Pop-Up e pagina iniziale browser cambiata

[gta3!]

Ciao ragazzi....
Ho dei problemi con il mio computer....Mentre navigavo su internet, mi è apparsa una finestra con un messaggio di avviso di spyware....

Subito dopo, ho aperto il mio browser (ie6) e ho notato che anche la pagina principale era cambiata, con scritto:

Detected SPYware! System error #384
__________________________________________________ ________________________

Your IP address is 151.44.174.180. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.

__________________________________________________ ________________________

Your computer is full of evidences!


ISP of transmission: NET24
Your IP address: 151.44.174.180
They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Your computer is: Windows XP
Risk status for further investigation: VERY HIGH RISK




To protect from the Spyware - click here
To prevent information transmission - click here
To delete the history of your activity, click here

Ho fatto delle scansioni con Avast! e anti-spyware, ma niente. Infine ho fatto un log con hijakthis:

Logfile of HijackThis v1.99.1
Scan saved at 13.39.51, on 17/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\addiu.exe
C:\Programmi\WinPortrait\wpctrl.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\netaq.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ZyDAS\ZD1211 802.11g Utility\ZDWlan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.672\Hijac kThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: Class - {33A44762-FECF-1651-1758-359F5E8ADCCA} - C:\WINDOWS\wintv32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programmi\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [netaq.exe] C:\WINDOWS\netaq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shell] "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Global Startup: ZDWlan.lnk = ?
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\addiu.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Che cosa devo fare??
Attendo vostre risposte, grazie, Fabio.

[holifay]

un avviso simile a questo?
http://securitycaution.com/


Prova a seguire per bene il thread in rilievo, anche la guida per usare Hijackthis.... (non l'hai letta vero? ). In particolare prova la scansione online con Kaspersky e scaricati e aggiornati Ewido, come giustamente ricordato da Antares11 proprio oggi

HijachThis è meglio usarlo come ultima (...penultima, va!) spiaggia



Se comunque vuoi una soluz. provvisoria, che magari non risolve del tutto il problema e non ti insegna niente... allora continua a leggere:

- riavvia in mod. prov.
- fixa tutte le voci R0 ed R1
- fixa anche:

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: Class - {33A44762-FECF-1651-1758-359F5E8ADCCA} - C:\WINDOWS\wintv32.dll
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [netaq.exe] C:\WINDOWS\netaq.exe
O4 - HKCU\..\Run: [Shell] "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.exe"
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\addiu.exe

- abilita la visualizzazione file nascosti e sistema e poi cerca ed elimina tutti gli exe e le dll fixate sopra
- cancella i file temporanei, la cache di internet explorer ed il cestino

[LUCASS]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qmsda.dll/sp.html#53142%resultposition.net


Per queste voci usa questo programma
About Buster (scompatta il programma in una nuova cartella permanente)
http://www.malwarebytes.org/AboutBuster.zip
Apri la cartella dove risiede About Buster avvia il programma
-Clicca su "Begin Removal"
-Ti appare una finestra clicca su "Yes" poi trovi il rapporto di cosa ha eliminato nel txt presente nella sua cartella

[thomas_anderson]

Scusate, perchè ogni volta che date un programma non dite anche per quale malware serve? grassie.

[LUCASS]

Originariamente inviato da thomas_anderson
Scusate, perchè ogni volta che date un programma non dite anche per quale malware serve? grassie.

Si,ma mica siamo a scuola
-remove res://random.dll/sp.html
- Major Update
- CWS.MfPlay added to database
- CWS.SeDLL added to database
- Now fixes hijacked desktop image
- Remove on reboot added to Se.DLL BHO
- Reference file removed
- Update function completely removed
- Added *.log, *.txt and *.tmp extension support
- Changed entire detection method
- CRC32 engine built
- Kill RunDll32.exe during Se.DLL removal
- New help file built (Please read)
- Fixed service removal function (Now works)
- Added registry removal keys (45 of them)
- Fixed RunServices and RunServicesOnce removal
- Fixed donation link along with minor UI tweaks
- Reimplemented homepage reset
- Changed firefox link to .com
- Reimplemented temporary folder clean

[thomas_anderson]

No, non siamo a scuola, ma su un forum in cui le informazioni devono essere accessibili per tutti. In secundis: di quale malware si tratta? che famiglia? che variante?

[LUCASS]

c'è la sigla CWS(CoolWebSearch)
Name: CoolWebSearch (CWS)
Description: CoolWebSearch may hijack any of the following: Web searches, home page, and other Internet Explorer settings. Recent variants of CoolWebSearch install using malicious HTML applications or security flaws, such as exploits in the HTML Help format and Microsoft Java Virtual machines.

[thomas_anderson]

ah, cool... cognosco

[Elbompr]

sembra ostrogoto !!!!!!!!













acquisto mano usata per trascrivere firme.astenersi perditempo

[antares11]

in effetti a chi non è addentro con la materia sulla sicurezza, certi sw o tool di riparazione, prevenzione, rimozione, ecc... sembrano proprio ostrogoto, bisogna convenirlo

e nell'ottica di aiutare un qualsiasi forumista postulante (non petulante) sarebbe cosa saggia che gli esperti che rispondono copiassero la buona abitudine di imitare quanto fa CalamityJane (ben nota al mod amvinfe) qua
http://www.dslreports.com/forum/cleanup
e altrove: trovo la sua pazienza, costanza e moderazione veramente esemplari, qualità che non sempre ci è dato di trovare altrove

pertanto ben vengano dagli esperti le spiegazioni che accompagnino i riferimenti ad ogni sw/tool, quando del caso

come esempio mi riferisco ai post di CalamityJane che, tra l'altro, si trovano pure in altri forum

senonchè, essendo io in altro 3d stato 'redarguito' dal mod amvinfe circa quanto avevo postato, mi permetto di consigliare quanto sopra a ragion veduta, senza voler applicare 2 pesi e 2 misure da parte delle medesime persone anche se in forum differenti

come dice un prov, un po' per ciascuno non fa male a nessuno

tutto questo semplicemente nell'ottica di aiutare i forumisti che chiedono aiuto a comprendere almeno in parte cosa gli esperti (e io non lo sono) consigliano loro per cercar la soluzione ai loro problemi