Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiuto probabile spyware Opzioni
valeria_1977
Inviato: Thursday, January 15, 2009 12:34:46 PM
Rank: Member

Iscritto dal : 2/20/2004
Posts: 1
Ciao a tutti,
avrei bisogno di un'aiuto.
Su di un pc con s.o. windows vista basic durante la navigazione su internet partono in automatico delle finestre di explorer con pubblicità oppure siti per giocare on-line.
Ecco le prove da me eseguite:
- aggiornamento di windows con update
- scansione con antivirus aggiornato AVG
- ho installato e fatto una scansione con ad-aware
- ho installato e fatto una scansione con spybot-search and destroy
- ho installato hijackthis e dall'analisi fatta dal sito stesso non ci sono elementi critici.
Cosa posso fare?
Il problema persiste.
Grazie.
Sponsor
Inviato: Thursday, January 15, 2009 12:34:46 PM

 
adamerca
Inviato: Thursday, January 15, 2009 12:44:50 PM

Rank: AiutAmico

Iscritto dal : 9/1/2008
Posts: 502
cambia sistema operativo..passa a Linux e tutti questi problemi non li avrai più..Io ho fatto così..ciao

r16
Inviato: Thursday, January 15, 2009 12:58:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Posta un log di HijackThis , l'analisi del sito non sempre c'azzecca...
giostraio
Inviato: Thursday, January 15, 2009 1:07:46 PM
Rank: Newbie

Iscritto dal : 1/14/2009
Posts: 0
nn e' nessun virus o altro.....se hai msn ...probabilmente quando lo hai installato...hai aderito alla pubblicita'....x toglierla vai semplicemente su pannello di controllo....istall applicaz ....msn....e fai disinstalla....e vedi ke avrai delle opzioni di disinstallazione....ovviamente elimina solo quellla dellla pubblicita' ....fammi sapere se e' cosi'....
monsee
Inviato: Thursday, January 15, 2009 3:01:32 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Ti suggerisco caldamente di seguire il consiglio di r16 (non che Adamerca abbia torto, ovviamente: ma, a quello che ho capito, tu [per puro masochismo o per altre legittime ragioni] NON desideri rinunciare a Windows Vista).
cato9250
Inviato: Thursday, January 15, 2009 6:35:41 PM
Rank: Newbie

Iscritto dal : 6/17/2008
Posts: 2
Per Valeria 1977.
Stesso mio problema.Mi ha perseguitato per un mese.Non e' un virus ma un programma.Il mio serviva per vedere tv
in rete e si chiamava WEB MEDIA PLAYER.L'ho disinstallato e pensavo di averlo eliminato perche non risultava piu' tra
i programmi installati.Mi sbagliavo. L'ho,per caso, ritrovato in START-PROGRAMMI e mi sono accorto che c'era ancora.
Tasto destro e scegli elimina perche' con disinstalla non va via.
Adesso non ho piu' questo problema .Vedi se hai un programma del genere anche tu.
valeria_1977
Inviato: Friday, January 16, 2009 11:29:40 AM
Rank: Member

Iscritto dal : 2/20/2004
Posts: 1
Il programma web media player non c'é tra l'elenco dei programmi installati.
Windows live plus è installato ma senza sponsor, quindi non credo che sia questo il problema.
Ecco il LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.13.41, on 15/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Powercinema\PCMService.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Common Files\Logishrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Sitecom\Bluetooth Software\BTTray.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\Sitecom\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
c:\program files\logitech\quickcam\lu\lulnchr.exe
C:\program files\logitech\quickcam\lu\LogitechUpdate.exe
C:\Windows\system32\wuauclt.exe
c:\users\giorgio\appdata\local\iaycyuu.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\InstallShield\UpdateService\agent.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.itasportpress.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Program Files\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_S668F.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [iaycyuu] "c:\users\giorgio\appdata\local\iaycyuu.exe" iaycyuu
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{311EAAD3-EE54-4A57-8665-2128B8B77356}: NameServer = 85.37.17.50 85.38.28.76
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL,avgrsstx.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\Program Files\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\Program Files\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 10172 bytes

Grazie.
dario-vr
Inviato: Friday, January 16, 2009 11:46:32 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Sono curioso di leggere che risposte otterrai (ciao Scorpionica) Angel Silenced
r16
Inviato: Friday, January 16, 2009 12:47:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Non è difficile, hai un virus (navipromo) che ti rompe le scatole. (iaycyuu.exe)
Vediamo se si arrangia Combofix a eliminarlo, altrimenti lo eliminiamo a mano .
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
*********************************************************************************************************
Esegui Combofix come Amministratore (tasto destro sull'icona di Combofix e scegli : Esegui come......)
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: Combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)


dario-vr
Inviato: Friday, January 16, 2009 1:00:05 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ciao r16 sei oramai un mito di questo forum,
la mia precedente affermazione era pertinente avendo letto la stessa problematica in un altro forum: la soluzione proposta era l'utilizzo di Avenger.
Ora sono curiosissimo di leggere come risolve la ns. amica Valeria Angel Whistle
r16
Inviato: Friday, January 16, 2009 1:11:59 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
dario-vr ha scritto:
Ciao r16 sei oramai un mito di questo forum,
la mia precedente affermazione era pertinente avendo letto la stessa problematica in un altro forum: la soluzione proposta era l'utilizzo di Avenger.
Ora sono curiosissimo di leggere come risolve la ns. amica Valeria Angel Whistle

E' possibile anche con Avenger.
Basta fare uno script :

File to delete:
c:\users\giorgio\appdata\local\iaycyuu.exe

E cliccare su Exsecute.

Ma preferisco Combofix, perche risolve il problema alla radice.
Non si limita a eliminare l'eseguibile, ma elimina anche i file correlati all'eseguibile.( non le chiavi del registro)
Senza contare, che potrebbe rilevarne altri, che HJT non ha rilevato.
dario-vr
Inviato: Friday, January 16, 2009 1:25:03 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
dario-vr ha scritto:
Ciao r16 sei oramai un mito di questo forum,
la mia precedente affermazione era pertinente avendo letto la stessa problematica in un altro forum: la soluzione proposta era l'utilizzo di Avenger.
Ora sono curiosissimo di leggere come risolve la ns. amica Valeria Angel Whistle

E' possibile anche con Avenger.
Basta fare uno script :

File to delete:
c:\users\giorgio\appdata\local\iaycyuu.exe

E cliccare su Exsecute.

Ma preferisco Combofix, perche risolve il problema alla radice.
Non si limita a eliminare l'eseguibile, ma elimina anche i file correlati all'eseguibile.( non le chiavi del registro)
Senza contare, che potrebbe rilevarne altri, che HJT non ha rilevato.


Per questo sei un mito (il risolutore) Boo hoo! Applause Applause Applause
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.