strani collegamenti sul desktop..

[MMarzia]

cercavo di fare il mio dovere da MMod ed è saltata la connessione (ho un semplice 56k)

trovo sul desktop due link: "Mis Programas" e "Msn Messenger"
controllo le propretà e nella destinazione trovo "C:\Programmi\Internet Explorer\iexplore.exe" http://www.accesoplugin.com/prom/a_m...k2&ver=1&t=new

:master:

in più i due link appaiono della barra di explorer e nel menù "Start"

ora sto eseguendo una scansione con Ad-aware, ma avete qualche idea?


il sistema operativo che utilizzo è w2000, con sp3

[amvinfe]

ciao,
scaricati HijackThis, lo trovi in rilievo, metti l'eseguibile in una nuova cartella.
Apri l'eseguibile e fai uno Scan, posta il log.

www.accesoplugin.com da la possibilità (è il tuo caso) di personalizzare Messenger, il problema da quello che so è che lo stesso sito (il lingua spagnola), fra le altre cose da la possibilità di scaricare dialers.

[MMarzia]

grazie marco, questo è il log:


Logfile of HijackThis v1.98.2
Scan saved at 12.58.13, on 26/08/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\mdm.exe
C:\Programmi\Trust\Ami Mouse Wireless 200\TAMOMOUS.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINNT\system32\wuauclt.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
C:\HT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.malpensa.it/atlombardia/atlombardia.html"); (C:\Programmi\Netscape\Users\mondi\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Ami Mouse Wireless 200] C:\Programmi\Trust\Ami Mouse Wireless 200\TAMOMOUS.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmi\File comuni\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Invia immagine alla biblioteca - file://C:\Documents and Settings\Administrator\Dati applicazioni\MGI\PhotoSuite4\Temp\MGI00000.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Msn Messenger - {068C36CF-483E-4CA8-A7F2-10EFFDA49C45} - http://www.accesoplugin.com/prom/a_m...k2&ver=1&t=new (file missing)
O9 - Extra button: Mis Programas - {4358161B-A4B8-498E-8019-3DAB50DFD578} - http://www.accesoplugin.com/prom/a_p...k2&ver=1&t=new (file missing)
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Msn Messenger - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\adrotmsnuk2\index.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .mov: C:\Programmi\Netscape\Communicator\Program\PLUGINS \NPQTW32.DLL
O12 - Plugin for .swf: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npsw f32.dll
O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialerca...ernacional.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} - http://sc.communities.msn.com/contro.../msnchat42.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab


ieri ho dovuto interrompere la scansione con ad-aware (v. 6.0, build 162) la lancio ora

[Cinder]

Riavvia il pc in modalità provvisoria ( premi F8 al caricamento del sistema operativo e seleziona la mod provvisoria), metti HijackThis in una nuova cartella, clicca su scan, metti la spunta alle seguenti voci e clicca su fix checked:

O16-DPF:{2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D}(PremiumInternacional Class) - http://www.accesoplugin.com/dialerc...ternacional.cab

O9 Extra button: Mis Programas - {4358161B-A4B8-498E-8019-3DAB50DFD578} - http://www.accesoplugin.com/prom/a_p...k2&ver=1&t=new (file missing)

Anche il seguente valore può essere cancellato senza problemi:

O9 Extra button: Msn Messenger -{068C36CF-483E-4CA8-A7F2-10EFFDA49C45} - http://www.accesoplugin.com/prom/a_...uk2&ver=1&t=new (file missing)

Sempre da mod provvisoria elimina i collegamenti a quei siti dal desktop, dal menu star, ecc. Vai nelle proprietà della connessione del modem e controlla che ci sia il giusto numero telefonico con cui ti connetti. Ovviamente in presenza di ulteriori connessioni createsi che non conosci, con numeri tipo 899 ecc. cancella senza problemi.

MMarzia la versione del tuo explorer( 5.0) non va assolutamente, è un vero rischio navigare con una tale versione, vecchia e a forte rischio exploit
Vai su www.windowsupdate.com e installa la versione 6.0 Sp1 dell'explorer e tutti gli aggiornamenti critici che ti sei persa.

[amvinfe]

anche questo valore è da eliminare dalla provvisoria
O9 - Extra button: Msn Messenger - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\adrotmsnuk2\index.htm

AdAware è disponibile nell'ultima release (SE), la trovi in rilievo.

[MMarzia]

eliminate le voci e la cartella
e pure una connessione

ad-aware non ha rilevato nulla ma per precauzione installo la nuova release


cinder, hai perfettamente ragione; sto scaricando proprio ora la versione 6


poi vedo se riesco finalmente ad installare zone alarm



grazie ad entrambi

[MMarzia]

non ci posso credere.. è successo di nuovo

[MMarzia]

questo il log generato da HijackThis (sembrerebbe diverso):


Logfile of HijackThis v1.98.2
Scan saved at 21.13.18, on 29/08/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Trust\Ami Mouse Wireless 200\TAMOMOUS.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
C:\HT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.malpensa.it/atlombardia/atlombardia.html"); (C:\Programmi\Netscape\Users\mondi\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Ami Mouse Wireless 200] C:\Programmi\Trust\Ami Mouse Wireless 200\TAMOMOUS.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmi\File comuni\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Invia immagine alla biblioteca - file://C:\Documents and Settings\Administrator\Dati applicazioni\MGI\PhotoSuite4\Temp\MGI00000.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Msn Messenger - {068C36CF-483E-4CA8-A7F2-10EFFDA49C45} - http://www.accesoplugin.com/prom/a_m...k2&ver=1&t=new (file missing)
O9 - Extra button: Mis Programas - {4358161B-A4B8-498E-8019-3DAB50DFD578} - http://www.accesoplugin.com/prom/a_p...k2&ver=1&t=new (file missing)
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Msn Messenger - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\adrotmsnuk2\index.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .mov: C:\Programmi\Netscape\Communicator\Program\PLUGINS \NPQTW32.DLL
O12 - Plugin for .swf: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npsw f32.dll
O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialerca...ernacional.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} - http://sc.communities.msn.com/contro.../msnchat42.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://www.desktoplife.net/1014061.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab


in più ad-aware ha rilevato una chiave sospetta nel registro

[Cinder]

Riavvia il pc in modalità provvisoria ,metti HijackThis in una nuova cartella, clicca su scan, metti la spunta alle seguenti voci e clicca su fix checked:

O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D}(PremiumInternacional Class) - http://www.accesoplugin.com/dialerc...ternacional.cab

O9 - Extra button: Msn Messenger - {068C36CF-483E-4CA8-A7F2-10EFFDA49C45} - http://www.accesoplugin.com/prom/a_...uk2&ver=1&t=new (file missing)

O9 - Extra button: Mis Programas - {4358161B-A4B8-498E-8019-3DAB50DFD578} - http://www.accesoplugin.com/prom/a_...uk2&ver=1&t=new (file missing)

O9 - Extra button: Msn Messenger - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\adrotmsnuk2\index.htm

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://www.desktoplife.net/1014061.exe

Pannello di controllo -opzioni internet- Scheda protezione- Clicca sul pulsante Livello Personalizzato e assicurati che le seguenti opzioni siano su disattiva:

Inizializza ed esegui script ActiveX non contrassegnati come sicuri

Scarica Controlli ActiveX senza firma elettronica

L'ultimo qui sotto impostalo su chiedi conferma, cosi quando incontri link come questo: http://www.desktoplife.net, ti uscira sempre la finestra che ti chiede di scaricare il dialer e tu ovviamente clicchi su NO

Scarica ActiveX con firma elettronica (chiedi conferma)

Spuntate le opzioni clicca su ok in entrambe le finestre per confermare le modifiche all'explorer.

[MMarzia]

grazie Cinder

prima ancora di leggere il tuo messaggio ho eseguito una scansione con HT ed eliminato le voci oltre alla chiave di registro

ma ad-aware continua a segnalarmela come "Possible Browser Hijack attempt(TAC index:3)"

codice:

Possible Browser Hijack attempt : S-1-5-21-1177238915-1993962763-1343024091-500\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegData
    Data               : "about:blank"
    Category           : Data Miner
    Comment            : Possible Browser Hijack attempt
    Rootkey            : HKEY_USERS
    Object             : S-1-5-21-1177238915-1993962763-1343024091-500\Software\Microsoft\Internet Explorer\Main
    Value              : Start Page
    Data               : "about:blank"