
Enrico

[amvinfe]

fai direttamente la scansione con Systemscan, nel caso ti si chiudesse il browser dimmelo che ti invio una copia del programma.

Se non vuoi rendere pubblica la tua email mandami un messaggio privato

[fers]

mi si chiude ie anche qui ! ! !

La email e' : fers.to@libero.it

Ciao e GRAZIE

[Stan]

E' in virus/trojan sicuro.
Tempo fa abbiamo avuto una macchina, che ogni volta che scrivevi hijackthis (anche come nome di una cartella) chiudeva l'explorer. Anche Firefox, tutto! Son dei geni
Prova PrevX dovrebbe essere buono per i roolkit.