Olimpo Informatico

[Lantis]

Salve ragazzi, siete la mia ultima speranza, ho chiesto gia ad alcune persone ma nn sono riuscite a darmi una soluzione! mi sono documentato su internet ma niente, ho scaricato tutti i possibili programmi piu potenti ma niente! nn mi restate che voi e la formattazione, pero mi piacerebbe riuscire a capire cos'è xke nn è la prima volta che mi capita! Dunque questo è il problema: penso che Internet Explorer 6 installato in un Windows Xp Home Edition sia stato colpito da qualche cosa ma nn ho ancora capito cosa! Questo problema nn è ke mi impedisca di usare il computer correttamente pero da fastidio! Praticamente si verificano dei fatti piuttosto strani quando apro il browser:

1) Non mi si apre la mia pagina web come pagina iniziale che ho impostato ma molto spesso mi si apre un motore di ricerca americano che ha come titolo "Oper Search Web"! Se qualcuno fosse interessato a vedere questa pagine web puo andare all'indirizzo "lop.com". Io ho la possibilità però di cambiare la pagina web iniziale e mettere quella che mi interessa, chiudo poi il browser lo riapro e mi compare la pagina web che ho impostato! Dopo un tot di tempo però se riapro il browser mi ricompare lop.com e così via! Quindi possiamo dire che c'è un dirottamento della pagina web iniziale! (Hijackers?!?)
2) Quando mi compare la pagina lop.com come pagina web iniziale mi viene visualizzata anche una Toolbar propria del sito internet che è rimovibile benissimo cliccandoci col tasto destro! Questa Toolbar ha, oltre al campo search, anche diversi pulsanti che sono Online, Internet, Spyware, Travel, Games, Antivirus e Business. Se io clicco su uno di questi pulsanti la pagina web si modifica facendomi notare che sono disponibili diversi link per quanto riguarda l'argomento del pulsante che ho cliccato!
3) Ogni tanto sul Desktop mi compaiono 5-6 icone che nn ho mai visto prima che hanno come etichetta Casino, First Date, Update my antivirus, Business e altre che nn ricordo! Queste icone sono sicuramente collegate col sito lop.com xke hanno la stessa grafica! Sono poi delle icone molto strane xke se clicco col tasto destro su di esse c'è solo un'opzione che è Delete! Non compare quindi il solito menu a tendina con il pulsante Proprietà riscontrato in tutte le altre icone "normali" ma solo questa voce: Delete! L'unico metodo per rimuovere queste icone dal desktop è quello di cliccare sul pulsante delete e queste vanno via senza passare nel cestino!

Bene questi sono i sintomi principali che iexplroer 6 mi da! Ho fatot una ricerca con Norton 2005 aggiornato in modalità provvisoria ma nn ha trovato nessun virus
Ho fatto una scansione con Adaware aggiornato e ha trovato degli spyware, li ho rimossi ma nn erano quelli il problema!
Ho fatto una scansione con SpyBot Search & Destroy! Ho immunizzato le pagine web pericolose, ho eliminato tutti gli spyware! Sembrava che, dopo aver immunizzato la pagina lop.com nn tornasse piu pero nella pagina iniziale che avevo impostato m compariva un'altra pagina web a forma di barra toolbar che era in primo piano ossia mi nascondeva tutto quello ke c'era sotto! Anche se riducevo ad icona il browser e lavoravo con un altro programma questa mi stava sempre in primo piano e nascondeva quindi come ho gia detto quello ke stava sotto! Ho visto ke l'unico modo per chudere questa " pagina web" era quello di andare su processi e terminare iexplorer.exe! Solo così mi andava via!
Ho usato anche CWShredder ma nn ha trovato niente!
Ho usato poi WinPatrol, Hijackthis ma niente!
Io ragazzi nn so piu cosa fare........mi sembra di aver usato tutti i piu potenti software per eliminare queste "Schifezze" ma niente

Per risolvere il problema ho scaricato il browser FireFox lasciando perdere iexplorer 6! Per un primo periodo tutto bene, ora sembra che anche firefox sia stato colpito nn tanto da lop.com ma da una cosa simile xke quando apro il browser nn si collega alla pagina iniziale che ho impostato ma a questa: ndobvkomgwojhkgtcuch.net/xM421uFPJjTvDF/8ZGCnef9HYGrPa58oaiK6CfWo4Po.html
pero nn riesce a visulizzarla!

Che fare???? formatto? e se poi dopo aver formattato il problema mi ricompare? vorrei vederci chiaro in questo problema........ aspetto una vostra risposta a patto che ne abbiate una ! grazie ciao ciao
Lantis

p.s. Ho provato anche a cancellare cookis, cache, file internet temporanei ma niente.........

[ioSOLOio]

uhm..

nella cartella Windows prova a cercare il file HOST e aprilo con un normale notepad....guarda se per caso compaiono indirizzi di siti strani..

poi, prova questo programmino che ho segnalato proprio ieri..sono solo 60kb e non si installa nemmeno..potebbe mostrare qualcosa, anche se mi pare strano che i vari tool specifici che hai usato non rilevino nulla, nemmeno HJackThis che è piuttosto valido [lo hai eseguito correttamente ? per un utilizzo ottimale dovrebbe risiedere in C o in Programmi, e lanciato con nessun programma in esecuzione]

per il problema con la pagina iniziale, dai una occhiata qua se ti senti in grado di mettere mano al registro, dopo aver fatto un backup ovviamente..
C'è anche un programmino ad hoc per impedire la modifica della Start Page ma non mi sovviene...

[issproevolution]

capitato anche ad un mio amico...
avevo risolto (in parte) rimuovendo le chiavi di registro segnalati da S&D...

[GrayWolf]

hai provato a guardare il file Hosts ?

si trova nella ...\System32\drivers\etc

... = directory di Windows

questo dovrebbe essere il suo contenuto

[Lantis]

Be grazie delle risposte che mi avete inviato pero temo ke nn sia capace di fare tutte queste cose! per me ke ho 18 anni e faccio appena le superiori in un liceo scientifico penso ke siano cose troppe tecniche anche se me la cavo con il pc! dunque ho avviato lo starter ma mi ha risolto dei problemini ke nn c'entranvano come per esempio il quick time ke si avviava da solo! be grazie intanto per questo !
per quanto riguarda gli hosts ho visto ke c'enerano parecchio (4-5)! gli ho guardati ma sembra ke siano come mi avete detto dovrebbero essere! solo uno, ke si chiama Imhosts nn si prenseta in modo stardard xke, oltre ad essere piu lungo degli altri prenseta dopo la solita forma quetsa frase:
"Questo file è compatibile con i file lmhosts TCP/IP di Microsoft LAN
Manager 2.x ed offre le estensioni seguenti:"ecc ma penso c'entri con la rete lan giusto? cmq li ho messi in sola lettura tutti quanti!
Poi ho scaricato il programma Start Page guard e ho impostato la pagina iniziale ke volevo e sembra ke ora nn ci siano piu problemi (per ora!).
Ho provato a riusare HijackThis e mi dice di slavare il file di log solo ke io nn ci capisco niente! volete darci un'occhiata voi? come faccio a farvelo vedere?
Lantis

[ioSOLOio]

[Lantis]

il problema purtroppo mi è ritornato! sembra ke StartPage Guard nn sia abbastanza efficace xke la pagina web iniziale viene cambiato cmq! dunque ho fatto una scansione con HijackThis e, come da consiglio, ho in collato qui il file log:
Logfile of HijackThis v1.99.1
Scan saved at 10.19.05, on 29/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bwtkeigvgqezoboharxtrg.com/xM421uFPJjTmF6sWJ4QqTxtWIhkJL6Dl4ZlBLBgMwxMEKZNu1jhf4LyV/kk4YigQ.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.msn.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9CBCA995-B863-0F3E-E0A6-2DF5B2969B0D} - C:\DOCUME~1\VIDEOC~1\DATIAP~1\EQFILE~1\Global Pop.exe (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: (no name) - {B116E1E1-FF9E-0365-3CC1-D0C5CF9D50B6} - C:\DOCUME~1\VIDEOC~1\DATIAP~1\EQFILE~1\inside peak.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Usersixthblehmove] C:\Documents and Settings\All Users\Dati applicazioni\bagsinfousersixth\Modepile.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [zSPGuard] c:\programmi\pjw\spguard\spguard.exe /s
O4 - HKLM\..\Run: [Cdrom Drive 1 Poke] C:\Documents and Settings\All Users\Dati applicazioni\One Obj Cdrom Drive\AnteDart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VIDEOC~1\DATIAP~1\ELSEPL~1\AXISNEW.exe
O4 - Startup: PeerGuardian.lnk = C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
O4 - Startup: Collegamento a emulebat.lnk = C:\Programmi\eMule\emulebat.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.LNK = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/it/filesharingctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1346955-CF40-4568-94CB-BBDCDABE582D}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Programmi\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

se ci capite qualcosa voi..........grazie ciao ciao
Lantis

[Lantis]

p.s. scusate per i link ma nn sapevo che il fiel log contenesse dei link attivi

[SverX]

i link sono diventati attivi per via del funzionamento del forum, non è colpa tua

Comunque mi pare di capire dal tuo log che tra i responsabili ci sono sicuramente:

O2 - BHO: (no name) - {9CBCA995-B863-0F3E-E0A6-2DF5B2969B0D} - C:\DOCUME~1\VIDEOC~1\DATIAP~1\EQFILE~1\Global Pop.exe (file missing)

e

O2 - BHO: (no name) - {B116E1E1-FF9E-0365-3CC1-D0C5CF9D50B6} - C:\DOCUME~1\VIDEOC~1\DATIAP~1\EQFILE~1\inside peak.exe

... mi paiono proprio brutte.

[GrayWolf]

[GrayWolf]

A me sembra sospetto anche questo:

[Lantis]

ho guardato ora l'analizzatore! ma cosa faccio ora? per esempio che cosa ci devo fare con le due cose sospette denunciate da sverx?

[GrayWolf]

fai il backup completo del registro (con regedit)(altamente raccomandato)

sempre con regedit, cancella le due voci segnalate

[ioSOLOio]

HiJackThis oltre che mostrarti il log dell'analisi fatta, ti permette di selezionare e quindi eliminare le voci considerate malevole [click sul quadratino quindi Fix Checked ]

ovviamente -per voci di registro- effettuare prima un backup...



tra l'altro quell'Adsl Autoconnect che è ?
Ed anche il lungo link riferito alla voce Search Bar credo sia da erasare..

[chemicalbit]

susate il piccolo off-topic

[Lantis]

Ho capito! Adsl autoconnect è un programma che mi collega all'adsl in modo automatico quando cade la linea! è molto utile ma xke è dannoso?
cmq volevo capire come effettuare il backup; il backup cosa fa? mi fa una sorta di file immagine racchiudendo tutti ma proprio tutti i file che sono memorizzati dentro al mio sistema o solo quei file ke sono indispensabili per caricare il so o i file del registro di sistema? e poi se io ho per esempio un hdd da 160gb e la parte utilizzata è di 120gb , mi restano soltanto 40gb! ci sta in 40gb il backup? quello ke volevo capire è questo file di backup è grande come la quantità totale di file ke sono memorizzati nell'hdd o minore? e quando l'ho fatto? tengo li il file o lo devo masterizzare?

[GrayWolf]

[ioSOLOio]

[Lantis]

Ok ho fatto il Backup del registro di sistema come mi avete insegnato GRAZIE
Ora, ho lanciato Hijackthis e ho cancellato, selezionando il quadratino e poi facendo fix checked, le due cose denunciate da sverx ossia
O2 - BHO: (no name) - {9CBCA995-B863-0F3E-E0A6-2DF5B2969B0D} - C:\DOCUME~1\VIDEOC~1\DATIAP~1\EQFILE~1\Global Pop.exe (file missing) e
O2 - BHO: (no name) - {B116E1E1-FF9E-0365-3CC1-D0C5CF9D50B6} - C:\DOCUME~1\VIDEOC~1\DATIAP~1\EQFILE~1\inside peak.exe
Sono andato poi in cerca della segnalazione C:\WINDOWS\system32\wuauclt.exe fatta da Graywolf solo ke nn sono riuscito a trovarla...ho guardato voce per voce ma niente.... dov'è? hehe

Guardando anche io un po' il file Log ke ho postato, mi sono accorto di questo
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bwtkeigvgqezoboharxtrg.com/xM421uFPJjTmF6sWJ4QqTxtWIhkJL6Dl4ZlBLBgMwxMEKZNu1jhf4LyV/kk4YigQ.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.msn.it
cosa dite? è proprio la pagina web che, oltre a lop.com, mi va a reindirizzare all'apertura del browser (sia firefox che iexplorer6)! che ne dite? ciao
Lantis

[Lantis]

p.s. ma che abbia fatto bene a pubblicizzare il mio file log? è sicuro?