Salve a tutti,
a causa di un installazione di un qualche programma sbagliato, mi sono trovato il pc invaso da spywares o qualcosa di simile.
Tramite l'utilizzo del caro Hijack This! dovrei essere riuscito a eliminare tutto...ma...nel log c'è una cosa che non mi spiego:

Logfile of HijackThis v1.97.7
Scan saved at 22.53.02, on 29/08/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\ANVSHELL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zvolznposzvdezliqcvucxjud.com/b1dA98epUlMh7aReJGa_JewerK8GeuncmKAzsZVtm/RwFcP5ivn9Z5TcfX/Qxe3g.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMMI\DAP\DAPIEBAR.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [CnxDslTaskBar] ; "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/it/filesharingctrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38262.4979976852
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab


Quella riga evidenziata, è una cosa perniciosa? Oppure devo rimuoverla?
Il fatto è che se anche provo a rimuoverla mi ritorna fuori!

Altra cosa,
mi è apparsa, durante l'invasione degli spyware, una cartella in c:\programmi, chiamata Online Bend.
Che cosa sarebbe?

E inoltre sempre in c:\programmi mi sono apparsi dei file chiamati backup-20050829-223601-661 e similari, di cui uno con l'estensione .dll
Cosa sarebbero? Sono legati al fatto che ho rimosso degli spyware con Hijack This! ?


Grazie dell'aiuto, in anticipo.

hai un problema qui:
TASKMON.EXE
che è il famoso mydoom:
http://www.liutilities.com/products/wintaskspro/processlibrary/taskmon/

questo non mi convince:
http://www.zvolznposzvdezliqcvucxju...5TcfX/Qxe3g.asp
Possibilmente disinstalla DAP e scaricati questo:
http://dl.codecpack.nl/m/mcafee_20050829.exe
fai doppio click e attendi un pochino.
magari scarica anche
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/SpyBotSearch-Destroy.shtml
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/AdAware-SE-Personal.shtml
http://download.ewido.net/ewido-setup.exe

per levare prima il trojan:
http://download.nai.com/products/mcafee-avert/stinger.exe

Avevo un Trojan da tempo e non me n'ero mai accorto...
Però non mi ha mai causato danni , almeno danni evidenti.
Cosa combina o dovrebbe combinare?

Quell'affare che nn ti convince mi era capitato anche sul portatile. In pratica reindirizzava ad una pagina web all'avvio del browser. Solo che qui, togliendo tutto quello che non doveva starci (tranne il mydoom che avevo ancora al momento della rimossione) non reindirizza più in nessun posto.
Purtroppo se lo tolgo ritorna...

il trojan serve per usare il tuo pc per sferrare attacchi ad esempio,oltre a furto dati e cose simili.
Ti consiglio inoltre di usare questo:
http://www.filehippo.com/download/file/191b7d06fa408597dad8db071796b662c1ba3c3c5efd31b30f58364720d8acad/ccsetup122.exe
lo installi,lo avvii e elimini tutti i temp.Riavvia in modalità provvisoria e dai una passata con il mcafee e ewido.

Ti consiglierei anche di disinstallare MESSENGER PLUS! 3 perche' contiene un fastidioso adware che raccoglie le abitudini di navigazione. Se durante l'installazione ti sei ricordato di escludere l'adware allora lo lasci, altrimenti lo togli.

Ok provo e poi vi dirò come è andata!

Occhio che in win98 taskmon.exe è un processo legittimo e non indica la presenza del mydoom.

Ti consiglierei anche di disinstallare MESSENGER PLUS! 3 perche' contiene un fastidioso adware che raccoglie le abitudini di navigazione. Se durante l'installazione ti sei ricordato di escludere l'adware allora lo lasci, altrimenti lo togli.

Molti problemi mi sono nati infatti installando msnplus 3
Ho notato però che c'è una opzione selezionabile che dice "consenti a msnplus di inviare anonime statistiche numerali, periodicamente"

E' quello che dici tu o un'altra cosa? Perchè questa opzione chiaramente l'ho disattivata.

Occhio che in win98 taskmon.exe è un processo legittimo e non indica la presenza del mydoom.

E allora come si fa a capire se sia legittimo o meno lasciarlo?

Molti problemi mi sono nati infatti installando msnplus 3
Ho notato però che c'è una opzione selezionabile che dice "consenti a msnplus di inviare anonime statistiche numerali, periodicamente"

E' quello che dici tu o un'altra cosa? Perchè questa opzione chiaramente l'ho disattivata.
Non so se sia proprio quella l'opzione perche' non ho mai installato msgplus3. So che ha un adware all'interno che si chiama Lop che e' difficile da togliere ma durante il setup c'e' la possibilita' di non installarlo. Spero che tu l'abbia fatto.

E allora come si fa a capire se sia legittimo o meno lasciarlo?
se usi il mcafee o il nai se ne accorgono loro se è un trojan o meno.

Occhio che in win98 taskmon.exe è un processo legittimo e non indica la presenza del mydoom.
Quoto. E' un processo legittimo di win98 e non va toccato.
http://www.tasklist.org/task_taskmon_exe_3480.html

Quoto. E' un processo legittimo di win98 e non va toccato.
http://www.tasklist.org/task_taskmon_exe_3480.html

Ho controllato sul link e dice che se si trova in c:\windows non è un programma dannoso.
Quindi il mio non dovrebbe essere dannoso giusto?

Ho controllato sul link e dice che se si trova in c:\windows non è un programma dannoso.
Quindi il mio non dovrebbe essere dannoso giusto?
No, tranquillo.

Non dimenticarti di effettuare le scansioni che ti ha consigliato matteo1,specialmente adaware e spybot.

Ho scansionato con AdAware e Stinger e non ho trovato niente.

L'unica cosa che rimane è questa (ho anche disinstallato msnplus 3 e reinstallato senza sponsor)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zvolznposzvdezliqcvucxju...5TcfX/Qxe3g.asp

Ho scansionato con AdAware e Stinger e non ho trovato niente.

L'unica cosa che rimane è questa (ho anche disinstallato msnplus 3 e reinstallato senza sponsor)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zvolznposzvdezliqcvucxju...5TcfX/Qxe3g.asp
Prova a fixare quella voce in modalita' provvisoria.

Prova a fixare quella voce in modalita' provvisoria.

Ok ha funzionato!
Grazie mille per l'aiuto :D

Ok ha funzionato!
Grazie mille per l'aiuto :D
Molto bene ;)

Salve a tutti,
a causa di un installazione di un qualche programma sbagliato, mi sono trovato il pc invaso da spywares o qualcosa di simile.
Tramite l'utilizzo del caro Hijack This! dovrei essere riuscito a eliminare tutto...ma...nel log c'è una cosa che non mi spiego:

Logfile of HijackThis v1.97.7
Scan saved at 22.53.02, on 29/08/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\ANVSHELL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zvolznposzvdezliqcvucxjud.com/b1dA98epUlMh7aReJGa_JewerK8GeuncmKAzsZVtm/RwFcP5ivn9Z5TcfX/Qxe3g.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMMI\DAP\DAPIEBAR.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [CnxDslTaskBar] ; "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/it/filesharingctrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38262.4979976852
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab


Quella riga evidenziata, è una cosa perniciosa? Oppure devo rimuoverla?
Il fatto è che se anche provo a rimuoverla mi ritorna fuori!

Altra cosa,
mi è apparsa, durante l'invasione degli spyware, una cartella in c:\programmi, chiamata Online Bend.
Che cosa sarebbe?

E inoltre sempre in c:\programmi mi sono apparsi dei file chiamati backup-20050829-223601-661 e similari, di cui uno con l'estensione .dll
Cosa sarebbero? Sono legati al fatto che ho rimosso degli spyware con Hijack This! ?


Grazie dell'aiuto, in anticipo.


scarica l'ultima versione di Hijackthis 1.99.1 e poi riposta il log :)

http://80.237.140.193/downloads/hijackthis_199.zip