Spyware detected - Microsoft internet explorer

[nesly]

Salve sono nuovo! ^_^

Da un mese a questa parte ho un problema, quando apro una pagina explorer, mi si apre immediatamente un popup dal titolo "Spyware detected - Microsoft internet explorer" attention... l'ip del mio computer, e poi in basso "Someone has planted a spybot in your pc" e un link con scritto "Download an anty-spyware scanner for free".

Uffi non so cosa fare, inoltre la pagina iniziale dell'explorer non è quella settata dal sottoscritto

solitamente quando avvio il pc, faccio una scansione con l'ad aware, e mi trova sempre dai 15 ai 20 "oggetti sospetti"da cancellare.

Spero che qualcuno possa darmi qualche dritta per risolvere il problema, un problema noiosissimo!!! ^_^

Inoltre vorrei qualche suggerimento per un antivirus free, qual'è il migliore e leggero ? ^_^

Uff come inizio mi sa che non c'è male troppe domande!

Grazie


Neslyrice

[comas17]

Prova a fare una scansione del tuo PC anche con Spybot (lo trovi nei link utili di questo forum). Eventualmente prova a darci qualche dettaglio in più, ad esempio qual'è la pagina iniziale (che non vorresti)?
Negli stessi link utili (o con una ricerca) trovi anche informazioni relative all'antivirus free, ne abbiamo parlato molte volte

[nesly]

Ciao! Grazie mille per la disponibilità, vedo di dare un'occhiata nel link dei siti utili e di scaricare spybot.

Grazie ancora

bye

[yro]

Originariamente inviato da nesly
Ciao! Grazie mille per la disponibilità, vedo di dare un'occhiata nel link dei siti utili e di scaricare spybot.

Grazie ancora

bye

hai risolto??

[yro]

Io ho lo stesso problema su 2 pc!

ma ne con adawer ne con spybot aggiornati stasera 21/06/04 non sono riuscito a sistemare la cosa!!

spybot continua a rilevarmi lo stesso file di registro!!

che posso fare?

grazie!

[amvinfe]

Originariamente inviato da yro
Io ho lo stesso problema su 2 pc!

ma ne con adawer ne con spybot aggiornati stasera 21/06/04 non sono riuscito a sistemare la cosa!!

spybot continua a rilevarmi lo stesso file di registro!!

che posso fare?

grazie!

E' difficile poterti aiutare con queste indicazioni, quale è il nome del file che viene rilevato ed in quale chiave.

[yro]

Originariamente inviato da amvinfe
E' difficile poterti aiutare con queste indicazioni, quale è il nome del file che viene rilevato ed in quale chiave.

hai ragione...scusa!!
appena torno a casa dal lavoro posto il nome del file!
grazie dell'aiuto!

[yro]

ecco il file che spybot mi trova:


DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-21-1757981266-1078145449-1202660629-1000\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\0\1004!=W=3



ho provato a cercarlo ed a eliminarlo ma non è cambiato nulla!!

questo è il mio log:

Logfile of HijackThis v1.97.7
Scan saved at 8.13.53, on 23/06/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\Smc.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03. exe
C:\WINNT\system32\ctfmon.exe
C:\Documents and

Settings\Paolino\Documenti\tools\anti-spywere\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= http://www.puh.ru/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL =

http://www.puh.ru/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://it.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =

about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

= Collegamenti
R1 - HKLM\Software\Microsoft\Internet Explorer,Search =

http://www.puh.ru/search.html
O1 - Hosts: 66.250.171.136 sitefinder-idn.verisign.com
O1 - Hosts: 66.250.57.9 ad.doubleclick.net
O1 - Hosts: 66.250.57.9 view.atdmt.com
O1 - Hosts: 66.250.57.9 click.atdmt.com
O1 - Hosts: 66.250.57.9 leader.linkexchange.com
O1 - Hosts: 66.250.57.9 pagead2.googlesyndication.com
O2 - BHO: (no name) - {B4863ADE-0F9B-4203-8F4B-1634A8F50B43} -

C:\WINNT\system32\nco.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -

C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio -

{8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}

- C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec

Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec

Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03. exe
O4 - HKLM\..\Run: [software\gcs0003] c:\windows\RP.exe m
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft

Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {00000000-0000-0000-0000-000020030000} -

http://www.sessosolo.com/dialer/mrdamo/sesso.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} -

http://www.accessoveloce.com/webline/x/wmdsex220x.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} -

ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/420/online.chm::/on

-line.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash

Object) -

http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} -

http://deposito.hostance.net/dialer/1005069.exe
O17 -

HKLM\System\CCS\Services\Tcpip\..\{FA08DA51-FD04-4011-9FEA-B02C8EEA3FE1

}: NameServer = 151.99.125.2,151.99.125.3

[amvinfe]

Per quanto riguarda l'allert di SpyBot non ti devi preoccupare, a meno che tu non abbia il s.o. ed IE senza alcune patch. Ma dal log, vedo che hai il SP4 sia per win2000 che per IE.


Per il problema invece causato da una delle varianti di CWS procedi così:

Scaricati questi tre programmi

SP.html - Hijack Fixer Crea una nuova cartella sul desktop e mettici dentro l'eseguibile.


CWShredder


AdAware

QUESTO il file per la traduzione in italiano, da usare dopo che AdAware è stato già installato.


Una volta installato AdAware e lanciato il file per tradurlo in italiano, apri AdAware clicca sull'icona Settings il alto a dx (raffigurante un ingranaggio)
da Language file scegli la lingua italiana e clicca su Proceed (in basso a dx). Chiudi AdAware.


Ora con tutti i programmi chiusi (!),anche il browser dev'essere chiuso (!), apri la cartella precedentemente creata e clicca sul file sphjfix e poi su "start disinfection" finita la scansione riavvia e fai una nuova scansione.

Riavvia in modalità provvisoria.

Apri HijackThis (tutti i programmi DEVONO essere chiusi) clicca su Scan e metti la spunta al fianco dei valori e clicca su Fix Checked.


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.puh.ru/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL =
http://www.puh.ru/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://it.msn.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nco.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
about :blank

R1 - HKLM\Software\Microsoft\Internet Explorer,Search =
http://www.puh.ru/search.html

O1 - Hosts: 66.250.171.136 sitefinder-idn.verisign.com
O1 - Hosts: 66.250.57.9 ad.doubleclick.net
O1 - Hosts: 66.250.57.9 view.atdmt.com
O1 - Hosts: 66.250.57.9 click.atdmt.com
O1 - Hosts: 66.250.57.9 leader.linkexchange.com
O1 - Hosts: 66.250.57.9 pagead2.googlesyndication.com

O2 - BHO: (no name) - {B4863ADE-0F9B-4203-8F4B-1634A8F50B43} - C:\WINNT\system32\nco.dll

O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com

O16 - DPF: {00000000-0000-0000-0000-000020030000} -
http://www.sessosolo.com/dialer/mrdamo/sesso.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} -
http://www.accessoveloce.com/webline/x/wmdsex220x.exe

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/420/online.chm::/on -line.exe

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1005069.exe

Apri, sempre dalla modalità provvisoria, AdAware e settalo così:

Dalla finestra principale del programma portati in alto e clicca sull'icona Configurazione (icona ingranaggio), troverai 4 voci metti la spunta selle ultime tre (devono diventare verdi)
A) salva log file
B) in quarantena prima di rimuovere
C) Modo sicuro
Ora clicca su Personalizza (sempre dalla stessa finestra)
Metti la spunta su "Usa la mia configurazione di default" e clicca al suo fianco su Personalizza
Metti la spunata su
"Controlla all'interno delle cartelle"
Nella parte "Memoria & Registro" metti la spunta a tutte e 5 le voci (devono sempre diventare verdi)
Clicca su Continua (in basso)
Ora clicca con tutte le applicazioni chiuse, su Inizio (in basso a dx) e poi su Avanti.
Finita la scansione elimina tutti i valori in rosso che AdAware ti ha trovato, riavvia il pc in modalità normale.

Apri CWShredder e clicca su Fix. Riavvia il pc.

Fai un nuovo Scan con HJT e posta il Log.


P.S.
Ovviamente prima di fare la scansione con AdAware assicurati d'avere le definizioni aggiornate. Per verificarlo apri AdAware e dalla finestra principale controlla il n° del Reffile e la data

[yro]

quanta roba!!
spero di aver capito tutto! :di56:

una volta eseguita la procedura posso provare ad aprire ie?