Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Finestre di pop-up indesiderate
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
gmmagno
Mortale devoto
Mortale devoto


Registrato: 08/02/07 11:07
Messaggi: 5
MessaggioInviato: 08 Feb 2007 11:43    Oggetto: Finestre di pop-up indesiderate Rispondi citando
Ciao a tutti!!
Allora, il mio problemino è questo...
Mentre lavoro al computer, tranquillo e beato, ogni 5-7 minuti, mi appare un finestra Internet che mi manda spesso e volentieri in un sito che mi parla di Casinò, o paprazzi.. ecc ecc....ed è molto scocciante!!!
Il tutto senza che io stia navignando in Internet!!!
Capito?!?!

Spero mi aiutate!!!
Anche perchè io con gli antivirus (ad aware se personal), non rilevo niente......
Vi prego in ginocchio!!!
ciao!!!
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
MessaggioInviato: 08 Feb 2007 22:06    Oggetto: Re: Finestre di pop-up indesiderate Rispondi citando
gmmagno ha scritto:
Anche perchè io con gli antivirus (ad aware se personal), non rilevo niente.....
A parte che Ad-aware non è un antivirus ma un antispyware /antimalaware,

hai anche altro antivirus o programmi simili?

Posta inoltre un log di HijackThis
Top
Profilo Invia messaggio privato
gmmagno
Mortale devoto
Mortale devoto


Registrato: 08/02/07 11:07
Messaggi: 5
MessaggioInviato: 09 Feb 2007 10:44    Oggetto: Rispondi citando
Ok...questo è il risultato

Citazione:

Logfile of HijackThis v1.99.1
Scan saved at 9.37.27, on 09/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\KT17EC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\windows\inf\windowsupdate.exe
L:\Winsmartp_impianti_unificato\WINSMARTP.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\hj\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = internet:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =

192.168.*;net05;web01;pdffatture;net13;net23;net23.prv.vestaspa.net;net13.prv.vestaspa.net;sportelloonli

ne.vestaspa.net;172.22.*;www.vestaspa.net;www.vestainforma.it;s01dc;verde.*;s01sit;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 172.16.1.4 www.vestaspa.net
O1 - Hosts: 172.16.1.4 www.vestainforma.it
O1 - Hosts: 172.16.1.22 verde.vestaspa.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {f250d521-225d-4d6b-8829-e064f944e180} - C:\WINDOWS\system32\lkaa.dll (file

missing)
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe"

-HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [windowsupdate] C:\windows\inf\windowsupdate.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: www.archivio.name
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.contentdiscount.info
O15 - Trusted Zone: www.extremeaccess.info
O15 - Trusted Zone: www.otherchance.com
O16 - DPF: {ED324F9E-715D-4BE2-B6DF-44FCB674AADF} - http://net05/vesta/Portal/resources/msddsc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = prv.vestaspa.net
O17 - HKLM\Software\..\Telephony: DomainName = prv.vestaspa.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = prv.vestaspa.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = prv.vestaspa.net
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd -

C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend

Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programmi\Trend

Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan

Client\tmlisten.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\UltraVNC\WinVNC.exe" -service (file

missing)


Per quanto riguarda l'antivirus, avrei quello in rete....che sarebbe trend micro office scan!!!
Che dite?!?!

Vi ringrazio davvero tanto!!!
Poi, a dir la verità, sono andato sul sito di HijackThis, in cui dicono di mettere il testo del LOg e ti dicono quale sono sicuramete file sospetti....però nn mi fido tanto a cancellarli da me!!!
Vi ringrazio ancora tanto!!!
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 09 Feb 2007 23:27    Oggetto: Rispondi citando
Sembra che ti sia preso il LinkOptimizer + il Clicker..

Avvia HijackThis, premi Do a system scan only, spunta queste voci e poi premi FixChecked(non fixare le voci in rosso se sai cosa sono):

Citazione:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = internet:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride=192.168.*;net05;web01;pdffatture;net13;net23;net23.prv.vestaspa.net;net13.prv.vestaspa.net;sportelloonline.vestaspa.net;172.22.*;www.vestaspa.net;www.vestainforma.it;s01dc;verde.*;s01sit;<local>
O1 - Hosts: 172.16.1.4 www.vestaspa.net
O1 - Hosts: 172.16.1.4 www.vestainforma.it
O1 - Hosts: 172.16.1.22 verde.vestaspa.net
O2 - BHO: (no name) - {f250d521-225d-4d6b-8829-e064f944e180} - C:\WINDOWS\system32\lkaa.dll (file missing)
O4 - HKCU\..\Run: [windowsupdate] C:\windows\inf\windowsupdate.exe
O15 - Trusted Zone: www.archivio.name
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.contentdiscount.info
O15 - Trusted Zone: www.extremeaccess.info
O15 - Trusted Zone: www.otherchance.com


Scarica sul desktop questi due tool camuffati:

Prevx
http://www.prevx.com/gromozon.asp

Symantec
http://www.mytempdir.com/1151187

Fai partire prima il tool Prevx e fagli fare una scansione, alla fine ti chiederà di riavviare il pc, tu accetta.

Quando ha finito di riavviare il pc tu riavvialo di nuovo in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità).

Da lì scompatta l'archivio e fai partire il tool Symantec facendogli fare una scansione.

Quando ha finito:
Citazione:
Apri una cartella qualunque, vai su
Strumenti->Opzioni Cartella->scheda Visualizzazione,
spunta la voce "Visualizza cartelle e file nascosti", togli la spunta a
"Nascondi file protetti di sistema" (digli di sì).


Citazione:
Usa la ricerca di Windows e trova questi file: service32.exe, winsys.exe,winsyst32.exe, syst32.dll, iexplore32.dll, spoolsv32.dll, cc1.txt, tuk.php, Sys.htm, it_00[numericasuali].exe, ctfmon32.dll, iexplorre32.dll, lsas32.dll, mdm32.dll, omsnlog.dll, scrss32.dll, sys32exploer.dll, syshost.dll, winsmgr32.dll
(ricordati di attivare la ricerca nelle cartelle e nei file nascosti andando in "Altre opzioni avanzate" e spuntando la voce
"Cerca nei file e nelle cartelle nascosti").


Se li trovi li cancelli

Riavvia il pc in Modalità Normale

Vai su Start->Esegui->digita control userpasswords2, ti si apre una finestra con una lista di account, forse ce ne sono alcuni con nomi assurdi (tipo aSFScvE o cose così), selezionali e premi Rimuovi (ASPNET non è da rimuovere!)

Ora sempre da Esegui dai services.msc, ti si apre una finestra con la lista dei servizi, scorrila e cerca se ci sono delle voci che nella colonna Connessione hanno un valore che non sia Sistema locale o Servizio di rete (se li trovi potrai notare che hanno lo stesso nome di quegli account strani che hai trovato).

Vai poi in C:\Documents and Settings\ e cancella le cartelle con quel nome assurdo (nome identico agli account precedentemente rimossi).

Posta un nuovo log di HijackThis, il log del tool Prevx (Gromozon_Removal.log) e del tool Symantec (FixLinkOpt.log)
Top
Profilo Invia messaggio privato HomePage
gmmagno
Mortale devoto
Mortale devoto


Registrato: 08/02/07 11:07
Messaggi: 5
MessaggioInviato: 12 Feb 2007 11:46    Oggetto: Rispondi citando
Allora...ho una buona e una brutta notizia....

Iniziamo con la BRUTTA!!!!
Essendo un grande ignorante Crying or Very sad nn ho la minima idea su cosa volevi intendere per "scompatta l'archivio"...ed inoltre sulla pagina del link che avevi inserito (ossia www.mytempdir.com/1151187), non ho scaricato nessun symantec Crying or Very sad perchè l'unica cosa che è possibile scaricare è un file denominato UNKNOW....che nn fa nessuna scanzione.....

...fattosta che....

Razz Razz Razz Razz

il problema non sussiste più!!!
Difatti quelle fottute pagine del $$zzo non appaiono più zio furbo!!!
Io ho semplicemnte cancellato, con HijackThis, le voci che mi avevate segnalato...e PAF...il problema è svanito!!!

non so...se volete io scarico anche le cose che mi avete chiesto.....ma ora è tutto apposto!!!

se volete vi do il nuovo log di hiJackThis....
Citazione:

Logfile of HijackThis v1.99.1
Scan saved at 10.44.41, on 12/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\TEMP\VS5B7C.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Programmi\SAP\FrontEnd\sapgui\saplogon.exe
C:\Programmi\SAP\FrontEnd\sapgui\SAPLPD\SAPLPD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\hj\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = internet:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*;net05;web01;pdffatture;net13;net23;net23.prv.vestaspa.net;net13.prv.vestaspa.net;sportelloonline.vestaspa.net;172.22.*;www.vestaspa.net;www.vestainforma.it;s01dc;verde.*;s01sit;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 172.16.1.4 www.vestaspa.net
O1 - Hosts: 172.16.1.4 www.vestainforma.it
O1 - Hosts: 172.16.1.22 verde.vestaspa.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {ED324F9E-715D-4BE2-B6DF-44FCB674AADF} - http://net05/vesta/Portal/resources/msddsc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = prv.vestaspa.net
O17 - HKLM\Software\..\Telephony: DomainName = prv.vestaspa.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = prv.vestaspa.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = prv.vestaspa.net
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\UltraVNC\WinVNC.exe" -service (file missing)



Beh....cmq che dire...
GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE GRAZIE

DI CUORE!!!
Siete grandi porco rana!!!
Garndi zio furbo!!!
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 12 Feb 2007 17:20    Oggetto: Rispondi citando
L'archivio sono quei file .rar .zip ecc per "scompattarli" o estrarli devi cliccarci con il destro e vedi che ti da l'opzione estrai..

Ti conviene lo stesso fare la scansione perchè non si sa mai.. ti ricarico il file
http://www.mytempdir.com/1213520
Top
Profilo Invia messaggio privato HomePage
gmmagno
Mortale devoto
Mortale devoto


Registrato: 08/02/07 11:07
Messaggi: 5
MessaggioInviato: 15 Feb 2007 12:28    Oggetto: Rispondi
Scusate il ritardo
Embarassed Embarassed
ho avuto un casino di cose da fare!!!

Allora, ecco a voi il log di symantec
Citazione:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

C:\Documents and Settings\g.marinello\.$$$: (deleted)

Trojan.Linkoptimizer has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 30408
The number of deleted threat files: 1
The number of threat processes terminated: 0
The number of threat threads terminated: 0
The number of registry entries fixed: 0


Ancora oggi cmq nn ci sono più problemi!!!
Grazie ancora tanto tanto tanto!!
Razz
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi