Salve ragazzi.
Andiamo subito al punto. Ho un portatile con vista installato e nonostante usi comodo firewall, avira come antivirus e pulisca settimanalmente il pc con ccleaner e simili....mi è entrato quello che penso sia un dialer o trojan...o anche virus perchè no.
I problemi:
-quando accendo il pc 1 volta su 3 rimane schermata bianca, poi per farlo partire devo accedere al task manager (perchè il pc si sta avviando ed alcuni processi sono già attivi) e devo chiudere szshellstart.exe che penso sia il problema.
-mi si aprono pagine web di pubblicità di vario tipo.
Mai avuto un problema simile, poichè curo molto la sicurezza. uplodato il file di hj.
Grazie per la disponibilità.
Aspetto notizie

http://www.fileqube.com/file/ejamYVb176037

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

F2 - REG:system.ini: UserInit=C:\Windows\system32\ezShellStart.exe
O4 - HKLM\..\Run: [DpAgent] C:\Program Files\DigitalPersona\Bin\dpagent.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [ScanSoft OmniPage 16-reminder] "C:\Program Files\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [uckks] "c:\users\marco lo smargio\appdata\local\uckks.exe" uckks
O4 - HKCU\..\Run: [ymsiw] "c:\users\marco lo smargio\appdata\local\ymsiw.exe" ymsiw
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://smargio.spaces.live.com/PhotoUpload/VistaMsnPUpldit-it.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs:
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe


poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.


Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria (http://www.hwupgrade.it/forum/showpost.php?p=25116981&postcount=41), se non bastasse effettua prima una scansione con il rescue cd di Kaspersky (http://www.hwupgrade.it/forum/showthread.php?t=1878747) o di Avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812) per fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22) e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=25062288&postcount=38)

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...
link caricamento log generici ► fileqube.com ■ (http://fileqube.com/) wikisend.com (http://wikisend.com/) ■ mediafire.com (http://www.mediafire.com/index.php)
link caricamento immagini ► fileqube.com ■ picoodle.com (http://fileqube.com/) ■ imageshack.us (http://imageshack.us/)

potrebbe essere vundo quindi potrebbe fare solo la scansione con prevx per individuare appunto la guida idonea, il metodo veloce serve anche a quello :)

Guarda che se è un dialer chiama subito il tuo gestore telefonico e blocca le chiamate verso i numeri come 899xxxx...ecc.
I dialer sono malware che si impadroniscono della tua linea connettendoti soprattutto a numeri a pagamento per alzare la tua bolletta telefonica...

Guarda che se è un dialer chiama subito il tuo gestore telefonico e blocca le chiamate verso i numeri come 899xxxx...ecc.
I dialer sono malware che si impadroniscono della tua linea connettendoti soprattutto a numeri a pagamento per alzare la tua bolletta telefonica...

non credo ci siano ancora molti modem 56k diffusi tra gli utenti, in tutti gli altri casi non si pone nemmeno più la questione visto che le connessioni adsl e umts/hpda non possono comporre numeri telefonici per connettersi :p
aggiungo che da novembre scorso tutte le numerazioni a valore aggiunto sono state disabilitate di default dal garante delle comunicazioni e sono attive solo per chi ne ha fatto espressamente richiesta.

Davvero? I nuovi modem-router bloccano queste connessioni?

Davvero? I nuovi modem-router bloccano queste connessioni?

semplicemente non compongono numeri telefonici perchè non si basano su una chiamata analogica ma una tecnologia digitale :)

Grazie dei chiarimenti!

grazie ragazzi,adesso sembra tutto ok. non ho fatto tutte le scansioni perchè il secondo programma della lista mi blocca il pc perchè dice che vìola un protocollo di sicurezza....cmq con gli altri non trova nulla...grazie mille alla prossima

Ciao, anche io ho lo stesso problema o comunque molto simile, specifico subito che a differenza di smargio89 io ho Windows Xp sp3 e non vista, inoltre a me non rimane la schermata bianca quando accendo il pc, ma questo forse dipende da vista o dal fatto che il mio è un pc fisso a differenza del suo, non so.... comunque anche a me si aprono in continuazione delle pagine internet di varie pubblicità.
Ho fatto come smargio89 e ho creato un file log con hjt.
http://www.fileqube.com/file/FOAPouu176205
Aspetto vostre notizie, grazie mille!

Ciao, anche io ho lo stesso problema o comunque molto simile, specifico subito che a differenza di smargio89 io ho Windows Xp sp3 e non vista, inoltre a me non rimane la schermata bianca quando accendo il pc, ma questo forse dipende da vista o dal fatto che il mio è un pc fisso a differenza del suo, non so.... comunque anche a me si aprono in continuazione delle pagine internet di varie pubblicità.
Ho fatto come smargio89 e ho creato un file log con hjt.
http://www.fileqube.com/file/FOAPouu176205
Aspetto vostre notizie, grazie mille!

fai la scansione con prevxCSI e vediamo che responso restituisce, lo puoi prendere da questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

Allora, ho provato con prevxCSI e mi da alla fine della scansione: "clean", quindi penso che per quel programma il mio pc sia pulito, ma non è così dato che le finestre sia di explorer che di firefox continuano ad aprirsi incontrollate... comunque nell'altro post avevo uppato anche la lista fatta con Hjt, e visto che con smargio89 aveva funzionato pensavo che si potesse fare la stesa cosa anche con me, ma se avete altre soluzioni ben vengano lo stesso... Grazie intanto...

ok fermi tutti adesso ho rifatto lo scan(a distanza di 3 min) e mi da 2 infezioni.... ma per "pulire" dice che mi serve la licenza.... non ci capisco molto ma qui mi dice: Status: Threat, mi dice dove sono collocati e sotto Threat identified c'è: High risk fraudolent Security program e infected entry [qgqmksm]...spero in un vostro aiuto al più presto....grazie

Disabilita il Riprisitno configurazione sistema -> http://www.hwupgrade.it/forum/showthread.php?t=1599737

Fai pulizia con ATF Cleaner -> http://www.hwupgrade.it/forum/showthread.php?t=1599737

Fai girare questo tool

ComboFix -> Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


Riepilogo log da allegare
Combofix
Nuovo log HijackThis

ho dei problemi con combofix, tutto il resto mi è riuscito senza problemi, ma combofix si pianta e non va avanti...
adesso riprovo, ma non ci spero molto...

ho dei problemi con combofix, tutto il resto mi è riuscito senza problemi, ma combofix si pianta e non va avanti...
adesso riprovo, ma non ci spero molto...

NB: devi disabilitare i software di sicurezza e non toccare il mouse

Ho provato e riprovato, ma il risultato è sempre lo stesso, si blocca dopo poco e mi dice: AMAS/Dati non atteso (amas è il nome del mio pc direi o comunque è un nome che ho inserito io da qualche parte)
Ho fatto lo stesso il file log con Hjt:
http://www.fileqube.com/file/wRcnuC176336

Ho provato e riprovato, ma il risultato è sempre lo stesso, si blocca dopo poco e mi dice: AMAS/Dati non atteso (amas è il nome del mio pc direi o comunque è un nome che ho inserito io da qualche parte)
Ho fatto lo stesso il file log con Hjt:
http://www.fileqube.com/file/wRcnuC176336

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca asx della sotto indicata voce e clicca su Fix cheked

O4 - HKCU\..\Run: [qgqmksm] "c:\documents and settings\(h)amas\impostazioni locali\dati applicazioni\qgqmksm.exe" qgqmksm

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\documents and settings\(h)amas\impostazioni locali\dati applicazioni\qgqmksm.exe
C:\Documents and Settings\(h)amas\Impostazioni locali\Dati applicazioni\qgqmksm.dat
C:\Documents and Settings\(h)amas\Impostazioni locali\Dati applicazioni\qgqmksm_nav.dat
C:\Documents and Settings\(h)amas\Impostazioni locali\Dati applicazioni\qgqmksm_navps.dat
C:\Documents and Settings\(h)amas\Impostazioni locali\Dati applicazioni\qgqmksm_navup.dat



clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Prevx CSI + nuovo log di HJT

http://www.fileqube.com/file/WHvsnuD176349

http://www.fileqube.com/file/HryzvI176350

E Prevx csi non trova niente di anomalo.

http://www.fileqube.com/file/WHvsnuD176349

http://www.fileqube.com/file/HryzvI176350

E Prevx csi non trova niente di anomalo.

Le finestre dovrebbero essere sparite, per allegare il log di Prevx CSI leggi le istruzioni qui indicate http://www.hwupgrade.it/forum/showthread.php?t=1599737

ok grazie mille per la disponibilità.