Ragazzi un mio amico ha un pc, messo un pò male...premettendo che ha solamente installato kasperkay e spybot....

comunque quando accende il pc gli compaiono due messaggi, con le solite cose....sesso ecc....

poi quando naviga gli si aprono le solite pagine stupide....

ora questi gli ho "tolti", anche se il pc non ne ha voluto sapere di partire in provvisoria :muro: :muro: :muro: ...non so il perchè, mai successo ma apposto delle varie modalità mi veniva fuori il boot :eek: ...

comunque una cosa mai vista....nella barra degli strumenti ci stanno due bottoni....sesso e videochats :D

ora l'ho presa come questione di principio...aiutatemi..!!

Ragazzi un mio amico ha un pc, messo un pò male...premettendo che ha solamente installato kasperkay e spybot....

comunque quando accende il pc gli compaiono due messaggi, con le solite cose....sesso ecc....

poi quando naviga gli si aprono le solite pagine stupide....

ora questi gli ho "tolti", anche se il pc non ne ha voluto sapere di partire in provvisoria :muro: :muro: :muro: ...non so il perchè, mai successo ma apposto delle varie modalità mi veniva fuori il boot :eek: ...

comunque una cosa mai vista....nella barra degli strumenti ci stanno due bottoni....sesso e videochats :D

ora l'ho presa come questione di principio...aiutatemi..!!

Posta un log di hijackthis

Posta un log di hijackthis

il pc non c'è l'ho vicino casa...appena posso lo faccio...

perchè non mi parte in provvisoria.. :fagiano:

è questo
http://www.megalab.it/articoli.php?id=948

è questo
http://www.megalab.it/articoli.php?id=948

A me non pare che Bagle aggiunga strani pulsanti o messaggi alle barre...
Per la mod provvisoria, anche un altro malware potrebbe cancellare le chiavi...

ugox@, Kasper e spybot sono attivi e funzionano? Se sì, non è Bagle. :)

non è detto che sia da solo; è più che possibile che questo qui abbia bagle rustock e gromozon insieme magari coaudiuvati da vundo smitfraud clicker e rouge

non è detto che sia da solo; è più che possibile che questo qui abbia bagle rustock e gromozon insieme magari coaudiuvati da vundo smitfraud clicker e rouge

il pc ha kasperkay attivo, ma che non si aggiorna.....

spybot anche funziona al 100 % e si aggiorna...!

il pc ha kasperkay attivo, ma che non si aggiorna.....

spybot anche funziona al 100 % e si aggiorna...!

Il fatto che non si aggiorna mi puzza un po'.
Controlla se nel file hosts di windows non ci sono cose anomale.
Il percorso se non sbaglio è ?:/WINDOWS/system32/drivers/etc/

? = Lettera dell'HD

Il fatto che non si aggiorna mi puzza un po'.
Controlla se nel file hosts di windows non ci sono cose anomale.
Il percorso se non sbaglio è ?:/WINDOWS/system32/drivers/etc/

? = Lettera dell'HD

no che c'è qualcosa che non va è certo....ne ho tolto un casino di quelle cose sesso etc... :D

ok..non appena ci vado controllo anche qui..!

Il fatto che non si aggiorna mi puzza un po'.
Controlla se nel file hosts di windows non ci sono cose anomale.
Il percorso se non sbaglio è ?:/WINDOWS/system32/drivers/etc/

? = Lettera dell'HD

ho guardato ora...ci sono 5 file ...hosts, lmhosts,networks,protocol,services

il log di HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 22.05.23, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCSVR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\macromed\flash\GetFlash.exe
C:\Documents and Settings\UTENTE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.cercasulweb.com/" (file missing)
O9 - Extra 'Tools' menuitem: cerca sul web - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.cercasulweb.com/" (file missing)
O9 - Extra button: sesso - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\sesso (file missing)
O9 - Extra button: cerca sul web - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\cerca sul web (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.sexy-nipples.com/it/videochats3/" (file missing)
O9 - Extra 'Tools' menuitem: videochats - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.sexy-nipples.com/it/videochats3/" (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ssesso - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\UTENTE\Dati applicazioni\ssesso[1].exe
O9 - Extra button: videochats - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\videochats (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.sexy-nipples.com/" (file missing)
O9 - Extra 'Tools' menuitem: sesso - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.sexy-nipples.com/" (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA68042-CAD7-4B72-BA57-99740D08FE98}: NameServer = 62.211.69.150 212.48.4.15
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SysEce - Unknown owner - \\?\C:\Programmi\File comuni\System\prn.exe (file missing)
O23 - Service: WebYyw - Unknown owner - \\?\C:\Programmi\File comuni\System\com6.exe (file missing)

Il file hosts devi aprirlo con notepad... incollami il contenuto...

Cmq fixa:

O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.cercasulweb.com/" (file missing)
O9 - Extra 'Tools' menuitem: cerca sul web - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.cercasulweb.com/" (file missing)
O9 - Extra button: sesso - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\sesso (file missing)
O9 - Extra button: cerca sul web - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\cerca sul web (file missing)
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.sexy-nipples.com/it/videochats3/" (file missing)
O9 - Extra button: ssesso - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\UTENTE\Dati applicazioni\ssesso[1].exe
O9 - Extra button: videochats - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\videochats (file missing)
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.sexy-nipples.com/" (file missing)
O9 - Extra 'Tools' menuitem: sesso - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.sexy-nipples.com/" (file missing)
O23 - Service: SysEce - Unknown owner - \?C:ProgrammiFile comuniSystemprn.exe (file missing)
O23 - Service: WebYyw - Unknown owner - \?C:ProgrammiFile comuniSystemcom6.exe (file missing)

Il file hosts devi aprirlo con notepad... incollami il contenuto...

Cmq fixa:

O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.cercasulweb.com/" (file missing)
O9 - Extra 'Tools' menuitem: cerca sul web - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.cercasulweb.com/" (file missing)
O9 - Extra button: sesso - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\sesso (file missing)
O9 - Extra button: cerca sul web - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\cerca sul web (file missing)
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.sexy-nipples.com/it/videochats3/" (file missing)
O9 - Extra button: ssesso - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\UTENTE\Dati applicazioni\ssesso[1].exe
O9 - Extra button: videochats - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\videochats (file missing)
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.sexy-nipples.com/" (file missing)
O9 - Extra 'Tools' menuitem: sesso - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.sexy-nipples.com/" (file missing)
O23 - Service: SysEce - Unknown owner - \?C:ProgrammiFile comuniSystemprn.exe (file missing)
O23 - Service: WebYyw - Unknown owner - \?C:ProgrammiFile comuniSystemcom6.exe (file missing)
ok domani se ci arrivo le fixo...devo disabilitare il ripristino di sistemare prima di fixare....

allora fixo e poi faccio qualche programma o niente...??

Fixale e dimmi il contenuto del file hosts. Poi fai una scansione antivirus magari online, oppure usa gmer e vedi se ti da voci in rosso.

Fixale e dimmi il contenuto del file hosts. Poi fai una scansione antivirus magari online, oppure usa gmer e vedi se ti da voci in rosso.

ok...che antivirus posso usare on-line?

gmer che cos'è??

Kaspersky non rimuove i file ma ti dice solo dove sono; prova con panda o bitdefender...

Gmer è un programma antirootkit capace di individuare i file nascosti al sistema.