Urgente Aiuto SITO Pop Up

[remo pulcini]

Intanto complimenti per il forum che fra l'altro mi e' stato consigliato come uno
dei piu' professionali.

Vengo al dunque (siete la mia ultima spiaggia):

Mio figlio ha scaricato o beccato qualche file che fa automaticamente aprire una pagina web di explorer su un sito che varia sempre ma in genere e:http://www4.hooowah.com/search.php?q...lletin%20board

Il problema e' che pur avendo delle buone capacita' sul Pc e sul Web non sono riuscito a debbellare tale file , premetto che ho utilizzato tutti i sistemi che conosco come :

andare in modalita' provvisoria, scaricare adwere ed antispywere, eliminare tutta la cashe e i file temporanei di opzioni internet, utilizzare antivirus ma nulla di fattio rimane come scusate lo sfoco una "zoccola" che devo fare visto che non posso formatttare.

avete una procedura da eseguire particolare, esiste una voce sul regedit da vedere ??

Vi sare grato se mi aiutaste.

[andorra24]

Posta un log di hijackthis nel thread in rilievo.

[Jaguar64bit]

Posta un log di hijack..

e fatti uno scan con spysweeper ed ewido.

[remo pulcini]

ecco il log ottenuto:

Logfile of HijackThis v1.99.1
Scan saved at 1.16.42, on 06/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\USB Product Driver v2.12r003\shwicon.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Mercora\MercoraClient.exe
C:\Programmi\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOCUME~1\remo\IMPOST~1\Temp\Adobelm_Cleanup.0001
C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\remo\IMPOST~1\Temp\Adobelm_Cleanup.0001
C:\Documents and Settings\remo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: wb - {55BE9F0D-6CAF-4c3e-B125-5A13A8C9D0EC} - C:\WINDOWS\system32\nsc1C54.dll
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {CE57DA55-F491-45C6-B3DB-6C98E4B17CDC} - C:\Programmi\Secretmaker\secretmakerie.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SECRETMAKER - {7435856C-6CA1-45CF-A00D-82178387F223} - C:\Programmi\Secretmaker\secretmakerie.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ShowIcon_MicSys_USB Product Driver v2.12r003] "C:\Programmi\USB Product Driver v2.12r003\shwicon.exe" -t"MicSys\USB Product Driver v2.12r003"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IdiomaX Office] C:\Programmi\IdiomaX\Translation Suite 3.0\IdxOffice.exe
O4 - HKLM\..\Run: [IdiomaX Product Update] C:\Programmi\File comuni\IdiomaX Shared\Cat 5.0\IdxLUpdate.exe /AUTOSTART
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdwareAlert] C:\Programmi\AdwareAlert\AdwareAlert.Exe -boot
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mercora] "C:\Programmi\Mercora\MercoraClient.exe" -startup
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpyEmergency] "C:\Programmi\Spy Emergency 2005\SpyEmergency.exe"
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: CUseeMe Conferencing Companion - {44EFB53C-C965-43CF-9F45-52242D134187} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Traduttore di Web IdiomaX - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - C:\Programmi\IdiomaX\Translation Suite 3.0\TrslaWeb.exe
O9 - Extra 'Tools' menuitem: Traduttore di Web IdiomaX - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - C:\Programmi\IdiomaX\Translation Suite 3.0\TrslaWeb.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123862733000
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1124575706359
O16 - DPF: {78FAE917-35E2-4A6B-9B40-000AD226482B} (MSN Money Ticker) - http://moneycentral.msn.com/cabs/ticker.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...23/mcfscan.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97A40E33-185A-4652-90D6-D10058DC8DE5}: NameServer = 82.112.211.196 82.112.211.197
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: vskype - (no CLSID) - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

cosa dovrei eliminare ???

grazie e grazie ancora

[juninho85]

C:\WINDOWS\system32\UAService7.exe
O4 - HKLM\..\Run: [AdwareAlert] C:\Programmi\AdwareAlert\AdwareAlert.Exe -boot
O4 - HKCU\..\Run: [SpyEmergency] "C:\Programmi\Spy Emergency 2005\SpyEmergency.exe"
O16 - DPF: {78FAE917-35E2-4A6B-9B40-000AD226482B} (MSN Money Ticker) - http://moneycentral.msn.com/cabs/ticker.cab
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe


che è stò securm user della sony?

[andorra24]

Fixa anche questo:
O2 - BHO: wb - {55BE9F0D-6CAF-4c3e-B125-5A13A8C9D0EC} - C:\WINDOWS\system32\nsc1C54.dll

Quote:

Originariamente inviato da juninho85

C:\WINDOWS\system32\UAService7.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe


che è stò securm user della sony?

Queste 2 sono sicure. UAService7.exe e' un processo appartenente a SecuROM User Access Service.

[remo pulcini]

Volevo esprimere la mia vera soddisfazione per il semplice fatto che mi avete risolto la problematica.

Dopo aver utilizzato i due programmi suggeriti da voi e tolte le voci elencate sopra, ho risolto tutto.

Complimenti mi avete tolto la necessita' di formattare.

Lo dico sinceramente siete uno dei forum piu' professionali che ho visto in circolazione.

Alla prossima!

[juninho85]

Quote:

Originariamente inviato da andorra24

Queste 2 sono sicure. UAService7.exe e' un processo appartenente a SecuROM User Access Service.

ok ma a che serve?

[juninho85]

Quote:

Originariamente inviato da remo pulcini

Volevo esprimere la mia vera soddisfazione per il semplice fatto che mi avete risolto la problematica.

Dopo aver utilizzato i due programmi suggeriti da voi e tolte le voci elencate sopra, ho risolto tutto.

Complimenti mi avete tolto la necessita' di formattare.

Lo dico sinceramente siete uno dei forum piu' professionali che ho visto in circolazione.

Alla prossima!

di nulla...speriamo non ci sia una prossima!
sai dirmi,per curiosità,che funzione ha il file C:\WINDOWS\system32\UAService7.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe?


grazie

[andorra24]

Quote:

Originariamente inviato da juninho85

ok ma a che serve?

Leggilo qua:http://www.liutilities.com/products/...ry/UAService7/
http://www.bleepingcomputer.com/star....exe-8046.html

[juninho85]

Quote:

Originariamente inviato da andorra24

Leggilo qua:http://www.liutilities.com/products/...ry/UAService7/
http://www.bleepingcomputer.com/star....exe-8046.html

in pratica emula la securom..non capivo cosa potesse c'entra con la sony,si sono arrivato successivamente...grazie

[funnel]

Se vuoi avere molti meno problemi installa ed utilizza Firefox Mozilla come browser x navigare...., tutti quei maledetti siti utilizzano la vulnerabilità ed il setting di Explorer x fare i porci comodi...!

Per comodità poi installa l'estensione "open link target in IE" così quando ti capita qualche sito o funzioni java che viaggiano solo con Explorer basta un click con il destro del mouse sul link o la pagina stessa e si apre Explorer...!

Ciao