Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7

Discussione: POPUP indesiderati

  1. 07-04-2006, 11:33 #1
    Furbacchione
    Furbacchione non è in linea
    Utente di HTML.it L'avatar di Furbacchione
    Registrato dal
    Jan 2006
    Messaggi
    567

    POPUP indesiderati

    Da qualche giorno ho un problema: a volte, quando clicco su un collegamento o mi connetto ad un sito web, si aprono dei POPUP INDESIDERATI che non hanno alcuna inerenza. Ho fatto una scansione con Norton Antivirus aggiornato, ha trovato due file infetti, li ho eliminati ma non è cambiato nulla; ho provato con ad-aware ma non trova nulla; ho provato con spybot, ha trovato un file, l'ho eliminato ma niente. Ho provato con kaspersky on-line scanner, ha trovato 3 file infetti, li ho eliminati ma niente ancora. Ho l'anti pop-up attivo ma quei tipi di pop-up non li blocca. Ho fatto una scansione con hijackthis e questo è il log:
    _____________________________________________

    Logfile of HijackThis v1.99.1
    Scan saved at 11.26.23, on 07/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programmi\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programmi\Norton AntiVirus\SAVScan.exe
    C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programmi\QuickTime\qttask.exe
    C:\Programmi\Trust\3010A WIRELESS DESKSET\Keyboard\kbdap32a.EXE
    C:\Programmi\Trust\3010A WIRELESS DESKSET\Mouse\mouse32a.exe
    C:\Programmi\Mobile PhoneTools\WatchDog.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programmi\Nero\Nero 7\InCD\InCD.exe
    C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
    C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programmi\eMule\emule.exe
    C:\WINDOWS\system32\WISPTIS.EXE
    C:\PROGRA~1\NORTON~1\navw32.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\User\Desktop\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {0F51D236-6E8F-41F8-8726-5A536538FF90} - C:\WINDOWS\system32\WQWIZDLL.DLL
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
    O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
    O4 - HKLM\..\Run: [OFFICEKB] C:\Programmi\Trust\3010A WIRELESS DESKSET\Keyboard\kbdap32a.EXE
    O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Trust\3010A WIRELESS DESKSET\Mouse\mouse32a.exe
    O4 - HKLM\..\Run: [WatchDog] C:\Programmi\Mobile PhoneTools\WatchDog.exe
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero 7\InCD\InCD.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
    O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
    O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Send Image to Photo Library - file://C:\Documents and Settings\User\Dati applicazioni\MGI\PhotoSuite4\Temp\MGI00000.html
    O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
    O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
    O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
    O9 - Extra button: Alice - {CA839C14-5163-4800-B7B0-EDB054AC69E5} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
    O15 - Trusted Zone: www.archiviosex.net
    O15 - Trusted Zone: www.redfunny.com
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: www.skymasters.biz
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted IP range: 67.19.185.246
    O15 - Trusted IP range: 67.19.185.246 (HKLM)
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab
    O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9ACD45D7-925E-4A94-8342-396B27496DE8}: NameServer = 85.37.17.49 85.38.28.91
    O20 - Winlogon Notify: spoolsvc - spoolsvc.dll (file missing)
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe (file missing)
    O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
    __________________________________________________ __________________

    Come potete vedere in "TRUSTED ZONE" ci sono dei siti web INDESIDERATI CHE NON HO MAI VISITATO!
    Che faccio per bloccare questi popup?
    Rispondi quotando Rispondi quotando
  2. 07-04-2006, 12:05 #2
    thomas_anderson
    thomas_anderson non è in linea
    Utente di HTML.it L'avatar di thomas_anderson
    Registrato dal
    Aug 2005
    Messaggi
    2,520
    http://www.delphifaq.com/faq/windows_user/f1005.shtml

    Rimuovi:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O15 - Trusted Zone: www.archiviosex.net
    O15 - Trusted Zone: www.redfunny.com
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: www.skymasters.biz
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM

    Cerca il file indicato nella guida che ti ho postato. abilita visualizzazione file nascosti da opzioni cartella e rimuovilo. ciao

    The file secure32.html is generated by a program called Paytime.exe.
    Paytime.exe is located in C:\WINDOWS\system32\paytime.exe

    How to solve this problem:
    Bring up your taskmanager by pressing Control + Alt + Delete, in some Windows versions select the 'Processes' tab. Then click on 'Paytime.exe' and end the task.

    Delete paytime.exe, which you should find under c:WindowsSystem32

    Delete c:secure32.html

    Run Explorer. It will tell you that it cannot find the path for secure32.html. Use the default configuration of Explorer and everything will be OK.
    1) ctrl+alt+canc task manager
    2) termina paytime.exe
    3) cancella paytime.exe
    4) cancella c:\secure32.html
    Gabriele Romanato
    onwebdev -
    Rispondi quotando Rispondi quotando
  3. 07-04-2006, 13:13 #3
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Thomas, forse devi rifarti gli occhiali... hai tralasciato un po' di roba

    Furbacchione è meglio se pulisci il PC dalla mod. provvisoria:

    Disabilita il ripristino di configurazione: clicca con il tasto destro sull'icona del Desktop "risorse del computer", dal menù a tendina scegli "proprietà" e metti il flag alla voce "Disabilita ripristino configurazione di sistema", poi premi "OK"

    Riavvia in modalità provvisoria (premi F8 al boot e dal menu che comparirà seleziona "modalità Provvisoria" o "Safe mode"

    avvia HijackThis dal link sul desktop e clicca "Do a System Scan only". Poi metti un segno di spunta sulla casella accanto a queste voci (oltre a quelle indicate da Thomas) e al temine premi "Fix chacked":
    elimina anche queste voci:
    O2 - BHO: (no name) - {0F51D236-6E8F-41F8-8726-5A536538FF90} - C:\WINDOWS\system32\WQWIZDLL.DLL
    O4 - HKLM\..\Run: [spoolsvc] C:\WINDOWS\system32\spoolsvc.exe
    O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local

    poi cancella tutte quelle 015
    O20 - Winlogon Notify: spoolsvc - spoolsvc.dll (file missing)
    Cancelle tutti i file exe e dll che erano richiamati dalle voci del log che hai eliminato e poi svuota il cestino e i file temporanei di Internet.

    Quando riavvii, posta un nuovo log.
    Pensi di avere un file infetto? Invialo a SuspectFile
    Rispondi quotando Rispondi quotando
  4. 07-04-2006, 13:36 #4
    Furbacchione
    Furbacchione non è in linea
    Utente di HTML.it L'avatar di Furbacchione
    Registrato dal
    Jan 2006
    Messaggi
    567
    Come faccio ad eliminare i collegamenti che si trovano in TRusted Zone?
    Rispondi quotando Rispondi quotando
  5. 07-04-2006, 14:09 #5
    Habanero
    Habanero non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di Habanero
    Registrato dal
    Jun 2001
    Messaggi
    9,782
    te lo ha già detto holifay... nello stesso modo in cui dovresti aver eliminato tutti gli altri... selezionandoli all'interno di Hijackthis e poi premendo sul pulsante Fix Checked!
    Leggi il REGOLAMENTO!

    E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
    Drugo
    Rispondi quotando Rispondi quotando
  6. 07-04-2006, 17:34 #6
    thomas_anderson
    thomas_anderson non è in linea
    Utente di HTML.it L'avatar di thomas_anderson
    Registrato dal
    Aug 2005
    Messaggi
    2,520
    Thomas, forse devi rifarti gli occhiali... hai tralasciato un po' di roba
    per me sta diventando un problema. con quasi -10 a tutti e due gli occhi forse dovrei chiedere di postare con caratteri più grandi.
    Gabriele Romanato
    onwebdev -
    Rispondi quotando Rispondi quotando
  7. 09-04-2006, 20:54 #7
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Furbacchione, prima di eliminarli, semprechè tu non lo abbia già fatto, puoi mettere in un file zip ed inviare a Suspectfile (link nella mia firma) questi due file?

    C:\Win32\dll\Win32k.exe
    C:\Win32\dll\Win32.exe


    [OT]
    @ Thomas: scusami, non ricordavo...
    [/OT]
    Pensi di avere un file infetto? Invialo a SuspectFile
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.