AIUTO - HELP

[TonyManero71]

Salve ragazzi.
E' da un paio di giorni che ogni volta che mi collego in rete, dopo qualche minuto mi appare sulla barra degli strumenti un triangolo giallo con un punto esclamativo e appare una finestra con scritto SECURITY ALERT.
Dice che il mio pc è infetto da spyware e fino a quando non ci clicco sopra non sparisce...
Dopo averci cliccato mi manda in automatico ad una pagina web dalla quale dovrei scaricare un programma per ripulire il pc.
Ho provato di tutto, AdAware, SpyBoot, SpyDoctor, Antivirus, tutti aggiornati, li ho fatti girare anche in "modalità provvisoria" ma nulla, 'sto caxxo di messaggio appare sempre

Come posso fare?

Grazie a tutti

[TonyManero71]

Dimenticavo... Ho XP SP2

[Lord Darth Smagni]

ma trovano qualcosa e non riesci ad eliminare o non trovano proprio nulla?
hai deselezionato il ripristino di sistema?
visto che sei in ballo prova anche ewido

[TonyManero71]

Quote:

Originariamente inviato da Lord Darth Smagni

ma trovano qualcosa e non riesci ad eliminare o non trovano proprio nulla?
hai deselezionato il ripristino di sistema?
visto che sei in ballo prova anche ewido

hanno trovato qualcosa, ma ho rimosso tutto quello che è venuto fuori...

[halduemilauno]

Quote:

Originariamente inviato da TonyManero71

Salve ragazzi.
E' da un paio di giorni che ogni volta che mi collego in rete, dopo qualche minuto mi appare sulla barra degli strumenti un triangolo giallo con un punto esclamativo e appare una finestra con scritto SECURITY ALERT.
Dice che il mio pc è infetto da spyware e fino a quando non ci clicco sopra non sparisce...
Dopo averci cliccato mi manda in automatico ad una pagina web dalla quale dovrei scaricare un programma per ripulire il pc.
Ho provato di tutto, AdAware, SpyBoot, SpyDoctor, Antivirus, tutti aggiornati, li ho fatti girare anche in "modalità provvisoria" ma nulla, 'sto caxxo di messaggio appare sempre

Come posso fare?

Grazie a tutti

che spero tu non abbia scaricato. metti l'antispy della microsoft.

[TonyManero71]

Quote:

Originariamente inviato da halduemilauno

che spero tu non abbia scaricato. metti l'antispy della microsoft.

Cosa non devo aver scaricato?

[TonyManero71]

Se può servire, ecco il file txt creato da Hijack:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\progra~1\softwin\bitdef~2\bdmcon.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\progra~1\softwin\bitdef~2\bdnagent.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Softwin\BitDefender9\vsserv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Riccardo Cecchini\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tin.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programmi\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~2\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~2\bdnagent.exe
O4 - Global Startup: BtBalloon.dll
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O10 - Broken Internet access because of LSP provider 'c:\programmi\adwareremovergold.com\adware remover gold\apptoport.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1122048921907
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73944536-05C7-4B47-A135-0C65D2C51BFD}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[FOXYLADY]

Disattiva il ripristino di configurazione di sistema, fixa questo
C:\WINDOWS\system32\mssearchnet.exe
se non riesci a fixarlo in modalità normale prova in provvisoria

elimina tutti i file temporanei con ccleaner
e fai una scansione in provvisoria con
Ewido
ci sono altre cose poco chiare nel tuo log, ma intanto incomincia a fare quello che ti ho detto, poi vediamo il resto.

Ciao

[wgator]

Ciao,

ho dato una rapida occhiata al tuo log e mi è balzato all'occhio questo:
C:\WINDOWS\system32\mssearchnet.exe

prova a terminare con taskmanager mssearchnet.exe e, dopo aver attivato la visualizzazione di file e cartelle nascoste, vai in system32 e cancellalo. Se non riesci, riprova in modalità provvisoria.

Svuota i file temporanei e la cache di internet.
Riavvia il PC, lavoraci una mezz'oretta (su internet) poi chiudi tutti i programmi e il browser di internet e posta un nuovo log do Hjt completo di intestazione però

[wgator]

Quote:

Originariamente inviato da FOXYLADY

Disattiva il ripristino di configurazione di sistema, fixa questo
C:\WINDOWS\system32\mssearchnet.exe
se non riesci a fixarlo in modalità normale prova in provvisoria

ciao Foxy... come al solito non ho fatto il refresh

[TonyManero71]

Quote:

Originariamente inviato da FOXYLADY

Disattiva il ripristino di configurazione di sistema, fixa questo
C:\WINDOWS\system32\mssearchnet.exe
se non riesci a fixarlo in modalità normale prova in provvisoria

elimina tutti i file temporanei con ccleaner
e fai una scansione in provvisoria con
Ewido
ci sono altre cose poco chiare nel tuo log, ma intanto incomincia a fare quello che ti ho detto, poi vediamo il resto.

Ciao

Ho fatto come mi hai detto ed è andato tutto ok, ho cancellato il file che generava il messaggio, ho passato ccleaner e passato ewido in provvisora... tutto pulito!
Ti ringrazio veramente tantissimo.

Dici ci sono cose poco chiare.... vedi altro da eliminare?

[TonyManero71]

Quote:

Originariamente inviato da wgator

Ciao,

ho dato una rapida occhiata al tuo log e mi è balzato all'occhio questo:
C:\WINDOWS\system32\mssearchnet.exe

prova a terminare con taskmanager mssearchnet.exe e, dopo aver attivato la visualizzazione di file e cartelle nascoste, vai in system32 e cancellalo. Se non riesci, riprova in modalità provvisoria.

Svuota i file temporanei e la cache di internet.
Riavvia il PC, lavoraci una mezz'oretta (su internet) poi chiudi tutti i programmi e il browser di internet e posta un nuovo log do Hjt completo di intestazione però

E' questo il log do Hjt?

Logfile of HijackThis v1.99.1
Scan saved at 22.13.27, on 12/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\progra~1\softwin\bitdef~2\bdnagent.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~2\bdmcon.exe
C:\Documents and Settings\Riccardo Cecchini\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tin.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tin.it/
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programmi\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~2\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~2\bdnagent.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - Global Startup: BtBalloon.dll
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O10 - Broken Internet access because of LSP provider 'c:\programmi\adwareremovergold.com\adware remover gold\apptoport.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1122048921907
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73944536-05C7-4B47-A135-0C65D2C51BFD}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[wgator]

Ciao,

probabilmente è a posto, l'unica cosa, e credo di interpretare il dubbio di Foxylady, che è anche un dubbio mio:

C:\Programmi\Bonjour\mDNSResponder.exe

Sai di cosa si tratta?

Se è una cosa che conosci, direi che il resto è a posto.
Ci sono solo alcuni file "orfani" (quelli indicati come "file missing") che, se vuoi puoi fissare. Si tratta di residui di applicazioni che probabilmente hai disinstallato ma anche se rimangono non creano problemi

[FOXYLADY]

Quote:

Originariamente inviato da wgator

Ciao,

probabilmente è a posto, l'unica cosa, e credo di interpretare il dubbio di Foxylady, che è anche un dubbio mio:

C:\Programmi\Bonjour\mDNSResponder.exe

Sai di cosa si tratta?

Se è una cosa che conosci, direi che il resto è a posto.
Ci sono solo alcuni file "orfani" (quelli indicati come "file missing") che, se vuoi puoi fissare. Si tratta di residui di applicazioni che probabilmente hai disinstallato ma anche se rimangono non creano problemi

Si infatti è proprio quello che mi lascia un pò dubbioso e anche questo
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll

Ciao

[TonyManero71]

Quote:

Originariamente inviato da FOXYLADY

Si infatti è proprio quello che mi lascia un pò dubbioso e anche questo
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll

Ciao

Ragazzi ho risolto, tutto ok, ho seguito le vostre indicazioni è funziona tutto.

Grazieeeeeeeeeeeeeeeeeeeeee

Il file Bonjour è stato installato da I Tunes5 ma non è nulla di dannoso. In ogni caso è un servizio e così l'ho disabilitato.

[wgator]

Quote:

Originariamente inviato da TonyManero71

Il file Bonjour è stato installato da I Tunes5 ma non è nulla di dannoso. In ogni caso è un servizio e così l'ho disabilitato.

Ciao,

sempre detto che iTunes è un mezzo virus
Scherzi a parte, è troppo invasivo