Ciao a tutti. Da un paio di giorni il mio pc ha "qualche problema" e quindi mi sono deciso a chiedere il vostro aiuto.

CONFIGURAZIONE
Microsoft Windows XP SP2
router Netgear DG834PN (con firewall) a cui sono collegato in wi-fi (ADSL Tele2)
Kaspersky Internet Security 6.0

SINTOMI
1. sono comparse sul desktop tre nuove icone: Error Cleaner, Spyware & Malware Protection, Privacy Protector
2. viene visualizzata in tray (vicino all’orologio di sistema) una icona circolare rossa con dentro una croce bianca; l’icona lampeggia e ogni tanto appare un flag con scritto “SYSTEM ALERT - System detected virus activities. These may impact the performance of your computer. Please, use recomeded antispyware software to protect your system from parasite programs”
3. mi compare una finestra di messaggio del tipo “WINDOWS SECURITY ALERT - windows has detected an Internet attack attempt... Somedody's trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect your PC from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover for total protection”
4. altra finestra di messaggio: “SPYwARE ALERT - Worm.Win32.NetSky detected on your machine. The virus is distributed via the Internet trough e-mail and Active-X objects. The worm has its own SMTP engine which means it gather e-mails from your local computer and re-distributes itself. In worst cases this worm can allow attachers to access your computer, stealing passwords and personal data. This process should be removed from your system.”
5. mi si apre da solo IE7 e vengo indirizzato alla pagina safenavweb.com/index.php?sid=502&said=0&aid=454&pn=5&pid=0
6. il pc è particolarmente lento ed ha sempre la ventola in funzione (notebook HP)


Ho cercato sul forum le infezioni che davano sintomi simili a questi. Quella che mi sembra più vicina è Windows Security Alert. Siccome però i sintomi non sono esattamente gli stessi e siccome erano post già molto lunghi, ho pensato – con l’approvazione del moderatore :) – che fosse meglio aprire un post nuovo.



AUTO-MEDICAZIONE
seguendo i post guida, ho fatto le seguenti operazioni

1. scansione con Kaspersky e con Ad-Aware 2007, senza alcun risultato rilevato se non i soliti cookie balordi con rischio basso
2. disattivato il ripristino di sistema
3. fatto una pulizia avanzata con Ccleaner (v. 1.40.520), sia dei file che del registro
4. eseguita una prima scansione deep con A-Squared Free (v. 3.1) con le definizioni VECCHIE (non riuscivo ad accedere a internet per aggiornarle): gli oggetti che ho trovato li ho messi in quarantena
5. fatto nuovamente una pulizia avanzata con Ccleaner (v. 1.40.520), sia dei file che del registro
6. lanciato Alternative Data Stream Revealer (v. 1.0.0.1) e eliminato i files che ha trovato
7. eseguita una nuova scansione deep con A-Squared Free (madò che lunga!!!), questa volta con definizione aggiornate. Nessun oggetto rilevato
8. già che c’ero, eseguita scansione in-depth con Panda Rootkit (v. 1.08), senza che sia stato rilevato alcun oggetto
9. eseguita scansione con PrevX CSI (v. 1.2.101.109): rilevati quattro file ma non eliminati (mi chiede la registrazione per farlo), come si evince dal log
10. eseguite le scansioni on-line: Nanoscan (nessun oggetto rilevato)
11. lanciata la scansione e creato il log con HiJackThis
12. eseguita una scansione con Gmer (v. 1.0.13)

Questi sono i file che vi potrebbero essere utili
- log della prima scansione con a-Squared (4) a2scan_080118-191331.txt - 0.01MB (http://www.zshare.net/download/6706390c904fb7/)
- log della scansione con PrevX CSI (8) prevxcsi.log - 0.42MB (http://www.zshare.net/download/67065548947971/)
- log HiJackThis (10) hijackthis.log - 0.01MB (http://www.zshare.net/download/6706602d78cb2a/)

- il log di gmer arriva appena termina la scansione!!

(mancano all’appello il log di ADSR del punto 6 e della seconda scansione con a-Squared del punto 7)


Scatenatevi gente!!!

Riallega tutti i log sul nuovo Servizio in uso, per favore (ZShare non lo facciamo più utilizzare da giorni):

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, in unico post, singolarmente per ogni log, il link che verrà rilasciato per il download

scarica Smitfraudfix: DOWNLOAD (http://siri.urz.free.fr/Fix/SmitfraudFix.exe)
decomprimi l'archivio in una cartella,
clicca su Smitfraud,
ti si aprirà una finestra dos, clicca un pulsante qualsiasi x continuare
digita 1 (cerca) e poi invio

alla fine della scansione, in c:\ troverai il log " rapport.txt"

lo alleghi qui, e attendi istruzioni

edit: river, è infetto da trojan zlob, ho ricontrollato il log di prevx csi, che rilevato queste dll "C:\WINDOWS\bxsnvqt.dll" rilevato come "Downloader.Zlob" e "C:\WINDOWS\egodktf.dll" rilevato come "Trojan.Zlob"

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

river, è infetto da trojan zlob......che ne pensi dell'uso di smitfraud?
Se hai controllato i log (cosa che io non ho fatto in attesa che li riallegasse) ed è ciò quello che é emerso, andate avanti.
In ogni caso, i log è meglio che vengano riallegati hostandoli su FileUP

Scusatemi!

http://www.fileup.itadib.com/download.php?id=nFoO1UQsZQ2ZvFFvBQpJ

http://www.fileup.itadib.com/download.php?id=d6g8Vph9GdPCxD3lkRna

http://www.fileup.itadib.com/download.php?id=WWimXjn8urvgHlVuW0HG

e questo è il log di Gmer

http://www.fileup.itadib.com/download.php?id=2EQKs9WpnrUl71vCSKM5


Questo invece il "rapport" di Smitfraudfix

http://www.fileup.itadib.com/download.php?id=ZAZkXadhKkIDVhk70I3S


aspetto umilmente ordini!

Quando si usa Emule per scaricare c****te, non può che essere cosi :muro:
Diverse infezioni: se non lo hai ancora fatto, segui la procedura indicata in Guida.
Buon lavoro :doh:

Mi sembra di aver già fatto tutto quello che c'era nella guida, come puoi leggere nel primo messaggio della discussione..
I problemi però sono rimasti, quindi attendo istruzioni!

grazie

Mi sembra di aver già fatto tutto quello che c'era nella guida, come puoi leggere nel primo messaggio della discussione..
I problemi però sono rimasti, quindi attendo istruzioni! grazie
Ho letto il tuo primo post giusto ora:
10. eseguite le scansioni on-line: Nanoscan (nessun oggetto rilevato)

Intanto, colgo l'occasione per chiarire una cosa:

Nanoscan (per quel che può valere come scanner online) come quasi tutti gli scanner online, esegue una scansione ma non permette di rimuovere ciò che rileva (quindi, non serve alla causa).
Esistono, solo due servizi di scansione online che, oltre a rilevare eventuali infezioni consentono di rimuoverle:
1) BITEDEFENDER Scanner online
2) FSECURE Scanner online
Tutti gli altri, sono assolutamente inutili.

Quindi, visto che hai praticamente utilizzato tutto quello che prevede la Guida, riesegui, per favore una scansione online:

● BITDEFENDER ONLINE SCANNER
Compatibilità: Windows XP e Windows VISTA

● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva sia il log che Report html che verranno rilasciati ed allegali

Ed allega, anche, un nuovo log di Hthis, prodotto dopo aver eseguito la scansione online.

Intanto, colgo l'occasione per chiarire una cosa:

Nanoscan (per quel che può valere come scanner online) come quasi tutti gli scanner online, esegue una scansione ma non permette di rimuovere ciò che rileva (quindi, non serve alla causa).


Hai fatto benissimo a specificarlo: forse sarebbe il caso di scrivere queste informazioni direttamente nel thread guida che contiene l'elenco degli antivirus on-line: io, quando mi sono trovato davanti alla lista, ho scelto praticamente... a caso :confused:

Dopo un po' di magheggi - IE7 continua ad aprirmi finestre strane - sono riuscito a far partire lo scan on line con BitDefender..
Il tempo rimanente viene indicato in una ventina di ore, per cui - se il programma è di parola - vi do i risultati domani mattina..

(a meno di novità) intanto grazie della gentilezza e notte

Buon giorno!
è stato un parto ma ce l'ho fatta!

allora

log di bitdefender (l'ho messo in txt, spero si legga tutto, altrimenti allego il file salvato in html) http://www.fileup.itadib.com/download.php?id=0QorkxZkTCEcI17Sku1C

report hmtl http://www.fileup.itadib.com/download.php?id=VbSVK6P8B2IAbeSJ5iMz

nuovo report HiJackThis
http://www.fileup.itadib.com/download.php?id=hSgZGMmSXEfYINWDLWhv

attendo ordini! grassie

Per favore un nuovo log di Prevx CSI

@ loopad:
fixa queste voci:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SXG Advisor - {696EE2DD-9008-44D5-BA5F-286D59F77F2E} - C:\WINDOWS\dopfwrldxw.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: The egodktf - {0720868F-9F83-48AB-B1C2-284674202F72} - C:\WINDOWS\egodktf.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Startup: Collegamento a html2pop3.exe.lnk = C:\Web Download\UTILITIES\Mail crack\html2pop3232win32 beta b\html2pop3.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O15 - Trusted Zone: http://www.unibocconi.it
O16 - DPF: {3BB4FE3B-7A37-11D3-A41E-0060080C03B3} (Entire Screen Builder Web Viewer) - http://vblu.uni-bocconi.it/vblu/NWWClientFull.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O21 - SSODL: aslpmqk - {71DB93B0-2595-4BDA-B0B3-0B81E34686E4} - C:\WINDOWS\aslpmqk.dll
O21 - SSODL: bxsnvqt - {DC99FE8D-809F-478C-B204-F9C56F6793CF} - C:\WINDOWS\bxsnvqt.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB\R2006a\webserver\bin\win32\matlabserver.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe


Tutti gli oggetti in grassetto possono darti problemi nella rimozione, o nel eseguire il comando di "Fix it" (rifacendo il log con HiJackThis al termine il tasto in basso a sinistra si chiamerà "Fix IT") da subito errore o completerà il comando ma rifacendo subito un nuovo log ricompariranno tale voci.

Per procedere è quindi necessario intervenire in diversi modi:
1) scarica UnDLL (http://www.nod32.it/tools/undll.php) con questo programma puoi metetre fuori uso le dll incriminate e procedere con la rimozione e fixaggio (comando Fix IT)

2) se ancora non bastasse scarica e usa Unlocker (http://download.html.it/software/getit/1887/unlocker/) per rimuovere con un click tali oggetti, ma facendo ovviamente anche il "Fix IT" :)

non sono convinto di queste due voci:
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm

le lascio a parte così semmai ci pensiamo poi :)


Hai la java che è vecchia, AcrobatReader vecchio, Kaspersky vecchio... a questo punto attendiamo che la tua connessione non abbia altre schermate che si aprono e poi li aggiorniamo con l'uso di http://secunia.com/software_inspector/ che ispezione il tuo pc in cerca di software critico non aggiornato :)

Ecco il nuovo log di PrevX CSI

http://www.fileup.itadib.com/download.php?id=4avqSwirh2J4tnEB1bKC

@xcdegasp

ho fatto un nuovo HiJackThis, spuntato le voci in grassetto e fatto Fix!.. l'unico oggetto per cui ho ricevuto un messaggio di errore è stato

O2 - BHO: SXG Advisor - {696EE2DD-9008-44D5-BA5F-286D59F77F2E} - C:\WINDOWS\dopfwrldxw.dll

inoltre, volevo chiederti: ho visto che mi hai fatto cancellare delle cose relative ad iSilox: il programma continuerà a funzionare anche dopo queste operazioni?

Edit: per quanto riguarda KIS non me ne ero accorto! Acrobat Reader non lo uso perchè ho Adobe Acrobat (writer) vero e proprio e quindi uso direttamente quello... per la Java ti do ragione su tutta la linea!

E questo è invece il nuovo log di HiJackThis dopo essere intervenuto con UnDll su questi file e aver ri-fixato quelli che rimanevano ancora in vita

http://www.fileup.itadib.com/download.php?id=m7rlRE0m1N0Dro8iFx6X

mi sembra che popup non ce ne siano più e che siano rimaste solo le icone del desktop...

cosa dite, sto per uscire dal tunnel????

@ loopad:
in ogni caso acrobat è vecchio, è alla 8.1 o 8.0 :D
tutti i programmi per i quali ti ho fatto fixare i riferimenti continueranno a funzionare come funzionavano prima con una particolarità, ossia ora quei servizi (abbiamo solo chiuso dei servizi non abbiamo rimosso nulla) che abbiamo fixato li abbiamo messi su "avvio manuale"..
significa che solo se usati effettivamente da un'azione svolta dal programma quel servizio verrà avviato altrimenti rimarrà spento.

questo ha il vantaggio di risparmiare ram e di avere un sistema meno "sporco" ossia con la roba realmente utile in esecuzione.


ora rimuovi quelle dll ad esclusione di:
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)

visto che lo usi e lo hai installato volontariamente :)

edit, potresti usare il programma avenger per rimuoverle ma farei prima un'operazione manuale per vedere come si comportano su un tentativo di cancellazione, l'elenco è:
C:\WINDOWS\dopfwrldxw.dll
C:\WINDOWS\egodktf.dll
C:\PROGRA~1\MI3AA1~1\INetRepl.dll
C:\WINDOWS\aslpmqk.dll
C:\WINDOWS\bxsnvqt.dll
:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE

ora rimuovi quelle dll ad esclusione di:
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)

visto che lo usi e lo hai installato volontariamente :)

un po' tardi... :cry: vabbè lo reinstallo che dovrebbe essere freeware

edit, potresti usare il programma avenger per rimuoverle ma farei prima un'operazione manuale per vedere come si comportano su un tentativo di cancellazione, l'elenco è:
C:\WINDOWS\dopfwrldxw.dll
C:\WINDOWS\egodktf.dll
C:\PROGRA~1\MI3AA1~1\INetRepl.dll
C:\WINDOWS\aslpmqk.dll
C:\WINDOWS\bxsnvqt.dll
:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE

allora... alcuni già non c'erano più.. Ho eliminato manualmente egodktf.dll e inetrepl.dll e poi ho fatto ccleaner..

invece imjpmig.exe quando l'ho eliminato mi ha chiesto di inserire il cd di windows dicendomi che il sistema poteva diventare instabile, quindi per il momento è ancora lì in attesa di consigli..

ma in teoria quel exe non è nulla di critico:
imjpmig.exe belongs to the Microsoft Input Method Editor. It is used to simplify the input of Asian characters in the Microsoft Office suite
imjpmig.exe is not a critical component.

ma se non digiti cose in asiatico non dovrebbe nemmeno essere caricato...
ad ogni modo dicono anche:
Description: File imjpmig.exe is located in a subfolder of C:\Windows. Known file sizes on Windows XP are 208952 bytes (92% of all occurrence), 36985 bytes.
The application starts upon Windows startup (see Registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). imjpmig.exe is a trustworthy file from Microsoft. It is not a Windows system file. Therefore the technical security rating is 9% dangerous, however also read the users reviews.

puoi lasciarlo lì dove è :)


prova a fare un reboot e vediamo che succede :)

Lo disabiliti in avvio con MSCONFIG

Uhm, allora...

l'ho disabilitato con MsConfig e ho riavviato. Appena caricato windows, mi è comparsa una finestra in cui si diceva che la configurazione era stata modificata bla bla bla.... e mi si chiedeva se volevo ripristinarla.
Io non l'ho ripristinata, con il risultato che se adesso apro MsConfig il file exe non è più spuntato e che risulto essere in "Avvio selettivo".
Direi che qui ci siamo, o sbaglio??

Per quanto riguarda l'infezione in generale, non ci sono più segni esteriori di schifezze.
Questo è l'ultimo log HiJackThis http://www.fileup.itadib.com/download.php?id=gJ9z76dijOXFxk8uGz9k

Faccio qualche altra scansione di controllo o qualche altra mossa per controllare che non sia rimasto qualcosa o posso ritenermi "guarito"? :D

Uhm, allora...

l'ho disabilitato con MsConfig e ho riavviato. Appena caricato windows, mi è comparsa una finestra in cui si diceva che la configurazione era stata modificata bla bla bla.... e mi si chiedeva se volevo ripristinarla.
Io non l'ho ripristinata, con il risultato che se adesso apro MsConfig il file exe non è più spuntato e che risulto essere in "Avvio selettivo".
Direi che qui ci siamo, o sbaglio??

si ci siamo

Per quanto riguarda l'infezione in generale, non ci sono più segni esteriori di schifezze.
Questo è l'ultimo log HiJackThis

il log è pulito

Faccio qualche altra scansione di controllo o qualche altra mossa per controllare che non sia rimasto qualcosa o posso ritenermi "guarito"? :D

allega un'ultimo log di Prevx CSI

eccolo!
http://www.fileup.itadib.com/download.php?id=NcTrvXa57oWZ2ZYWUfSq


direi che - se è tutto a posto - posso tornare alla mia vita informatica normale :)

prima di concludere vorrei farvi due domande:


1) visto che questo notebook è in rete con il pc desktop di casa è possibile che l'infezione si sia propagata?? Non ho trasferito nessun file direttamente da un pc all'altro, ma mi viene il dubbio che ci possano essere stati dei passaggi "segreti" di schifezze dall'uno all'altro...
nel caso la risposta sia affermativa, cosa uso per controllare l'altro pc??


2) non so dove ho rimediato l'infezione, ma so esattamente quando! un paio di giorni fa stavo navigando alla ricerca della soluzione per un problemino di recovery (http://www.hwupgrade.it/forum/showthread.php?t=1649912) e devo ammettere che se uno naviga dopo aver cercato su google "free recover software", oltretutto disabilitando il NoScript di firefox per entrare nei siti, bè il rischio c'è...
Quindi, per prevenire sti casini dovrò sicuramente stare più attento..
Domanda: visto che nè Kaspersky nè Ad-aware mi hanno salvato, ci sono programmi che posso installare per evitare di essere infettato??

eccolo!



direi che - se è tutto a posto - posso tornare alla mia vita informatica normale :)


pulito

prima di concludere vorrei farvi due domande:


1) visto che questo notebook è in rete con il pc desktop di casa è possibile che l'infezione si sia propagata?? Non ho trasferito nessun file direttamente da un pc all'altro, ma mi viene il dubbio che ci possano essere stati dei passaggi "segreti" di schifezze dall'uno all'altro...
nel caso la risposta sia affermativa, cosa uso per controllare l'altro pc??

la risposta la conosci già ;)


2) non so dove ho rimediato l'infezione, ma so esattamente quando! un paio di giorni fa stavo navigando alla ricerca della soluzione per un problemino di recovery (http://www.hwupgrade.it/forum/showthread.php?t=1649912) e devo ammettere che se uno naviga dopo aver cercato su google "free recover software", oltretutto disabilitando il NoScript di firefox per entrare nei siti, bè il rischio c'è...
Quindi, per prevenire sti casini dovrò sicuramente stare più attento..
Domanda: visto che nè Kaspersky nè Ad-aware mi hanno salvato, ci sono programmi che posso installare per evitare di essere infettato??

innazitutto aggiorna Kaspersky alle versione 7 per il resto leggi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1559053

Bene ragazzi allora c'ho un po' di roba da studiare :D

Chill-Out, Xcdegasp, Riverside, murack83pa: volevo ringraziarvi tutti per il tempo che mi avete dedicato!! ;)

GRAZIE MILLE!

sei stato fortunato che sia stata piuttosto semplice la soluzione, ma poteva sicuramente andare molto peggio...
la domanda che ti poni su come innalzare la barriera è sicuramente corretta ma non è la sola strada in cui agire.

come si è evidenziato le cause sono molteplici e tutte hanno giocato a favore del malware:
software marginale non aggiornato, antivirus con motore vecchio, un unico antispyware e dalle limitate potenzialità, nessun firewall, e nessun hips/cips..

il malware per annidarsi nel pc deve colpire a 360° quindi il concentrarsi solo su software di sicurezza-diretta non arginiamo completamente il problema perchè rimangono le feritoie..

_ per prima cosa ci si deve abituare ad aggiornare tutto il parco software, quello che non serve e non si usa va rimosso e cmq bloccato per eventuali accessi ad internet (tramite firewall)

_ poi si deve aggiornare l'antivirus e qui si aprono varie soluzioni tra cui ne estrapolo due:
o aggiornare a KAV7.0 che è un ottimo antivirus con vari moduli di controllo al suo interno
o si passa ad un altro antivirus come Avira Antivir PE (20€ annuali, volendo gratis 6 mesi attraverso la promozione in corso) o la versione Free dello stesso che non possiede il modulo della scansione automatica delle email

_ installare 2 antispyware, possibilmente uno con real time attivato:
tra i free:
realtime -> SpywareTerminator
scansioni a comando -> a-squared (esiste la versione per chiavetta usb) o SuperAntispyware
- puoi anche metterli tutti e tre non c'è problema -

_ un firewall che sia efficace ma allo stesso tempo sia piacevole da usare per te (ovviamente un po' di adattamento ci vuole comunque), tra quelli validi e free e più o meno facili da gestire ci sono:
Online Armor v2.0
Comodo-Firewall 3.0 o al limite la v2.4

_ un account limitato che userai sempre


_ poi proseguire con le seguenti letture:
Windows hardening (http://www.hwupgrade.it/forum/showthread.php?t=1561908)
e
Windows Built-In Security: Sicurezza fai da te! (e senza Antivirus, Firewall, ecc) (http://www.hwupgrade.it/forum/showthread.php?t=1517343)
e
[Admins' toolbox] Scripts per setup automatico account limitato (http://www.hwupgrade.it/forum/showthread.php?t=1523302)
e
HIPS: nuove tecnologie per la sicurezza (http://www.hwupgrade.it/articoli/sicurezza/1545/hips-nuove-tecnologie-per-la-sicurezza_index.html)

purtroppo l'unico sistema per capire meglio le proprie esigenze è conoscere i rischi e i sistemi con cui proteggersi, per poi trarre le migliori idee che siano in un ottimo compromesso tra protezione/furti di dati..
;)

sì effettivamente se uno ci pensa bisognerebbe dedicare molte più risorse alla sicurezza.. a me personalmente questa è la prima volta che capita una infezione "seria", mentre tutte le altre volte (poche, a dire il vero) me l'ero cavata con un paio di scansioni in modalità provvisoria..

ho già provveduto ad eseguire il software inspector di cui mi avevi detto e ad aggiornare il software di conseguenza, almeno quello freeware.

per quanto riguarda kaspersky, ne sono al momento soddisfatto ma non so se rinnoverò la licenza. siccome mi sembra di aver capito che - come è naturale d'altronde - l'aggiornamento è a pagamento, sarei orientato a mantenere kis6 sino alla scadenza della licenza e di passare poi a un antivirus free.

i programmi antispyware saranno i prossimi download... per account limitato intendi un account di windows non da amministratore?? non si rischia di creare più problemi nella gestione ordinaria che vantaggi? :help:


per quanto riguarda il firewall, ho sempre avuto problemi: sul pc desktop c'era in dotazione con la scheda madre l' nVidia Firewall che mi ha causato un sacco di problemi, mentre adesso uso lo stesso firewall di KIS.
in realtà io ero stato contento di leggere questa frase (http://www.hwupgrade.it/forum/showthread.php?t=1120300) a proposito del mio router, che ha già il firewall incluso:

Q: Ma adesso che ho comprato questo router posso fare a meno di un firewall software tipo quello di Windows Xp, zone alarm, sygate, outpost, kerio e similari ?
A: Si', è fortemente consigliato toglierli: si risparmiano problemi secondari di configurazione dei vari programmi (specie p2p), a meno che uno non sia paranoico e voglia tenere sotto controllo le connessioni in uscita di ogni singola applicazione o non sospetti problemi di virus, mailware, ecc.

dite che mi ero illuso?? :mbe:

scusate se riuppo questo topic ma ho lo stesso problema di loopad :

1. sono comparse sul desktop tre nuove icone: Error Cleaner, Spyware & Malware Protection, Privacy Protector
2. viene visualizzata in tray (vicino all’orologio di sistema) una icona circolare rossa con dentro una croce bianca; l’icona lampeggia e ogni tanto appare un flag con scritto “SYSTEM ALERT - System detected virus activities. These may impact the performance of your computer. Please, use recomeded antispyware software to protect your system from parasite programs”
3. mi compare una finestra di messaggio del tipo “WINDOWS SECURITY ALERT - windows has detected an Internet attack attempt... Somedody's trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect your PC from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover for total protection”
4. altra finestra di messaggio: “SPYwARE ALERT - Worm.Win32.NetSky detected on your machine. The virus is distributed via the Internet trough e-mail and Active-X objects. The worm has its own SMTP engine which means it gather e-mails from your local computer and re-distributes itself. In worst cases this worm can allow attachers to access your computer, stealing passwords and personal data. This process should be removed from your system.”
5. mi si apre da solo IE7 e vengo indirizzato alla pagina safenavweb.com/index.php?sid=502&said=0&aid=454&pn=5&pid=0
6. il pc è particolarmente lento ed ha sempre la ventola in funzione (notebook HP)

ho notato che il processo explorer.exe occupa il 30% della CPU e chiudendolo non ho più problemi ...

ah... mi ha cancellato l'antivirus (avast) e mi ha cancellato anche spybot ... ogni tanto mi deseleziona la finestra oppure me ne apre un'altra (per esempio un programma che ho aperto mentre sto navigando).

ho fatto varie scansioni con i programmi che sono qui : http://www.hwupgrade.it/forum/showthread.php?t=1599737 e posto i log

log di prevx CSI http://www.fileup.itadib.com/download.php?id=hQyI0R2f4QufF7S993L3
log di hijackthis http://www.fileup.itadib.com/download.php?id=8wvaD5zkdqS7EjsjLXcK

ho provato ha fare quello che avete detto a loopad ma non ho risolto :help:

I tuoi problemi sono anche altri ovvero Bagle

http://www.hwupgrade.it/forum/showthread.php?t=1562611

grazie ^^ domani seguo la guida ... però dei problemi con kapersky quando provo a installarlo mi dà erroe un file e si cancellano i file che ha istallato

grazie ^^ domani seguo la guida ... però dei problemi con kapersky quando provo a installarlo mi dà erroe un file e si cancellano i file che ha istallato

Per forza hai il Bagle che lo falcia

ok ho usato il programma spagnolo e ora sto aggiornando kapersky ... poi i log dove li posto ?

sul server "fileup" e qui inserisci i link ovviamente mettondo il riferimento a cosa facciano capo :)

ok ^^ questo è il log di elibelga http://www.fileup.itadib.com/download.php?id=I9SOU4FH0nuKK0YuLsJb

questo è di avenger http://www.fileup.itadib.com/download.php?id=Cc6V3ULuzWsVANqhZvJF

hijackthis : http://www.fileup.itadib.com/download.php?id=d0ZtYBFqdHgwStLuGi4c

che dicono i log ? io non ho più problemi :D

che dicono i log ? io non ho più problemi :D

che li dovevi postare in quel thread ufficiale di bagle e che devi fare una scansione on line(oppure in locale visto che lo hai) con kaspersky.......e postare il report ;)

vabbè il mod stranamente ha detto di postare il tutto qui...:confused:
comunque in hijackthis fixa queste voci

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: -
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
disinstalla e reinstalla Asquared (credo non ti funzioni)
aggiorna adobe alla versione 8 (hai la 5! :rolleyes: )
riposta il log di hijack dopo le operazioni insieme al report di kasper....;)

uhm... a-squared funziona
ehm xD che adobe ?
per kasper temo di dover aspettare ancora molto xD

ecco il log di hijackthis http://www.fileup.itadib.com/download.php?id=mE5ct3k4Lgs0IbScEqCc

uhm... a-squared funziona
ehm xD che adobe ?
per kasper temo di dover aspettare ancora molto xD

ecco il log di hijackthis http://www.fileup.itadib.com/download.php?id=mE5ct3k4Lgs0IbScEqCc

leggo dalla toolbar che c'è una versione vecchia che ha intrinsecamente problemi di vulnerabilità.....

il service di asquared mi dà in hijackthis un missing se poi te dici che funziona....:confused:

allora il log di kaspersky pesa molto (59 mega) e non c'è scritto nulla di interessante :mbe:
comunque ho trovato qualche file e l'ho eliminato :D

posso ritenermi guarito ? :D