Come da titolo, premetto subito che non sono andato su nessun sito strano ma ho aperto sovrapensiero :muro: da perfetto nerdazzo un .zip .. e ora ( a parte un paio di viruz che penso di aver debilitato con avast ) ogni tot tempo mi si apre da solo I. Explorer mostrandomi una pagina con " miglior sito per i giochi online , ecc ecc " già passato il sistema con Ad Aware & Avast .. rimosso il rimuovibile ma si apre ancora a random .. consigli ?

Come da titolo, premetto subito che non sono andato su nessun sito strano ma ho aperto sovrapensiero :muro: da perfetto nerdazzo un .zip .. e ora ( a parte un paio di viruz che penso di aver debilitato con avast ) ogni tot tempo mi si apre da solo I. Explorer mostrandomi una pagina con " miglior sito per i giochi online , ecc ecc " già passato il sistema con Ad Aware & Avast .. rimosso il rimuovibile ma si apre ancora a random .. consigli ?
probabilmente ci sono ancora una o più chiavi dello spyware attive nel registro, da eliminare a mano. Bisogna individuare nome e posizione dello spyware... comincia con hijackthis e vedi se c'è qualche chiamata a file sospetti/sconosciuti
(io cmq ti consiglio di tenerne almeno 2 o 3 di anti-spyware - tra i gratuiti oltre a ad-aware ci sono spybot, a2free, spywareblaster - si compensano a vicenda e si usano solo quando necessario senza che rallentino il sistema)

Come da titolo, premetto subito che non sono andato su nessun sito strano ma ho aperto sovrapensiero :muro: da perfetto nerdazzo un .zip .. e ora ( a parte un paio di viruz che penso di aver debilitato con avast ) ogni tot tempo mi si apre da solo I. Explorer mostrandomi una pagina con " miglior sito per i giochi online , ecc ecc " già passato il sistema con Ad Aware & Avast .. rimosso il rimuovibile ma si apre ancora a random .. consigli ?

Se si trattava dello stesso che tempo fa ho avuto io, e che mi ha portato disperatamente alla formattazione completa eri nei guai.

Oltre a disabilitare qualsiasi antivirus, e non permettere quindi di reinstallarlo, disabilitava qualunque difesa del sistema, aveva un database interno di qualsiasi applicazione antispyware,antidialer, riusciva addirittura a non far avviare piccoli tool quali hijackthis ecc... inoltre aveva più copie di se stesso e si nascondeva come un rootkit :( :D

Dacci più info, vedi intanto se riesci a fare un log con hijackthis ;)

Se è un rootkit son c@zzi amari.
Sono difficilissimi da rimuovere, si occultano in maniera perfetta.

Se è un semplice spyware, cosa più probabile, farei una scansione dalla modalità provvisoria con Ewido aggiornato.

Ciao

log con hijackthis :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\File comuni\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
F:\DRIVER\DRIVER A64\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Programmi\user32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161815860687
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

questa riga qua mi insospettisce NON poco :mbe:

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe

nonchè quel C:\Programmi\user32.exe

sto esrguendo una scansione sia con spybot che con a2free .. qualunque cosa sia non sopravviverà a lungo :O




..... spero :stordita:

Fixare entrambi,da provvisoria:O
Beh,sul primo non c'è molto da commentare:D
Il secondo....:http://www.suspectfile.com/forum/viewtopic.php?t=731
Ciao

user32.exe , anche spuntando " visualizza file e cartelle nascosti " in c:\Programmi non lo vedo .. penso sia normale .. ma come cancello un file che non vedo ? :stordita: vado direttamente da console così sono sicuro ?

user32.exe , anche spuntando " visualizza file e cartelle nascosti " in c:\Programmi non lo vedo .. penso sia normale .. ma come cancello un file che non vedo ? :stordita: vado direttamente da console così sono sicuro ?
Prova ad abilitare la ricerca anche sui files nascosti e di sistema e a cancellarlo da provvisoria.
Ciao

cercati con hijackthis dalla modalità provvisoria ed eliminati direttamente da la :O nessun sopravvissuto :D

cercati con hijackthis dalla modalità provvisoria ed eliminati direttamente da la :O nessun sopravvissuto :D
Ottimo :)
ps:butta Internet Explorer(anche del 7 non mi fiderei molto),passa a Mozilla,Opera,k-Meleon
Ciao