PDA

View Full Version : Email inviate con Msn Cambiano testo, soggetto e destinatari

mfonz85
19-11-2007, 19:59
Ciao a tutti, ho un problema stranissimo:
Se provo ad inviare email con il mio PC fisso dalla mia casella hotmail succede che cambia radicalmente l'email inviata. Mi spiego meglio.

Email originale:
Destinatario: ****@yahoo.it
Soggetto: Prova
Testo: Prova

Email "trasformata"
Destinatario: ****@yahoo.it,37038040:[email protected],429767885:[email protected]
Soggetto: "Tiered of been passed over for that promotion because you don't have the proper Degree?"
Testo: Please call me at this number 1-415-738-5373 to verify if you could qualify for a University degree from non-accredited Universities. All you need is to have a background of professional working experience and a simple r�sum� to confirm that you really do have the experience.

Yours truly,

Fast track degree educational programs
---------------------------------------------

Cosa DIAMINE sta capitando??
Una roba del genere non l'avevo mai vista nè sentita :eek:

Questo errore lo da SOLO SUL MIO PC FISSO, perchè dal portatile le email vengono inviate correttamente.

Come faccio a scoprire qual'è il processo che intercetta il fatto che sono sulla casella di posta di hotmail e tra l'altro che riesce a modificarne soggetto, destinatario e testo prima dell'effettivo invio della mail?
xcdegasp
19-11-2007, 23:16
Segui la procedura descritta in Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984), fai TUTTE LE SCANSIONI RICHIESTE, e posta in questo thread i log.
Per il log di HiJackThis aspetta a farlo, prima vorremmo vedere quei log delle scansioni :)
mfonz85
20-11-2007, 00:50
Eseguite scansioni con:

- ADS Revealer (log allegato)
- A-Squared (log allegato)
- Prevx CSI (log allegato)
- Nanoscan online scan (1 File Sospetto: C:\WINDOWS\SYSTEM32\MSWSOCK.DLL)
- Scansione con AVG (file infetto: C:\WINDOWS\system32\??crosoft\explorer.exe - Trojan Horse Downloader.Generic5.TWR)

LOG ALLEGATI: mfonz85_logs.rar - 0.06MB (http://www.zshare.net/download/502467885a11c7/)
mfonz85
20-11-2007, 00:53
Un'altra cosa che ho fatto è stato sniffare i pacchetti in transito sulla rete durante un tentativo di invio di email dal sito di msn.
Ho sniffato un pò di pacchetti, e a più riprese, provando e riprovando sono riuscito a tirarmi fuori una lista di IP dei quali rifiutare i pacchetti TCP HTML in ingresso/uscita, e tirare fuori l'ip univoco di windows live (79.140.80.26), in modo che effettuando uno sniffing (dopo aver applicato tutte le nuove restrizioni sugli ip) i pacchetti accettati in ingresso/uscita fossero solo quelli relativi all'ip 79.140.80.26...e incredibile ma vero, dopo tutto questo, continua a non funzionare.

Il messaggio è stato inviato ai seguenti destinatari:

[email protected] (che non so chi sia, e io non l'ho scritto)
[email protected] (idem come sopra)
****@yahoo.it (il mio)

Il messaggio arriva sempre modificato come nel primo post.
E i destinatari aggiuntivi cambiano di volta in volta in modo casuale, ma alla lunga sono sempre gli stessi ... a volte anzi capita che l'invio fallisce perchè mi vengono aggiunti destinatari del genere:

429767885:[email protected]
NumeroCasuale:[email protected]

A questo punto è un programma residente nel mio pc che mi cambia al volo i contenuti dei form ogni volta che clicco su invia, è l'unica spiegazione che riesco a darmi...
xcdegasp
20-11-2007, 01:02
a-squared ha triovato la seguente robetta:
C:\Programmi\MSN Gaming Zone\hotypej22011.exe rilevati: Adware.Win32.TTC.c

C:\WINDOWS\system32\closeapp.exe rilevati: Riskware.RiskTool.Win32.CloseApp.a


immagino tu non abbia messo tali oggetti in quarantena... mettili in quarantena subito!
non metterci questo:
C:\Programmi\AVIConverter\uninst.exe rilevati: Adware.Win32.Dudu.d
potrebbe essere un falso positivo quindi per ora lascialo dove è.

infatti anche Prevx trova qualcosa...
mfonz85
20-11-2007, 09:32
Sì Sì ho messo in quarantena tutto e ho disinstallato anche AVI Converter per sicurezza, al limite lo reinstallerò...

Il log di HiJackThis l'ho fatto ieri sera, ma è assolutamente pulito...boh...non so proprio che pesci pigliare...

Anche xkè come ti ho spiegato in 1 post fa, ho anche provato a sniffare il traffico di rete e il problema persiste anche bloccando tutti gli ip tranne quello di Live...quindi il problema è mio sicuramente...
xcdegasp
20-11-2007, 09:56
rifai un log di hiJackthis :)
mfonz85
20-11-2007, 10:20
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.11.21, on 20/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG7\avgamsvr.exe
C:\PROGRA~1\AVG7\avgupsvc.exe
C:\PROGRA~1\AVG7\avgemc.exe
G:\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\PerfectDisk\PDEngine.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\RocketDock\RocketDock.exe
C:\Programmi\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
G:\DAEMON Tools\daemon.exe
G:\ATI Tray Tools\atitray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
E:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: 0 - {FC60B31A-FC10-4D95-988A-C8123EBA4B2A} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RocketDock] C:\Programmi\RocketDock\RocketDock.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\Programmi\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\Programmi\AVG7\avgemc.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Bginfo] C:\WINDOWS\bginfo.exe C:\WINDOWS\config.bgi /TIMER:0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AtiTrayTools] "G:\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with GetRight - G:\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with GetRight Pro - L:\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://L:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - L:\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - L:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - L:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://*******.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3188E99-76FE-41DC-8954-4B6045BF40A9}: NameServer = 85.37.17.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgemc.exe
O23 - Service: PDAgent - Raxco Software, Inc. - G:\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - G:\PerfectDisk\PDEngine.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: WMServerTools - Apache - Apache Software Foundation - C:\WM\Apache-2.0.54\bin\Apache.exe
O23 - Service: WMServerTools - MySQL - Unknown owner - C:\WM\MySQL-4.1.12\bin\mysqld-nt.exe

--
End of file - 7183 bytes


Pulito...
Gle89
20-11-2007, 14:42
Pulito? a me non sembra...:rolleyes: Quindi:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
(start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

ecco le voci:
[quote]
O2 - BHO: (no name) - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - (no file)
O2 - BHO: 0 - {FC60B31A-FC10-4D95-988A-C8123EBA4B2A} - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO DI RETE')
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - L:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - L:\WinHTTrack\WinHTTrackIEBar.dll (file missing)


Alla fine riavvia il pc e riposta un nuoo log di HTJ
mfonz85
20-11-2007, 18:27
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.24.34, on 20/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\AVG7\avgamsvr.exe
C:\PROGRA~1\AVG7\avgupsvc.exe
C:\PROGRA~1\AVG7\avgemc.exe
G:\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\svchost.exe
G:\PerfectDisk\PDEngine.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\RocketDock\RocketDock.exe
C:\Programmi\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
G:\DAEMON Tools\daemon.exe
G:\ATI Tray Tools\atitray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
E:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RocketDock] C:\Programmi\RocketDock\RocketDock.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\Programmi\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\Programmi\AVG7\avgemc.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Bginfo] C:\WINDOWS\bginfo.exe C:\WINDOWS\config.bgi /TIMER:0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AtiTrayTools] "G:\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with GetRight - G:\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with GetRight Pro - L:\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://L:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - L:\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://*******.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3188E99-76FE-41DC-8954-4B6045BF40A9}: NameServer = 85.37.17.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgemc.exe
O23 - Service: PDAgent - Raxco Software, Inc. - G:\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - G:\PerfectDisk\PDEngine.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: WMServerTools - Apache - Apache Software Foundation - C:\WM\Apache-2.0.54\bin\Apache.exe
O23 - Service: WMServerTools - MySQL - Unknown owner - C:\WM\MySQL-4.1.12\bin\mysqld-nt.exe

--
End of file - 7007 bytes


:D

Ovviamente problema non risolto...continua ad inviarmi email paccusissime :D
Continuo ad indagarci su... :mc:
mfonz85
22-11-2007, 19:06
ahahah, lo sapevo, è un problema talmente impossibile che nessuno ha ancora saputo darmi 1 mano... :D :D
Quindi significa che l'unica soluzione è il formattone?? :eek:
Non ci credo ragazzi, dai su, tiratemi fuori qualche coniglio dal cappello magico, ormai è diventata una sfida debellare questa sottospecie di trojan, se così possiamo chiamarlo! ;)
Bugs Bunny
22-11-2007, 19:39
non ti offendi,vero, se ti dico che mi sembra una presa per il :ciapet: ?

sicuro di non aver tolto qualche riga al log? i conti non tornano.... guarda questa foto... ho incollato il tuo log in un file di testo e sembra che ne manchi un pezzetto(380 bytes)

http://img90.imageshack.us/img90/7180/controz8.th.jpg (http://img90.imageshack.us/my.php?image=controz8.jpg)

non ho mai sentito di un malware che si mette a scrivere email tramite internet explorer...
mfonz85
22-11-2007, 23:43
non ti offendi,vero, se ti dico che mi sembra una presa per il :ciapet: ?

sicuro di non aver tolto qualche riga al log? i conti non tornano.... guarda questa foto... ho incollato il tuo log in un file di testo e sembra che ne manchi un pezzetto(380 bytes)

http://img90.imageshack.us/img90/7180/controz8.th.jpg (http://img90.imageshack.us/my.php?image=controz8.jpg)

non ho mai sentito di un malware che si mette a scrivere email tramite internet explorer...

Ma che presa per il culo, se vuoi ti registro un video di quello che mi capita :D
Secondo te mi diverto ad andare in giro x i forum a dare problemi fake e irrisolvibili alla gente x far perdere tempo?? :D
Va bene che sono uno un pò fuori di melone, ma così sarei da ricovero :Prrr:
Sì hai ragione, mancano 380 bytes xkè ho cancellato io alcune righe di programmi attivi in background che non volevo far vedere (ovviamente NON sono virus...credimi, non sono virus) e poi mi son dimenticato di ricalcolare il checksum per far tornare i conti dei bytes :doh:
Infatti nemmeno io avevo mai sentito nessun malware o cose del genere che modificano i form di una pagina web (e sottolineo che non è solo IE a soffrire di questo problema ma anche FF e Opera - non riesco con NESSUN browser)
E sono sicuro che non è un problema del mio account msn, perchè da lavoro e dal mio portatile tutto funziona come dovrebbe!
Allora se 2+2 fa 4, il problema è un "qualche fottuto qualcosa" che mi smaciulla i form della posta di hotmail subito dopo che ho premuto su "Invia" :confused:

Se non ci credi ti faccio un video sul serio...e quando lo vedrai dirai "ma è montato"...invece no :D
Riverside
22-11-2007, 23:49
ahahah, lo sapevo, è un problema talmente impossibile che nessuno ha ancora saputo darmi 1 mano...
Una sola domanda: usi, per caso, il client di messaggistica di Yahoo? (non ho ancora guardato il log di HTHis che hai postato).
mfonz85
22-11-2007, 23:53
Una sola domanda: usi, per caso, il client di messaggistica di Yahoo? (non ho ancora guardato il log di HTHis che hai postato).

No! Solo Live Messenger 8.1 ;)