che diavolo è???

[noncisononick]

Ciao ragazzi, mi serve una piccola mano: sto sistemando il pc di una mia amica...


Apro le applicazioni per fare la scansione...mi si chiudono automaticamente.
Faccio la scansione con Ad-aware e mi trova un Dataminer nei file rdi registro...Internet...start page...
Faccio la scansione con SpyBot e mi trova i soliti Doubleclick...DSO Exploit (5)...
Provo a lanciare HijackThis...e mi si chiude prima che sia aperto...
Provo a lanciare anche SpHjifix...e sembra fermo...non gira...
Faccio la scansione con CWShreder...e me ne trova sempre uno...
nemmeno regedit mi fa aprire...

Ovviamente lancio Internet explorer mi da la barra quella stile Google, pagina iniziale cambiata...ecce ecc...

Riprovo con Norton, disinstallo e installo...e non me lo apre proprio...

avete un consiglio ???

[amvinfe]

Originariamente inviato da noncisononick
Ciao ragazzi, mi serve una piccola mano: sto sistemando il pc di una mia amica...


Apro le applicazioni per fare la scansione...mi si chiudono automaticamente.
Faccio la scansione con Ad-aware e mi trova un Dataminer nei file rdi registro...Internet...start page...
Faccio la scansione con SpyBot e mi trova i soliti Doubleclick...DSO Exploit (5)...
Provo a lanciare HijackThis...e mi si chiude prima che sia aperto...
Provo a lanciare anche SpHjifix...e sembra fermo...non gira...
Faccio la scansione con CWShreder...e me ne trova sempre uno...
nemmeno regedit mi fa aprire...

Ovviamente lancio Internet explorer mi da la barra quella stile Google, pagina iniziale cambiata...ecce ecc...

Riprovo con Norton, disinstallo e installo...e non me lo apre proprio...

avete un consiglio ???

avvia in modalità provvisoria e prova ad aprire HJT, fai uno scan e postalo

[noncisononick]

eccomi...

ed ecco anche lui:

Logfile of HijackThis v1.97.7
Scan saved at 12.12.00, on 26/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\pcun\Desktop\Nuova cartella\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.10.10.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FF611E2D-45DF-5C78-2699-3FFE9D59CB36} - C:\PROGRA~1\INTERN~2\Heckinside.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
O3 - Toolbar: bat shim - {852074A5-9B08-53F8-DD9B-C0E4ACEAE489} - C:\PROGRA~1\INTERN~2\Heckinside.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] C:\Programmi\Toshiba\TOSHIBA Controls\TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programmi\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SectCool] C:\PROGRA~1\Tray hide\ooze copy city.exe
O4 - HKLM\..\Run: [0utlook Express] browa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmi\File comuni\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [BootWarn] C:\Programmi\Norton AntiVirus\BootWarn.exe /a
O4 - HKLM\..\RunServices: [0utlook Express] browa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [0utlook Express] browa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [a²] "C:\Programmi\a2\a2guard.exe"
O4 - HKCU\..\RunServices: [0utlook Express] browa.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteperNokia3650 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia3650 TS.lnk = ?
O9 - Extra button: Crea preferiti portatile (HKLM)
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/val/x/vatat3x.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {42C559C0-2E84-11D5-A3C6-00010219529D} (siacapi-core-install) - https://ca.actalis.it/home/WDS/app/s...re-install.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...717.5864236111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B9-444553540000} - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D355E971-0F61-11D2-8955-00805FFCE6FB} (siawds-full-install) - https://portal.actalis.it/CA/Environ...ll-install.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab

[amvinfe]

Dalla modalità provvisoria apri HJT fai lo Scan e metti la spunta al fianco di questi valori, assicurati che tutte le altre eventuali applicazioni siano chiuse, browser compreso e clicca su Fix checked


O2 - BHO: (no name) - {FF611E2D-45DF-5C78-2699-3FFE9D59CB36} - C:\PROGRA~1\INTERN~2\Heckinside.dll

O3 - Toolbar: bat shim - {852074A5-9B08-53F8-DD9B-C0E4ACEAE489} - C:\PROGRA~1\INTERN~2\Heckinside.dll

O4 - HKLM\..\Run: [0utlook Express] browa.exe

O4 - HKCU\..\Run: [0utlook Express] browa.exe

O4 - HKCU\..\RunServices: [0utlook Express] browa.exe

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/val/x/vatat3x.exe

fai ora una ricerca nel disco di questo file ed eliminalo

browa.exe

Sempre dalla modalità provvisoria Apri AdAware e fai una scansione, rimuovi i valori che vengono rilevati, lancia CWShredder e clicca su Fix.

Riavvia e fai una scansione online, più sotto ti posto alcuni URLs da dove poterla fare, alcuni valori mi lasciano pensare che il pc sia infetto da un worm, forse Gaobot da qui il motivo che anche Norton si chiude.



http://security.symantec.com/

http://housecall.trendmicro.com/

http://www.pandasoftware.com/activescan/

[noncisononick]

browa.exe non lo ha trovato...
dalla provvisoria ho spuntato le 4 voci dove compariva...ed altre (lo avevo fatto in attesa del post tuo...non credo fossero importanti...non me le riconoscevo...)
Adesso cancello le altre e vedo che Spybot mi ha trovato DSO Exploit...li cancello...cancello anche quello che rimaneva su Hijack...ed ora sta girando Ad-aware...e non ha trovato nulla...
...nemmeno CWShredder ha trovato nulla...
...riavvio in modalità normale e faccio la scansione online...

[amvinfe]

dopo fai anche la scansione online

ti dobbiamo rispodere anche nell'altro forum? :gren:

[noncisononick]

...basta da una parte sola...ma ero disperato e cercavo altre info
ho riavviato e sta facendo la scansione online...
-la pagina iniziale era di nuovo cambiata.
-il link che ho avitu sull'altro forum ha le indicazioni..ma le patch?


...grazie

[amvinfe]

vai all'url

http://v4.windowsupdate.microsoft.com/it/default.asp

e fai tutti gli aggiornamenti importanti

[mykol]

... scusate ragazzi, non vogliatemene, non uso windows, ma mi pare di aver letto che con un bel formattone si risolve tutto ...

[amvinfe]

Originariamente inviato da mykol
... scusate ragazzi, non vogliatemene, non uso windows, ma mi pare di aver letto che con un bel formattone si risolve tutto ...

Allora ascolta, è molto difficile che io mi alteri, ma quando leggo risposte stupide come questa che hai appena scritto, dopo che per mesi è stato chiesto di evitare risposte simili e che sarebbe stato meglio astenersi nel farle, ti chiedo per cortesia la prossima volta di pensarci su a scrivere post come questi, alla prossima non t'avviso neanche più.


Grazie

Marco(amvinfe)