problema redirezionamento (pagine indesiderate)

[thomas_anderson]

Cosa strana: questo redirezionamento funzia anche con Opera. Vi posto il log. premetto che dal suddetto pc ho rimosso 120 malware. Il file vtstt.dll si ricrea sempre fra le voci di Hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 18.57.36, on 16/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Microsoft Works\WkDetect.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.ex e
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\System32\vtstt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ALCalendar] yes
O4 - HKLM\..\Run: [FaxPrint] "C:\Programmi\4Team Corporation\Fax4Outlook\\PrintFax.exe"
O4 - HKLM\..\Run: [CXMon] "C:\Programmi\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programmi\WashAndGo\Checker.exe /check"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\jt2o07f3e.dll
O20 - Winlogon Notify: vtstt - C:\WINDOWS\System32\vtstt.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\THVjYQ\command.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Il sistema sarà quanto prima aggiornato al SP2. ora vorrei risolvere questa cosa. grazie a tutti quelli che vorranno rispondermi. cya!

[LUCASS]

:maLOL: :maLOL: :maLOL:

Scarica VundoFix.exe sul desktop
http://www.atribune.org/ccount/click.php?id=4
Doppio click su VundoFix.exe
Clicca su Scan for Vundo
Quando la scansione è finita clicca su Remove Vundo
Riceverai un messaggio se vuoi eliminare i files clicca su Yes
Una volta che clicchi su Yes il desktop diventerà bianco e la rimozione andrà avanti
Una volta finito ti chiederà di riavviare clicca su OK
Una volta che il pc si riavvierà posta il contenuto del file C:\vundofix.txt
------------------------------------------------
Scarica L2mfix
http://www.atribune.org/downloads/l2mfix.exe
Salvalo sul desktop,doppio click su l2mfix.exe. Clicca su Install,una volta che i files sono estratti ti creerà la cartella sul desktop
Apri la cartella, clicca su l2mfix.bat
Ti si apre la finestra prompt,digita 1 dove lampeggia il cursore, clicca su Invio
Attendi un pochino,ti si aprirà il block notes,copia e incolla qui il contenuto

IMPORTANTE:Non avviare l'opzione 2

[LUCASS]

Ah vedendo bene anche questa discussione andrebbe chiusa
Guarda dove hai l'eseguibile di Hijackthis si predica bene e si razzola male

[thomas_anderson]

I due file sono troppo lunghi. Cmq se leggi c'è scritto da c o da C:\programmi. cosa dovrei fare adesso?

[LUCASS]

Bisogna correggere il tutorial allora :maLOL: :maLOL:
li puoi allegare qui http://www.mytempdir.com/ zippali clicca su sfoglia individua il file clicca su apri e poi su host it per caricarlo,ti verrà dato un link,copia e incolalo qui che lo scarico e non ci mettere sopresine :maLOL: :maLOL:

[thomas_anderson]

http://www.mytempdir.com/388368




Rileggiti il tutorial. sai leggere?

Estraete HJT dall'archivio ottenuto tramite il download e salvatelo in una apposita cartella che avrete creato solo e unicamente in una delle seguenti posizioni:
c:\

c:\programmi\

[LUCASS]

Io so leggere,infatti è sbagliato,se tu lancia Hiackthis da C:\ senza una cartella i backup si spargono per C:\quindi dove sta la norma di metterlo in una cartella permanente?ciao

[LUCASS]

Perfetto il primo tool è andato a buon fine il secondo è da vedere
Apri la cartella, clicca su l2mfix.bat
Ti si apre il prompt dove lampeggia il cursore digita 2
Clicca su INVIO
Ti chiederò di riavviare,premi un tasto per riavviare
Dopo il riavvio probabilmente il desktop scomparirà,il tool andrà avanti,una volta che il tool ha terminato, ti si dovrebbe aprire il block notes con il rapporto,se non si apre lo trovi nella sua cartella
Riavvia il pc e posta un log aggiornato di Hijackthis e se vuoi anche quello di l2mfix ciao

[thomas_anderson]

Ti ringrazio amico. Devo aggiornare il report:
numero di infezioni trovate: 220. grazie. Il primo è il trojan Vundo. il secondo?

[LUCASS]

il secondo adware 2lookme almeno da quello che appariva dal log,se fai una scansione con panda te li trovi nella cartella di back up dei tool!ciao