Molte grazie per i consigli che ho seguito alla lettera. :ave:
Dopo l'uso dei vari antispyware ho provato a fare un controllo con HijackThis, ed è emerso "child.dll". :eekk:
Facendo alcune ricerche su newsgroup ho trovato la soluzione
Rimosso e risolto. :winner: :yeah:
Alcune soluzioni:
http://groups.google.it/groups?hl=it&lr=lang_it&ie=UTF-8&threadm=NTPyb.11603%24i_5.3811%40news.edisontel.com&rnum=3&prev=/groups%3Fas_epq%3Dchild%2520dll%26ie%3DUTF-8%26lr%3Dlang_it%26hl%3Dit
> Salve
> ho un problema che sta diventando esasperante e spero che qualcuno sappia
> come risolvere
Risolto
Dopo aver provato inutilmente anche con Nod32 Fprot e mezza dozzina di
anti-trojan
ho cercato tra i fiele .dll che utilizzavano explorer.exe e ho cancellato
quello che mi "puzzava" di + (child.dll) dato che non risultava essere un
file di windows o di un programma conosciuto
Da quel momento non c'è stata + nessuna richiesta di connessione a nessun
sito e a me tanto basta
Se qualcuno mi sa dire che cos'è bene se no fa lo stesso
Mi sono tolto una seccatura davvero esasperante
http://groups.google.it/groups?hl=it&lr=lang_it&ie=UTF-8&threadm=9duvvvo3mn2kplanvcgo6b011ht0h2k9sc%404ax.com&rnum=2&prev=/groups%3Fas_epq%3Dchild%2520dll%26ie%3DUTF-8%26lr%3Dlang_it%26hl%3Dit
On Sat, 10 Jan 2004 13:26:44 +0100,
[email protected] (carmine)
wrote:
>> Cavolo, scorrendo indietro nel Ng ho trovato un post: Variante Trojan
>> via Kazaa, in cui viene descritta una "sitomatologia" simile al mio
>> caso. Ho fatto un po' di ricerca nel Pc e ho trovato 2 file
>> incriminati:
>> map.txt e child.dll invece non ho trovato msdos.exe
>> Che devo fare? Li elimino?
>
>
>> Leftorium, Il blog Riformista
>> http://clik.to/leftorium
>
>ho lo stesso problema.
>
>Lo hari risolto ? In che modo ?
Se trovi i due precedenti file (map.txt e child.dll), segnati le
directory, vai in Dos ed eliminale. E' un trojan che si becca con
programmi di p 2 p.
Ciao.
Nell'occasione pubblico il log di HijackThis a computer "infetato" per eventuali altri controlli:
Logfile of HijackThis v1.98.1
Scan saved at 8.57.28, on 03/08/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\SYGATE\SPF\SMC.EXE
C:\PROGRAMMI\ESET\NOD32KRN.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\PROGRAMMI\ESET\NOD32KUI.EXE
C:\WINDOWS\ptsnoop.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAMMI\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
D:\DOWNLOADS\GESTIONE COMPUTER\EMAIL POP3\HTML2POP3122WIN32\HTML2POP3.EXE
D:\DOWNLOADS\GESTIONE COMPUTER\PROGRAMMI IN ESECUZIONE\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pcw.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMMI\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\PROGRAMMI\TECHSMITH\SNAGIT 7\SNAGITIEADDIN.DLL
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMMI\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Programmi\Eset\nod32krn.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRAMMI\FLASHGET\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRAMMI\FLASHGET\jc_all.htm
O8 - Extra context menu item: Apri PDF in Word - res://C:\Programmi\ScanSoft\PDF Converter\IEShellExt.dll /400
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMMI\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMMI\FLASHGET\FLASHGET.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.pcw.it
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {8A455DE7-BC13-11D5-BB09-444553540000} (NetsystemDialerAcx Control) - http://www.netsystem.com/acx/NSDialerAcx.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - http://www.parallelgraphics.com/bin/cortvrml10.cab
O18 - Protocol: msell - {E90F00EC-3694-11D2-99FE-00104B2D62CC} - (no file)
O21 - SSODL: OLEAutomationModule - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\child.dll
Probabilmente c'è qualche altro problema ... è 3 anni che non formatto
Grazie di nuovo. :D