mi si aprono pagine e pagine.........

**shana26** · 07-04-2006, 10:22

ciao a tutti,
io ho un problema che mi sta facendo letteralmente

e cioè:

io ho un collegamento adsl con tariffa flat e quindi sto sempre connessa ad internet.
sul pc ho installato antivirus norton aggiornato,
ma ogni volta che clicco su un link o apro una pagina nuova

si aprono come dei pop up pagine e pagine di siti
pubblicita' di solito o messaggi che mi avvertono di un'eventuale virus e a seguito la pagina del sito web del produttore dell'antivirus.....

credetemi è insopportabile.

per risolvere il problema ho:
-bloccato le impostazioni pop-up nelle opzioni internet del browser
-ho scritto gli indirizzi di qst pagine nell'elenco dei siti con restrizione sempre dalle opzioni internet
-ho eliminato tutti i troyan con le procedure indicate dal sito della norton
-poi sono venuta su qst form e ho fatto tutte le procedure descritte da habanero nel post "eliminazione home page redirezionate,...."
e cioe': ho eseguito una scansione completa con ewido, ad-ware, spybot, cwshredder

ma tutto cio' non e' servito a nulla

-allora ho installato anche un firewall "zone alarm"

ma ancora niente

-mi sono arresa e ho fatto anche una scansione con hijackthis e vi riporto il log:

Logfile of HijackThis v1.99.1
Scan saved at 8.16.36, on 07/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\gtwatch.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\cd.NOME-MYYJH085AC\Documenti\??pPatch\r?ndll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\twain_32\L3U16\WATCH.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Documents and Settings\cd.NOME-MYYJH085AC\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {354F1CBE-A155-A887-5966-F8ED9E3F87EC} - C:\WINDOWS\System32\cgcoj.dll (file missing)
O2 - BHO: (no name) - {499E3B2A-80B4-D468-9E38-A5EF460BA39C} - C:\WINDOWS\system32\vhby.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {710D2FED-C45C-9CD2-0871-CC8ED89DC6BF} - C:\WINDOWS\system32\jgdpy.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {765A16CF-F87A-F5A7-7BF1-A1F88C98CDE9} - C:\WINDOWS\System32\wjuao.dll (file missing)
O2 - BHO: (no name) - {8F06CFA4-7348-2E90-4346-2F50D55867E0} - C:\WINDOWS\System32\mlddk.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [MpsOnn] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\MpsOnn. exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Tpcb] "C:\WINDOWS\system32\YSTEM~1\smss.exe" -vt ndrv
O4 - HKCU\..\Run: [Swc] C:\Documents and Settings\cd.NOME-MYYJH085AC\Documenti\??pPatch\r?ndll32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\L3U16\WATCH.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: NetSparesWebE - {73B8371B-5EA4-4D43-894D-B3AD73AA7891} - C:\NSW\MultiWeb.exe (file missing)
O9 - Extra 'Tools' menuitem: NetSparesWebE - {73B8371B-5EA4-4D43-894D-B3AD73AA7891} - C:\NSW\MultiWeb.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

vi prego aiutatemi perche' non so piu' che fare.......

vvove:

**thomas_anderson** · 07-04-2006, 11:21

ciao

per prima cosa, le scansioni le hai fatte dalla modalità provvisoria e con ripristino configurazione di sistema disabilitato? hijackthis non deve stare sul desktop, ma su

c:hijackthis\hijackthis.exe
c:\programmi\hijackthis\hijackthis.exe

1)C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe

sembra collegato ad uno scanner. hai uno scanner o hai installato questo programma?

2) Puoi eliminare:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about :blank
O2 - BHO: (no name) - {354F1CBE-A155-A887-5966-F8ED9E3F87EC} - C:\WINDOWS\System32\cgcoj.dll (file missing)
O2 - BHO: (no name) - {765A16CF-F87A-F5A7-7BF1-A1F88C98CDE9} - C:\WINDOWS\System32\wjuao.dll (file missing)
O2 - BHO: (no name) - {8F06CFA4-7348-2E90-4346-2F50D55867E0} - C:\WINDOWS\System32\mlddk.dll (file missing)

per questo:
O4 - HKCU\..\Run: [Swc] C:\Documents and Settings\cd.NOME-MYYJH085AC\Documenti\??pPatch\r?ndll32.exe

apri il task manager (ctrl+alt+canc) e verifixa che non sia attivo. se lo è, termina processo. devi fare tutto dalla provvisoria.
abilita la visualizzazione di file nascosti e di sistema (pannello di controllo > opzioni cartella). fixa la voce ed elimina file e cartella.

3) di questo non ho notizie:
O2 - BHO: (no name) - {710D2FED-C45C-9CD2-0871-CC8ED89DC6BF} - C:\WINDOWS\system32\jgdpy.dll

**shana26** · 07-04-2006, 11:34

Originariamente inviato da thomas_anderson
ciao

per prima cosa, le scansioni le hai fatte dalla modalità provvisoria e con ripristino configurazione di sistema disabilitato? hijackthis non deve stare sul desktop, ma su

c:hijackthis\hijackthis.exe
c:\programmi\hijackthis\hijackthis.exe

1)C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe

sembra collegato ad uno scanner. hai uno scanner o hai installato questo programma?

2) Puoi eliminare:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about :blank
O2 - BHO: (no name) - {354F1CBE-A155-A887-5966-F8ED9E3F87EC} - C:\WINDOWS\System32\cgcoj.dll (file missing)
O2 - BHO: (no name) - {765A16CF-F87A-F5A7-7BF1-A1F88C98CDE9} - C:\WINDOWS\System32\wjuao.dll (file missing)
O2 - BHO: (no name) - {8F06CFA4-7348-2E90-4346-2F50D55867E0} - C:\WINDOWS\System32\mlddk.dll (file missing)

per questo:
O4 - HKCU\..\Run: [Swc] C:\Documents and Settings\cd.NOME-MYYJH085AC\Documenti\??pPatch\r?ndll32.exe

apri il task manager (ctrl+alt+canc) e verifixa che non sia attivo. se lo è, termina processo. devi fare tutto dalla provvisoria.
abilita la visualizzazione di file nascosti e di sistema (pannello di controllo > opzioni cartella). fixa la voce ed elimina file e cartella.

3) di questo non ho notizie:
O2 - BHO: (no name) - {710D2FED-C45C-9CD2-0871-CC8ED89DC6BF} - C:\WINDOWS\system32\jgdpy.dll

da modalita' provvisoria ho fatto solo la rimozione dei troyan.

hai ragione ho sbagliato a mettere hijackthis....

scusa....

si ho uno scanner installato

mo riprovo a fare tutto di nuovo come mi hai suggerito.

thank you..

**thomas_anderson** · 07-04-2006, 11:36

scrivi in minuscolo. su internet scrivere in maiuscolo equivale ad urlare.

**holifay** · 07-04-2006, 12:55

Ciao shana e Thomas scusami per l'"intrusione"

Shana26 ti chiedo una cortesia, quando sei in modalità provvisoria cerca questi file jgdpy.dll (in C:\WINDOWS\system32) e smss.exe (in C:\WINDOWS\system32\YSTEM~1) e r?ndll32.exe (in C:\Documents and Settings\cd.NOME-MYYJH085AC\Documenti\??pPatch) e mettili per all'interno di un file zip. Poi cancellali. Al termine, qando riavvii, per favore spedisci l'archivio zippato a Suspectfile

Nota che anche queste chiavi vanno rimosse:

O2 - BHO: (no name) - {710D2FED-C45C-9CD2-0871-CC8ED89DC6BF} - C:\WINDOWS\system32\jgdpy.dll
O4 - HKCU\..\Run: [Tpcb] "C:\WINDOWS\system32\YSTEM~1\smss.exe" -vt ndrv

e già che ci sei anche queste se non usi più Multiweb:
O9 - Extra button: NetSparesWebE - {73B8371B-5EA4-4D43-894D-B3AD73AA7891} - C:\NSW\MultiWeb.exe (file missing)
O9 - Extra 'Tools' menuitem: NetSparesWebE - {73B8371B-5EA4-4D43-894D-B3AD73AA7891} - C:\NSW\MultiWeb.exe (file missing)

Poi, oltre alle altre istruzioni di Thomas, elimina anche la cartella YSTEM~1 (in C:\WINDOWS\system32) con tutto il suo contenuto e tutti i file (dll e exe) delle chiavi cancellate.

Ricordati di svuotare il cestino e i file temporanei di Internet

Ciao

**thomas_anderson** · 07-04-2006, 13:00

ciao holly!

su r?ndll32.exe ci sono parecchi riferimenti su VirusInfo.

**Habanero** · 07-04-2006, 13:08

shana26 come ti è stato detto per favore evita di scrivere tutto in maiuscolo...

Per il futuro per problemi analoghi ti consiglio questa lettura prima di postare il log di hijackths:
http://forum.html.it/forum/showthrea...hreadid=811189

**holifay** · 07-04-2006, 13:12

Originariamente inviato da Habanero
shana26 come ti è stato detto per favore evita di scrivere tutto in maiuscolo...

Per il futuro per problemi analoghi ti consiglio questa lettura prima di postare il log di hijackths:
http://forum.html.it/forum/showthrea...hreadid=811189

c'è scritto nel suo post che ha seguito la tua procedura

**Habanero** · 07-04-2006, 14:05

Originariamente inviato da holifay
c'è scritto nel suo post che ha seguito la tua procedura

stress e arteriosclerosi galoppante... meno male che ci sei tu!

shana26 porgo lel mie più umili scuse...

shame, shame on me!

**shana26** · 10-04-2006, 12:42

veramente io non ho scritto nulla in maiuscolo......................

lo so che significa.................

grazie holifay

ora farò anche quello che mi hai suggerito tu...
sperando di risolvere il problema....

non so se può essere utile ma vi mando l'elenco delle pagine che mi si aprono più di continuo:

http://amaena.com - Security Update - By OuterInfo

pop up di vario contenuto con titolo: Advertisment by OuterInfo

Discussione: mi si aprono pagine e pagine.........

Strumenti discussione

Ricerca discussione

Visualizza

mi si aprono pagine e pagine.........

Permessi di invio