Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Spammatore nel mio pc? Come posso cacciarlo via? [RISOLTO] Opzioni
bbrun
Inviato: Monday, December 31, 2012 7:40:44 PM
Rank: AiutAmico

Iscritto dal : 3/14/2005
Posts: 978
Salve, avevo già inserito questo mio messaggio in un altra sezione, poi Wolfstein mi ha consigliato di metterlo qui,
compresi i log di Malwarebytes e Hijackthis, in precedenza avevo effettuato un controllo con Spybot.
La questione è molto semplice, sono finito nella "Lista nera" dei spammatori, qualche fetentone deve essere riuscito a infilare qualcosa nel mio pc.
Per prima cosa mi serve un programma che sbatta fuori a calci in culo quel qualcosa.
Per seconda cosa... cosa devo fare per farmi togliere dalla lista di "Spamcop"?

Ecco qui il secondo log di Malwarebytes, pulitissimo, questo perché il log della prima scansione non è stato salvato.
Nella prima erano saltati fuori 5 intrusi, che ho eliminato, la scansioni sono state tutte e due totali.

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Versione database: v2012.12.31.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702

31/12/2012 17.19.23
mbam-log-2012-12-31 (17-19-23).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 352918
Tempo impiegato: 32 minuti, 40 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)


Ed ecco qui il log di HijackThis


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.04.51, on 31/12/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Microsoft Security Client\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\jre7\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programmi\Nitro\Reader 3\NitroPDFReaderDriverService3.exe
C:\Programmi\Spybot - Search & Destroy 2\SDFSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Spybot - Search & Destroy 2\SDUpdSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Spybot - Search & Destroy 2\SDUpdate.exe
D:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy 2\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre7\bin\ssv.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre7\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [MSC] "C:\Programmi\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spybot - Search & Destroy 2\SDTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [Spybot-S&D Cleaning] "C:\Programmi\Spybot - Search & Destroy 2\SDCleaner.exe" /autoclean
O4 - HKCU\..\RunOnce: [SpybotDeletingF8135] "C:\Programmi\Spybot - Search & Destroy 2\SDDelFile.exe" "C:\WINDOWS\SchedLgU.Txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingF5566] "C:\Programmi\Spybot - Search & Destroy 2\SDDelFile.exe" "C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Media Index\wmplibrary_v_0_12.db"
O4 - HKCU\..\RunOnce: [SpybotDeletingF5427] "C:\Programmi\Spybot - Search & Destroy 2\SDDelFile.exe" "C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Media Index\wmplibrary_v_0_12.db"
O4 - HKCU\..\RunOnce: [SpybotDeletingF3711] "C:\Programmi\Spybot - Search & Destroy 2\SDDelFile.exe" "C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Media Index\wmplibrary_v_0_12.db"
O4 - HKCU\..\RunOnce: [SpybotDeletingF8404] "C:\Programmi\Spybot - Search & Destroy 2\SDDelFile.exe" "C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Media Index\wmplibrary_v_0_12.db"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-1547161642-1500820517-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Bruno_2')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1547161642-1500820517-725345543-1005 Startup: Collegamento a EssentialPIM.lnk = D:\Programmi\USB\EssentialPIMPort5\EssentialPIM.exe (User 'Bruno_2')
O4 - S-1-5-21-1547161642-1500820517-725345543-1005 User Startup: Collegamento a EssentialPIM.lnk = D:\Programmi\USB\EssentialPIMPort5\EssentialPIM.exe (User 'Bruno_2')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy 2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy 2\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1352308303277
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1352322861984
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: NitroPDFReaderDriverCreatorReadSpool3 (NitroReaderDriverReadSpool3) - Nitro PDF Software - D:\Programmi\Nitro\Reader 3\NitroPDFReaderDriverService3.exe
O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Programmi\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Programmi\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Programmi\Spybot - Search & Destroy 2\SDWSCSvc.exe

--
End of file - 8096 bytes


Grazie.
Sponsor
Inviato: Monday, December 31, 2012 7:40:44 PM

 
cbbusto
Inviato: Tuesday, January 01, 2013 6:25:27 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Dal log HJT non si vede niente, si possono togliere alcune voci in avvio che non servono.

Chiudi tutti i programmi e disconnesso lanci HJT e clicca sul secondo pulsante: Do a system scan only poi metti la spunta alle voci che ti indico e alla fine clic su Fix checked:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-1547161642-1500820517-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Bruno_2')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1547161642-1500820517-725345543-1005 Startup: Collegamento a EssentialPIM.lnk = D:\Programmi\USB\EssentialPIMPort5\EssentialPIM.exe (User 'Bruno_2')
O4 - S-1-5-21-1547161642-1500820517-725345543-1005 User Startup: Collegamento a EssentialPIM.lnk = D:\Programmi\USB\EssentialPIMPort5\EssentialPIM.exe (User 'Bruno_2')
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)

Poi Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner
Avvialo e clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Un programma per togliere il fetente non lo conosco anche perchè non si sa di cosa si tratta.
Per farti togliere dalla black list devi contattare direttamente Spamcop.
Se sai quando è iniziato il problema potresti fare un ripristino configurazione del Sistema ad una data precedente. Ciao


bbrun
Inviato: Tuesday, January 01, 2013 7:43:18 PM
Rank: AiutAmico

Iscritto dal : 3/14/2005
Posts: 978
cbbusto ha scritto:
Dal log HJT non si vede niente, si possono togliere alcune voci in avvio che non servono.


Salve Cbbusto.
Riguardo ai comandi che partono in automatico non credo di poterti accontentare, perché mi servono o perché... non so.
Se tolgo SOUNDMAN.EXE non mi funziona più l'audio.
EssentialPIM lo ho messo io nell'avvio automatico, gli do un'occhiata, prendo nota e lo chiudo.
EEventManager.exe riguarda la stampante, una Epson Stylus SX 215.
CTFMON.EXE; c'è sempre, anche per altre cose, a che serve?
NeroCheck.exe, può anche darsi che lo abbia attivato io in qualche impostazione, anche qui, a che serve?
SDWinLogon.dll (file missing), se è sparito si può anche togliere, ma come prima: a che serve?

Riguardo a Adwcleaner c'era solo una irregolarità nel registro, che ha tolto di mezzo, ora è pulito.

Eccolo qui:

# AdwCleaner v2.104 - Logfile creato il 01/01/2013 alle 19:12:04
# Aggiornamento 29/12/2012 by Xplode
**********
# Sistema Operativo : Microsoft Windows XP Service Pack 3 (32 bits)
# Modalità Avvio : Modalità Normale
# Eseguito da : C:\Documents and Settings\*****\Desktop\adwcleaner.exe
# Opzioni [Cerca]


***** [Servizi] *****


***** [File / Cartelle] *****


***** [Registro] *****


***** [Browser Internet] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registro Pulito.

*************************

AdwCleaner[R1].txt - [780 octets] - [01/01/2013 18:56:40]
AdwCleaner[R2].txt - [839 octets] - [01/01/2013 19:01:41]
AdwCleaner[R3].txt - [898 octets] - [01/01/2013 19:05:03]
AdwCleaner[R4].txt - [743 octets] - [01/01/2013 19:12:04]
AdwCleaner[S1].txt - [961 octets] - [01/01/2013 19:05:36]

########## EOF - \AdwCleaner[R4].txt - [861 octets] ##########

Commenta:
Un programma per togliere il fetente non lo conosco anche perchè non si sa di cosa si tratta.

Il problema è parzialmente risolto, gli IP che diffondevano Spam non erano miei, ma appartenevano a server di
Libero e Alice.
Ora dovrò rompergli l'anima affinchè si affrettino a rifargli la verginità, non mi va di spedire e rispedire la stessa lettera
fino a quando non riesco a trovare un percorso non inquinato da Spammatori.

Buon Anno CBB.

cbbusto
Inviato: Wednesday, January 02, 2013 12:51:57 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Riguardo i programmi in avvio non l'ho specificato perchè pensavo tu lo sapessi, rimuovendo le voci in avvio automatico i programmi non vengono toccati e funzioneranno regolarmente basta aprirli, in avvio basterebbe avere solo l'antivirus tutti gli altri non servono, troppo programmi in avvio rallentano l'apertura del S.O. e alle volte creano problemi di rallentamenti e conflitti, comunque sei libero di lasciarli volevo solo chiarire come funziona.
NeroCheck.exe rileva i driver installati nel sistema che possono creare conflitti con Nero. NeroCheck.exe può causare rallentamenti.
SDWinLogon, questo file è associato a Spybot ma può essere anche un malware, nel tuo caso è un file mancante quindi è bene togliere la voce.
Ctfmon.exe c'è sempre anche più di uno, serve per Office attiva il processore per l'input di testo.
Ctfmon.exe controlla le finestre attive e fornisce il supporto per il servizio di input del testo per il riconoscimento vocale, il riconoscimento della grafia, la tastiera, la traduzione e altre tecnologie di input alternativo dell'utente. Altri riguardano dei servizi e si possono togliere dall'avvio.
Ciao e BUON ANNO ANCHE A TE.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.