Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

pop up fastidiosi Opzioni
mammetta
Inviato: Tuesday, March 17, 2009 1:48:40 PM
Rank: AiutAmico

Iscritto dal : 6/28/2004
Posts: 80
ciao, da qualche giorno mi escono dei pop up fastidiosi quando navigo. la cosa strana che ho notato mi escono quando ad esempio vado su ebay, gazzetta, poste, o altri siti che guardo normalmente. naturalmente il blocco pop up di explorer è attivato e funziona normalmente. queste finestre che si aprono sono come dire tematiche, cioè se apro ebay mi offrono di comprare qualcosa, se apro poste italiane di spedire qualcosa, se apro gazzetta parlano di acquistare articoli sportivi etc. ho installato, aggiornato e fatto passare dalla provvissoria i seguenti programmi: cccleaner, spybots, adware, spyware terminator, malwarebytes, hijackthis, clamwin, windows defender, dr alex. ho installato f-secure antivirus e installato sp 3 con windows aggiornato. le scansioni hanno prodotto qualche risultato, tipo alcuni malware, virus e spyware trovati ed eliminati, ma il problema persiste. qualche consiglio? grazie 1000
Sponsor
Inviato: Tuesday, March 17, 2009 1:48:40 PM

 
pidue
Inviato: Tuesday, March 17, 2009 1:58:34 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, scarica Combofix , salvalo sul desktop, disabilita l'antivirus e chiudi la connessione a internet.
Lancialo in mod normale e segui scrupolosamente le istruzioni a video.
Al termine, verrà creato un log in C:\ComboFix.txt.

Pubblica il log.
Riferisci se il problema è risolto.




mammetta
Inviato: Tuesday, March 17, 2009 9:05:23 PM
Rank: AiutAmico

Iscritto dal : 6/28/2004
Posts: 80
penso di aver grazie a combofix. provo ancora e poi domani ti posto con sicurezza il risultato. intanto allego il txt. in effetti temevo che il problema fosse nato scaricando webmediaplayer. intanto grazie 1000.
ecco il log

ComboFix 09-03-15.01 - _Marco_ 2009-03-17 20.53.51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1040.18.1535.740 [GMT 1:00]
Eseguito da: c:\documents and settings\_Marco_\Desktop\Nuova cartella (4)\ComboFix.exe
AV: F-Secure Anti-Virus Client Security 6.03 *On-access scanning enabled* (Updated)
AV: Panda Antivirus Platinum 7 *On-access scanning disabled* (Outdated)
FW: F-Secure Anti-Virus Client Security 6.03 *enabled*
FW: Panda Antivirus Platinum 7 *disabled*
* Creato nuovo punto di ripristino
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\_Marco_\Impostazioni locali\Dati applicazioni\cwmagcg.dat
c:\documents and settings\_Marco_\Impostazioni locali\Dati applicazioni\cwmagcg.exe
c:\documents and settings\_Marco_\Impostazioni locali\Dati applicazioni\cwmagcg_nav.dat
c:\documents and settings\_Marco_\Impostazioni locali\Dati applicazioni\cwmagcg_navps.dat
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\Condizioni generali.url
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\Disinstalla.lnk
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\Riservatezza.url
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\WebMediaPlayer.lnk
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\WebMediaPlayer\Website.url
c:\windows\system32\msmapi32.exe
c:\windows\system32\smartdrv.exe

.
((((((((((((((((((((((((( Files Creati Da 2009-02-17 al 2009-03-17 )))))))))))))))))))))))))))))))))))
.

2009-03-12 21:06 . 2009-03-12 21:06 <DIR> d-------- c:\windows\system32\it-it
2009-03-12 21:06 . 2009-03-12 21:06 <DIR> d-------- c:\windows\system32\it
2009-03-12 21:06 . 2009-03-12 21:06 <DIR> d-------- c:\windows\system32\bits
2009-03-12 21:06 . 2009-03-12 21:06 <DIR> d-------- c:\windows\l2schemas
2009-03-12 21:03 . 2009-03-12 21:03 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-12 20:59 . 2009-03-12 21:23 1,374 --a------ c:\windows\imsins.BAK
2009-03-12 20:56 . 2009-03-12 20:56 <DIR> d-------- c:\windows\EHome
2009-03-12 18:57 . 2009-03-16 21:38 <DIR> dr-h----- c:\documents and settings\_Marco_\Recent
2009-03-12 16:03 . 2009-03-12 18:35 <DIR> d-------- c:\programmi\Spyware Terminator
2009-03-12 16:03 . 2009-03-12 16:30 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Spyware Terminator
2009-03-12 16:03 . 2009-03-12 18:35 <DIR> d-------- c:\documents and settings\_Marco_\Dati applicazioni\Spyware Terminator
2009-03-12 16:03 . 2009-03-12 16:03 142,592 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2009-03-12 15:58 . 2009-03-12 15:58 <DIR> d-------- c:\documents and settings\_Marco_\Dati applicazioni\Malwarebytes
2009-03-12 15:58 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-12 15:58 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-12 15:57 . 2009-03-12 15:58 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-03-12 15:57 . 2009-03-12 15:57 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Malwarebytes
2009-03-10 21:20 . 2009-03-10 21:33 <DIR> d-------- c:\programmi\World Racing 2
2009-03-07 14:57 . 2009-03-07 14:57 <DIR> d-------- c:\programmi\Activision
2009-03-07 14:57 . 2009-03-07 14:57 <DIR> d-------- C:\help
2009-03-06 21:26 . 2009-03-06 21:26 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\wmp
2009-03-02 01:34 . 2009-03-02 01:34 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-02 01:34 . 2009-03-02 01:34 1,409 --a------ c:\windows\QTFont.for
2009-02-18 20:33 . 2009-02-18 20:33 <DIR> d-------- c:\programmi\Microsoft Silverlight

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-17 19:43 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\TEMP
2009-03-15 18:17 --------- d-----w c:\programmi\Spybot - Search & Destroy
2009-03-07 13:59 --------- d--h--w c:\programmi\InstallShield Installation Information
2009-02-28 22:50 --------- d-----w c:\programmi\Pinocchio the Game
2009-02-09 14:04 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-02-08 21:43 --------- d-----w c:\documents and settings\_Marco_\Dati applicazioni\LimeWire
2007-03-14 21:36 20,744 ----a-w c:\documents and settings\_Marco_\Dati applicazioni\GDIPFONTCACHEV1.DAT
2003-10-23 16:52 40,960 ----a-w c:\programmi\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 860,672 2002-11-12 10:02:08 c:\programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe

----a-w 143,360 2003-05-05 07:57:30 c:\programmi\Analog Devices\SoundMAX\bak\SMTray.exe

----a-w 122,929 2005-10-26 01:51:58 c:\programmi\F-Secure\common\bak\FSM32.EXE
----a-w 122,929 2005-10-26 01:51:58 c:\programmi\F-Secure\common\FSM32.EXE

----a-w 684,032 2004-05-27 08:57:00 c:\programmi\F-Secure\TNB\bak\TNBUtil.exe
----a-w 684,032 2004-05-27 08:57:00 c:\programmi\F-Secure\TNB\tnbutil.exe

----a-w 83,608 2007-03-14 01:43:44 c:\programmi\Java\jre1.6.0_01\bin\bak\jusched.exe

----a-w 15,360 2004-08-19 12:00:00 c:\windows\system32\bak\ctfmon.exe
----a-w 15,360 2008-04-14 02:14:03 c:\windows\system32\ctfmon.exe

----a-w 155,648 2001-07-09 00:50:42 c:\windows\system32\bak\NeroCheck.exe

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Yahoo! Pager"="c:\programmi\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]
"cwmagcg"="c:\documents and settings\_marco_\impostazioni locali\dati applicazioni\cwmagcg.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="c:\programmi\F-Secure\Common\FSM32.EXE" [2005-10-26 122929]
"F-Secure TNB"="c:\programmi\F-Secure\TNB\TNBUtil.exe" [2004-05-27 684032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2003-07-15 34880]

c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
F-Secure Automatic Update.lnk - c:\programmi\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe [2007-10-25 32807]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.JPEG"= jpegCode.dll
"VIDC.MJPG"= jpegCode.dll

[HKLM\~\startupfolder\C:^Documents and Settings^_Marco_^Menu Avvio^Programmi^Esecuzione automatica^PowerReg Scheduler V3.exe]
path=c:\documents and settings\_Marco_\Menu Avvio\Programmi\Esecuzione automatica\PowerReg Scheduler V3.exe
backup=c:\windows\pss\PowerReg Scheduler V3.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClamWin]
--a------ 2007-08-21 20:05 73728 c:\programmi\ClamWin\bin\ClamTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cwmagcg]
c:\documents and settings\_marco_\impostazioni locali\dati applicazioni\cwmagcg.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator]
--a------ 2007-06-29 20:41 4376328 c:\programmi\DAP\DAP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2004-09-13 15:49 49152 c:\programmi\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2008-04-14 03:14 1695232 c:\programmi\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-02-27 20:30 180269 c:\programmi\File comuni\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
--a------ 2006-11-03 18:20 866584 c:\programmi\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2007-08-30 17:43 4670704 c:\programmi\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\LimeWire\\LimeWire.exe"=
"c:\\Programmi\\F-Secure\\BackWeb\\7681197\\program\\F-Secure Automatic Update.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2007-10-25 70960]
R2 BackWeb Plug-in - 7681197;F-Secure Automatic Update;c:\progra~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2007-10-25 32807]
R2 F-Secure Filter;F-Secure File System Filter;c:\programmi\F-Secure\Anti-Virus\win2k\FSfilter.sys [2007-10-25 48816]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmi\F-Secure\Anti-Virus\win2k\fsgk.sys [2007-10-25 48256]
R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmi\F-Secure\Anti-Virus\win2k\FSrec.sys [2007-10-25 16720]
R2 QQBEDYMV;QQBEDYMV;c:\windows\system32\qqbedymv.cdr [2004-08-19 14976]
R2 WinDefend;Windows Defender;c:\programmi\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S2 CoachCap;FUJIFILM EX-10/EX-20 PC V1.00;c:\windows\system32\drivers\coachcap.sys [2002-03-03 93068]
S4 SrvKhm;SrvKhm;\\?\c:\programmi\Windows NT\com7.exe [2004-08-19 72812]
S4 SrvWff;SrvWff;\\?\c:\programmi\File comuni\Services\lpt5.exe [2004-08-19 79540]
.
Contenuto della cartella 'Scheduled Tasks'

2009-03-17 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Scansione supplementare -------
.
uStart Page = https://edit.europe.yahoo.com/config/mail?.intl=it&.src=ym
uSearchURL,(Default) = hxxp://it.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://it.search.yahoo.com
IE: &Block this popup - c:\programmi\F-Secure\Anti-Spyware\blockpopups.htm
IE: &Clean Traces - c:\programmi\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\programmi\DAP\dapextie.htm
IE: Download &all with DAP - c:\programmi\DAP\dapextie2.htm
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programmi\F-Secure\FSPS\program\FSLSP.DLL
TCP: {2952C52B-A269-4EF8-9D7F-2A254357DCEF} = 193.12.150.2 212.247.152.2
Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-17 20:56:24
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\QQBEDYMV]
"ImagePath"="\??\c:\windows\system32\qqbedymv.cdr"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(576)
c:\programmi\F-Secure\FSPS\program\FSLSP.DLL
.
Ora fine scansione: 2009-03-17 20.58.14
ComboFix-quarantined-files.txt 2009-03-17 19:58:11

Pre-Run: 78.552.244.224 byte disponibili
Post-Run: 79,168,741,376 byte disponibili

WindowsXP-KB310994-SP2-Home-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

189 --- E O F --- 2009-03-12 20:14:08
pidue
Inviato: Tuesday, March 17, 2009 9:32:20 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
WebMediaPlayer installa anche adware e spyware. Ti sei mai chiesto perchè per vedere partite gratis in rete ti fanno installare un player? Non ce ne sono già abbastanza di player? Se uno mi promette qualcosa da vedere gratis, non mi fa installare niente, mi fa vedere la partita. Punto.
Stai attentio la prossima volta!
Ciao.



r16
Inviato: Tuesday, March 17, 2009 9:35:09 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Posso mandarti un PM pidue ?
pidue
Inviato: Tuesday, March 17, 2009 9:38:29 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
r16 ha scritto:
Posso mandarti un PM pidue ?

Manda, non c'è bisogno di chiedere. Mi sono accorto che c'era ancora qualcosa da togliere.
Ciao.



pidue
Inviato: Tuesday, March 17, 2009 9:57:17 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Per mammetta:
Puoi postare un log di HijackThis, per piacere? Così vediamo se c'è qualcos'altro.



pidue
Inviato: Tuesday, March 17, 2009 10:13:16 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Per r16.
Azz .. mi è sfuggita tutta la sezione AWF. E' piena di bak. :-(



mammetta
Inviato: Wednesday, March 18, 2009 8:09:55 AM
Rank: AiutAmico

Iscritto dal : 6/28/2004
Posts: 80
ciao, purtroppo non webmediaplayer non e' stato installato per vedere le partite ma peggio per vedere il grande fratello in diretta. so che questo aggrava la mia posizione ma come attenuante ho che ha fatto tutto mia moglie!!!! comunque a parte gli scherzi, oggi vi posto il log di hijack che comunque a me sembra pulito. che significa che la sezione awf è piena di bak ? grazie e a presto
pidue
Inviato: Wednesday, March 18, 2009 10:14:12 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Hai un dialer niente male che mi era sfuggito (sezione AWF)

scarica Avenger;
Scompattalo, installalo e lancialo;
spunta la casellina Automatically disable any rootkits found

Nella finestra grande che vedi sotto la scritta Input script here copia e incolla lo script in rosso così come sta;

files to delete:
c:\programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
c:\programmi\Analog Devices\SoundMAX\SMTray.exe
c:\programmi\F-Secure\common\FSM32.EXE
c:\programmi\F-Secure\TNB\TNBUtil.exe
c:\programmi\Java\jre1.6.0_01\bin\jusched.exe
c:\windows\system32\ctfmon.exe
c:\windows\system32\NeroCheck.exe

files to move:
c:\programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe | c:\programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
c:\programmi\Analog Devices\SoundMAX\bak\SMTray.exe | c:\programmi\Analog Devices\SoundMAX\SMTray.exe
c:\programmi\F-Secure\common\bak\FSM32.EXE | c:\programmi\F-Secure\common\FSM32.EXE
c:\programmi\F-Secure\TNB\bak\TNBUtil.exe | c:\programmi\F-Secure\TNB\TNBUtil.exe
c:\windows\system32\bak\ctfmon.exe | c:\windows\system32\ctfmon.exe
c:\windows\system32\bak\NeroCheck.exe | c:\windows\system32\NeroCheck.exe


clicca sul pulsante Execute

Ti sarà chiesto di riavviare il pc. Acconsenti.
Al riavvio ti si aprirà automaticamente il report in formato txt che tu pubblicherai. Se non dovesse aprirsi lo trovi in C:

Per sicurezza posta anche un log di HJT.
Vai su Pannello di controllo >> Installazione Applicazioni, disinstalla tutte le vecchie versione del Java (JRE) e installa quella aggiornata, scaricabile da qui.

Per quanto riguarda dialer Instant Acess e il trojan Obfuscated.dr leggi qui.






steven75
Inviato: Wednesday, March 18, 2009 3:39:45 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao,

scusate l'intromissione ma c'é anche altro da eliminare;

@mammetta; sei infetta da diverse tipologie di malware, fai cosi:

* Scarica ATF Cleaner
- Avvialo con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)

apri una pagina del bloc note di windows e copia incolla quanto segue;

Commenta:
killall
file::
c:\documents and settings\_marco_\impostazioni locali\dati applicazioni\cwmagcg.exe
c:\windows\system32\qqbedymv.cdr
c:\programmi\Windows NT\com7.exe
c:\programmi\File comuni\Services\lpt5.exe

registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\QQBEDYMV]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cwmagcg"=-


salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine

Fai girare navilog come spiegato qui e posta il suo log

fai girare Gromozon Rootkit Removal Tool
- Avvialo con un doppio click
- Clicca su Scan
- Rispondi YES alla richiesta di riavvio
- Dopo il riavvio il tool terminerà la procedura
posta il log C:\gromozon_removal.txt

EDIT__ho visto che porti avanti anche un altro topic , se si tratta dello stesso pc, ti consiglierei di portarne avanti uno solo in modo da non disperdere notizie e poter risolvere i tuoi problemi in meno tempo.
monsee
Inviato: Wednesday, March 18, 2009 4:03:15 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Ciao, Steven! bentornato! Applause Applause Applause
pidue
Inviato: Wednesday, March 18, 2009 5:17:08 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
steven75 ha scritto:

apri una pagina del bloc note di windows e copia incolla quanto segue;

[quote]
file::
c:\documents and settings\_marco_\impostazioni locali\dati applicazioni\cwmagcg.exe
c:\windows\system32\qqbedymv.cdr
c:\programmi\Windows NT\com7.exe
c:\programmi\File comuni\Services\lpt5.exe

registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\QQBEDYMV]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cwmagcg"=-


Ciao, steven, Link Optimizer, se non sbaglio. Se mi postava il log di HJT, sareebbe stato più evidente. Certo che non ho gli occhi molto allenati al log di ComboFix. Drool Drool



steven75
Inviato: Wednesday, March 18, 2009 7:19:15 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
monsee ha scritto:
Ciao, Steven! bentornato! Applause Applause Applause


ciao monsee,

grazie

@ pidue: tranquillo, tutto si impara...
comuqneu se a te viene piu facile analizzare il log hijackthis, chiedi quello invece di combofix
r16
Inviato: Wednesday, March 18, 2009 7:29:59 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
steven75 ha scritto:

@ pidue: tranquillo, tutto si impara...
comuqneu se a te viene piu facile analizzare il log hijackthis, chiedi quello invece di combofix


Ciao steven75 .
Probabilmente HJT non avrebbe segnalato il Dialer.
Penso che bisognava fare le scansioni con ambedue i software.
Anzi, SystemScan era l'ideale.
Comunque bentornato steven75. Applause
steven75
Inviato: Thursday, March 19, 2009 9:48:46 AM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao r16 e grazie,

io non ho parlato di rilevare o non rilevare, ho solo detto che se uno sà usare meglio un tool, é preferibile prima passare da li....
( e comunque per la cronaca, hijackthis il servizio lpt5.exe lo avrebbe mostrato lo stesso)

systemscan ? mai l'ho usato e mai lo usero. Non é un tool originale e innovativo, non fà altro che servirsi di altri tool per funzionare (gmer, avenger, etc..etc..)
r16
Inviato: Thursday, March 19, 2009 11:47:01 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
steven75 ha scritto:
ciao r16 e grazie,

io non ho parlato di rilevare o non rilevare, ho solo detto che se uno sà usare meglio un tool, é preferibile prima passare da li....
( e comunque per la cronaca, hijackthis il servizio lpt5.exe lo avrebbe mostrato lo stesso)

systemscan ? mai l'ho usato e mai lo usero. Non é un tool originale e innovativo, non fà altro che servirsi di altri tool per funzionare (gmer, avenger, etc..etc..)


Ciao steven75 .
Sono d'accordo che se uno preferisce usare un programma invece di un'altro, usa quello che conosce meglio.
La frase " mai l'ho usato e mai lo usero" mi sembra "forte".
Non ci conosciamo, ma sò che hai delle conoscenze informatiche elevate, e trovo strano che un tool come systemscan non ti abbia perlomeno incuriosito.
Certo, non è di facile lettura, ma non credo sia un problema per te.
Parlo di "lettura" non come tool per eliminazioni.
Per esempio, nel caso di "mammetta" si poteva sapere tutto (chiaro, con le dovute conoscenze) riguardo le infezioni che risiedono nel suo pc.
Per questo motivo lo ritenevo valido .
Poi, per le eventuali eliminazioni, si possono usare i programmi che uno più preferisce.


steven75
Inviato: Thursday, March 19, 2009 12:09:57 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao r16, allora ricapitoliamo,

come già accennato sopra, senza nulla togliere alla bravura dei suoi creatori, SS non mi piace per un solo e semplice motivo, non scopre niente di nuovo e non porta niente di nuovo , se non l'idea di unire dei tool già esistenti e ideati da altri.

Prima di parlare di cio, stai tranquillo che l'ho provato e mi sono anche informato sul suo conto, quindi credo che un mio parere in merito posso esprimerlo.

Altra cosa che ci tengo a sottolineare, SS per risolvere problemi di malware non é indispensabile, e i problemi di mammetta, se seguirà i consigli che gli sono stati dati, si risolveranno lo stesso.

mammetta
Inviato: Thursday, March 19, 2009 10:37:09 PM
Rank: AiutAmico

Iscritto dal : 6/28/2004
Posts: 80
ciao, questo e' il log di avatar

files to delete:
c:\programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
c:\programmi\Analog Devices\SoundMAX\SMTray.exe
c:\programmi\F-Secure\common\FSM32.EXE
c:\programmi\F-Secure\TNB\TNBUtil.exe
c:\programmi\Java\jre1.6.0_01\bin\jusched.exe
c:\windows\system32\ctfmon.exe
c:\windows\system32\NeroCheck.exe
files to move:
c:\programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe|c:\programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
c:\programmi\Analog Devices\SoundMAX\bak\SMTray.exe|c:\programmi\Analog Devices\SoundMAX\SMTray.exe
c:\programmi\F-Secure\common\bak\FSM32.EXE|c:\programmi\F-Secure\common\FSM32.EXE
c:\programmi\F-Secure\TNB\bak\TNBUtil.exe|c:\programmi\F-Secure\TNB\TNBUtil.exe
c:\windows\system32\bak\ctfmon.exe|c:\windows\system32\ctfmon.exe
c:\windows\system32\bak\NeroCheck.exe|c:\windows\system32\NeroCheck.exe
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.