PDA

View Full Version : Spyware????


mrkikko
21-06-2008, 08:53
Salve a voi.
Probabilmente dovrei leggere tutti i messaggi iniziali per scansionare (o meglio rivoltare sotto e sopra) il pc.
Non ho ben capito cosa fare...
Il Problema: Quando sono on line mi si aprono nuove schede autonomamente per indirizzarmi in altri siti di varia natura..esempio cerco una banca e mi si apre una seconda scheda con un offerta per la cessione del 5' dello stipendio.
Probabilmente ho uno spyware....(?)
Ho provato con diversi antispywarema, ma il problema persiste anzi sta peggiorando, visto che mi si apre una nuova scheda relativa a grossi problemi di sicurezza e mi incita ad istallare "adware-secure" dal sito omonimo quale unica risorsa.
Ho scannerizzato con hijackthis e posto il log
Cosa significa e che dovrei togliere secondo voi?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.03.31, on 20/06/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)

--
End of file - 14490 bytes

wjmat
21-06-2008, 09:02
Ciao benvenuto nel pronto soccorso di HU.
Leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni nell'ordine indicato.

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


In questa maniera, tu avrai un pc già parzialmente ripulito, e noi le informazioni necessarie per i restanti interventi.
Intanto che aspetti la nostra assistenza, o durante le scansioni lunghe, comincia a leggerti il trattamento di prevenzione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) così comincerai a comprendere eventuali problemi della configurazione di sicurezza del tuo pc.
Solo al termine della pulizia, leggi l'ultimo punto di questo trattamento, per eliminare programmi e tool che ti abbiamo fatto utilizzare e che non ti serviranno più....si spera ;)

Ciao

mrkikko
24-06-2008, 09:04
Ecco i risultati delle analisi.
ricordo che il problema era "apertura di schede aggiuntive quando si è on line"
Ad esempio clicco sulla pagina di una banca e si apre una seconda pagina con un offerta d finanziamento o altro sito di altra natura.
Ultimamente si apre una pagina che mi comunica come il pc sia in pericolo e che bisogna scaricare e istallare qualcosa.

Ecco i link dei log

http://www.mediafire.com/?xm2fa41xmlf

http://www.mediafire.com/?g910km0mmwy

http://www.mediafire.com/?lesjmx4jjgv

http://www.mediafire.com/?lesjmx4jjgv



SysInspector-PC-ACER-080623-1219.zip (SysInspector-PC-ACER-080623-1219.zip)

http://www.mediafire.com/?ce9ndxgcmcg

http://www.mediafire.com/?mvzmxtqjnrt

http://www.mediafire.com/?lmzlmn3lzj1


Credo di aver fatto tutto per benino.
Che mi dite dottori? e' grave?

wjmat
24-06-2008, 12:13
Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ

O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab


Fai controllare questi file su www.virustotal.com e su http://virusscan.jotti.org/
c:\users\acer\appdata\local\ieyagru.exe

Per l'esito di virustotal a fine scansione copia l'indirizzo della pagina e incollalo nella discussione
Per l'esito di virusscan.jotti copia tutto il testo che c'è tra Scanner result e Powered by → incollalo in un file di testo e allegalo.

intanto disinstalla tutte le inutili toolbar

eset non sono riuscito ad aprirlo
non ho capito se hai fatto f-secure o kaspersky