AVVISO SPYWARE [Archivio] - Hardware Upgrade Forum

zio-zio

18-07-2004, 16:40

C:\WINDOWS\secure.html - che cosa è e come faccio a liberarmane:muro: una pagina blù con un avviso che il mio PC è a rischio spyware la quale mi rimanda ad un sito http://www.e-shredder.com/index.phtml per scaricare la protezione:confused:
ho installato Spybot ma non me lo rileva.
Ciao e grazie

wgator

18-07-2004, 17:30

Originariamente inviato da zio-zio
C:\WINDOWS\secure.html - che cosa è e come faccio a liberarmane:muro: una pagina blù con un avviso che il mio PC è a rischio spyware la quale mi rimanda ad un sito http://www.e-shredder.com/index.phtml per scaricare la protezione:confused:
ho installato Spybot ma non me lo rileva.
Ciao e grazie

Ciao,

scarica hijackthis e lancialo, cancella tutti i riferimenti a secure.html poi installa ad-aware, aggiornalo e lancialo. Cancella tutto quello che ti trova.

Prima di fare questo è meglio cancellare i file temporanei di Internet e disattivare il system restore.

Queste sono indicazioni di carattere generale.

Se il problema persiste dopo questa cura, posta il log di hijackthis su questo forum.

P.S. lancia hijackthis con tutti i programmi chiusi

zio-zio

19-07-2004, 21:07

Grazie per la tempestività ora provo e ti farò sapere
Ciao

zio-zio

19-07-2004, 22:27

Ho provato a cancellare i secure html e con ad-aware ho cancellato tutto ma dopo una successiva scansione questo è il risultato:
Logfile of HijackThis v1.97.7
Scan saved at 23.18.48, on 19/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Window Cleanser\wcservice.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\reeufb.exe
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\System32\qfc.exe
C:\Programmi\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmi\MSI\PC Alert III\alert.exe
C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Messenger\msmsgs.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 10.0.0.3
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://10.0.0.2/
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: IE Privacy Keeper - Last IE Window Detector - {1201333E-BAD9-481C-BCF5-6904498CF85B} - C:\Programmi\UnH Solutions\IE Privacy Keeper\IEPKbho.dll
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\ELITEB~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 32.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AHNUXE] C:\WINDOWS\AHNUXE.exe
O4 - HKLM\..\Run: [pghsp] C:\WINDOWS\pghsp.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ioycit] C:\WINDOWS\System32\reeufb.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [Egrep] C:\WINDOWS\greporg.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
O4 - HKLM\..\RunServices: [RunAlert] C:\Programmi\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Ahmb] C:\Documents and Settings\sistema\Dati applicazioni\etoc.exe
O4 - HKCU\..\Run: [Gtxa] C:\WINDOWS\System32\qfc.exe
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmi\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - Global Startup: PC Alert III.lnk = C:\Programmi\MSI\PC Alert III\alert.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Web Savings - file://C:\Programmi\WebSavingsfromEbates\System\Temp\ebateswebsavings_script0.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
è grave?
Grazie Ciao

wgator

20-07-2004, 07:16

Ciao,

ci sono parecchie entry associabili a problemi di malware. Sto andando al lavoro, poi ci guardo meglio. Intento dai un'occhiata a questi:

C:\Programmi\Window Cleanser\wcservice.exe
:confused: che roba è?

C:\WINDOWS\System32\reeufb.exe
O4 - HKLM\..\Run: [ioycit] C:\WINDOWS\System32\reeufb.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [Egrep] C:\WINDOWS\greporg.exe

C'è anche qualcos'altro... poi ci guardo bene

Ciao

wgator

20-07-2004, 20:18

Parola mia, non avevo mai visto un log così incasinato.
Chiedo a mia volta aiuto per interpretare queste voci:

C:\Programmi\Window Cleanser\wcservice.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\reeufb.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 10.0.0.3
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://10.0.0.2/
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)

O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\ELITEB~1.DLL (file missing)

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 32.dll (file missing)

O4 - HKLM\..\Run: [AHNUXE] C:\WINDOWS\AHNUXE.exe
O4 - HKLM\..\Run: [pghsp] C:\WINDOWS\pghsp.exe

O4 - HKLM\..\Run: [ioycit] C:\WINDOWS\System32\reeufb.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [Egrep] C:\WINDOWS\greporg.exe

O4 - HKCU\..\Run: [Ahmb] C:\Documents and Settings\sistema\Dati applicazioni\etoc.exe

O8 - Extra context menu item: Web Savings - file://C:\Programmi\WebSavingsfromEbates\System\Temp\ebateswebsavings_script0.htm

questi siti, considerati ok, non sono molto sicuri, cancellali
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com

Queste sono da cancellare
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) -

http://www.mt-download.com/MediaTicketsInstaller.cab

zio-zio

22-07-2004, 18:35

Lo sapevo che era un casino, se non ne esco che ne dici di formattare l'HDD, nel PC ci sono 2 HDD con 2 XP installati quello incasinato è 1 solo, è possibile?
GRAZIE per l'impegno, CIAO

wgator

22-07-2004, 18:51

Originariamente inviato da zio-zio
Lo sapevo che era un casino, se non ne esco che ne dici di formattare l'HDD, nel PC ci sono 2 HDD con 2 XP installati quello incasinato è 1 solo, è possibile?
GRAZIE per l'impegno, CIAO

Ciao,

bè... se pensi di formattare, prima prova a ricercare, da mod. provvisoria, tutti gli eseguibili e le dll che ho segnalato nel mio precedente post e cancellali. Poi con hijackthis fissa tutto quello che è rimasto. Secondo me ne vale la pena...

Il lungo elenco che ho segnalato, in qualche modo si riferisce a varie schifezze, quindi dovresti tentare di eliminare tutto.