| Precedente :: Successivo |
| Autore |
Messaggio |
zackk
Comune mortale
Registrato: 18/04/07 15:02
Messaggi: 3
|
 Inviato: 18 Apr 2007 15:23 Oggetto: Apertura pagine internet in automatico |
 |
|
Ciao
Da una settimana mi si aprono in automatico delle finestre di internet explorer, sia quando sono in internet che quando non lo sono(premetto outlook è sempre aperto). Addirittura mi appare almeno due volte al giorno una schemata che indica un errore di iexplorer.exe ..000.0000 memoria era read.
Ho lanciato symatnec ma nulla.,
Sapete aiutarmi
grazie mille |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 18 Apr 2007 20:30 Oggetto: |
|
|
Che tipo di pagine ti si aprono?
Prova a scaricare questo programma e fallo girare.
Se riesce a partire, clicca sul bottone "Do a system scan and save a logfile".
Seleziona tutto il contenuto della finestra di notepad che ti si apre copialo e incollalo qui.
Se, invece, non si avvia... allora hai un ospite indesiderato... e vedremo dopo cos'altro fare. |
|
| Top |
|
|
zackk
Comune mortale
Registrato: 18/04/07 15:02
Messaggi: 3
|
| Inviato: 19 Apr 2007 13:55 Oggetto: |
|
|
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13.49.34, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Microsoft11\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft11\OFFICE11\WINWORD.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\stefano.vanoncini\Desktop\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\tmp911.tmp.dll
O2 - BHO: (no name) - {e452ba54-82e9-4856-9d44-3be185934d80} - C:\WINDOWS\system32\crr949.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKLM\..\Run: [BootService] rundll32.exe "C:\WINDOWS\ddbxww.dll",realset
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD LT.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169019751177
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = osio.mapspa.com
O17 - HKLM\Software\..\Telephony: DomainName = osio.mapspa.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = osio.mapspa.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = osio.mapspa.com
O20 - AppInit_DLLs:
O20 - Winlogon Notify: crr949 - C:\WINDOWS\SYSTEM32\crr949.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
GRAZIE |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 19 Apr 2007 17:06 Oggetto: |
|
|
Non sembra esserci roba strana attiva in memoria...
| zackk ha scritto: |
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\tmp911.tmp.dll
O2 - BHO: (no name) - {e452ba54-82e9-4856-9d44-3be185934d80} - C:\WINDOWS\system32\crr949.dll
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKLM\..\Run: [BootService] rundll32.exe "C:\WINDOWS\ddbxww.dll",realset
O20 - Winlogon Notify: crr949 - C:\WINDOWS\SYSTEM32\crr949.dll |
Questi vanno fixati.
Riavvia HijackThis
seleziona le voci che ti ho indicato
clicca sul bottone "Fix checked"
Tra l'altro sembra che ci sia di mezzo Sasser... scarica e fai girare il tool di rimozione
Riavvia il pc
riesegui Hijack e riposta il log |
|
| Top |
|
|
zackk
Comune mortale
Registrato: 18/04/07 15:02
Messaggi: 3
|
| Inviato: 20 Apr 2007 09:39 Oggetto: |
|
|
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 9.08.45, on 20/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Messenger\msmsgs.exe
E:\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\stefano.vanoncini\Desktop\HiJackThis_v2.exe
C:\Programmi\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {e452ba54-82e9-4856-9d44-3be185934d80} - C:\WINDOWS\system32\crr949.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = osio.mapspa.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = osio.mapspa.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = osio.mapspa.com
O20 - Winlogon Notify: crr949 - C:\WINDOWS\SYSTEM32\crr949.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
i siti che mi si aprono spesso sono it.drivecleaner.com e systemdoctor |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 20 Apr 2007 10:15 Oggetto: |
|
|
E' rimasto ancora qualcosa:
| Citazione: |
O2 - BHO: (no name) - {e452ba54-82e9-4856-9d44-3be185934d80} - C:\WINDOWS\system32\crr949.dll
O20 - Winlogon Notify: crr949 - C:\WINDOWS\SYSTEM32\crr949.dll
|
Prova a fixarle partendo in modalità provvisoria:
- premi F8 poco prima che parta Windows
- ti appare un elenco di voci, scegli la modalità provvisoria
- in questa modalità avvia HijackThis
- seleziona le 2 voci che ti ho indicato
- fixale
- cancella il file C:\WINDOWS\SYSTEM32\crr949.dll.
se non ci riesci per vie "normali", utilizza questo
- riavvia il pc in modalità normale
- esegui nuovamente HijackThis
- riposta un nuovo log |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 20 Apr 2007 10:32 Oggetto: |
 |
|
Sembrerebbe un?infezione da Look2me
Scarica Look2Me-Destroyer
Avvialo seleziona Run this program as a task.
Al messaggio rispondi OK
quando il tool riparte seleziona Scan for L2M (possono sparire le icone dal desktop, ma è normale)
quando lo scan è terminato seleziona Remove L2M
rispondi OK a tutte le domande successive e alla fine riavvia
posta il log di Look2Me-Destroyer.txt e uno nuovo di HJT |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
