Problema: Accesso a pagine internet indesiderato

Peter Pan 76 · 07-02-2006, 13:18

Ho aperto un file, AntiVir Pe mi ha detto che poteva essere dannoso ma per errore gli ho detto di ignorarlo ed adesso ho un problema:

ogni tanto il mio browser tenta di connttersi ad una pagina (che varia). Naturlamente, visto che Firefox e NoScript, la pagina si apre ma non si carica.

Ho gia provato nell'ordine con:
- Scansione di AntiVir Pe
- Spybot
- AdAware
- aSquared
- l2mfix

Dalla scansione di hijackThis e la sua relativa prova su internet mi ritrovo ogni volta un file del genere:

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\dnnm0151e.dll

Anch'esso varia tutte le volte e non riesco ad impedire che venga ricreato (percgè non ho scoperto chi lo crea!!!)

L'unico modo che ho per evitare che si aprano queste pagine internet è quello di bloccare l'accesso tramite Kerio. Quì ho scoperto che è il file winlogon.exe che cerca di andare su internet. Adesso non ho più pagine che si aprono ma vorrei eliminare definitivamente questo "coso" dal mio pc.
Qualche consiglio?

luca9lives · 07-02-2006, 13:59

Prova a fare una scansione con Ewido, ww*.ewido.net.

andorra24 · 07-02-2006, 13:59

Posta un log di hijackthis.

Peter Pan 76 · 07-02-2006, 15:52

Questo è il log fatto da Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16.49.30, on 07/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\Programmi\ATITool\ATITool.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Peter Pan\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTStartup] "C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /A "C:\WINDOWS\system32\E_S2.tmp"
O4 - HKCU\..\RunOnce: [CTStartup] "C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE" /play
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
O4 - Global Startup: ATITool.lnk = C:\Programmi\ATITool\ATITool.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati da Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica sito web con Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\lv32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

andorra24 · 07-02-2006, 16:02

Fixa:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\lv32.dll
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)

tutmosi3 · 07-02-2006, 16:02

Non credo sia roba da fare paura, però vorrei sapere cos'è questa voce.

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe

Ciao

andorra24 · 07-02-2006, 16:06

Quote:

Originariamente inviato da tutmosi3

Non credo sia roba da fare paura, però vorrei sapere cos'è questa voce.

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe

Ciao

E' una voce innocua, in pratica YzShadow è un programma che aggiunge un effetto ombra alle finestre di windows. In più rende semitrasparenti i menu a discesa, per un'interfaccia sempre più "alla moda".

tutmosi3 · 07-02-2006, 16:12

Grazie Andorra.

Me l'ero intagliata che non era una cosa pericolosa, ma non sapevo cosa fosse.

Ciao

Peter Pan 76 · 07-02-2006, 16:36

Quote:

Originariamente inviato da andorra24

Fixa:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\lv32.dll
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)

Per questi quì:
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
non ho molto da fare. Sono file per il mio server web su windows.

Probabilmente anche il primo:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
fa riferimento ad un'impostazione relativa al server web

L'unico che non so cosa sia e non trovo nessuna notizia su come eliminarlo:
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\lv32.dll

andorra24 · 07-02-2006, 16:50

Quote:

Originariamente inviato da Peter Pan 76

Per questi quì:
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
non ho molto da fare. Sono file per il mio server web su windows.

Hijackthis le vede come voci mancanti (file missing), per questo ti ho detto di fixarle.

Quote:

Originariamente inviato da Peter Pan 76

L'unico che non so cosa sia e non trovo nessuna notizia su come eliminarlo:
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\lv32.dll

Questo e' un adware e va tolto. Fai il fix con hijackthis.

07-02-2006, 13:18	#1
Peter Pan 76 Member Iscritto dal: Sep 2003 Città: Firenze Messaggi: 183	Problema: Accesso a pagine internet indesiderato Ho aperto un file, AntiVir Pe mi ha detto che poteva essere dannoso ma per errore gli ho detto di ignorarlo ed adesso ho un problema: ogni tanto il mio browser tenta di connttersi ad una pagina (che varia). Naturlamente, visto che Firefox e NoScript, la pagina si apre ma non si carica. Ho gia provato nell'ordine con: - Scansione di AntiVir Pe - Spybot - AdAware - aSquared - l2mfix Dalla scansione di hijackThis e la sua relativa prova su internet mi ritrovo ogni volta un file del genere: O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\dnnm0151e.dll Anch'esso varia tutte le volte e non riesco ad impedire che venga ricreato (percgè non ho scoperto chi lo crea!!!) L'unico modo che ho per evitare che si aprano queste pagine internet è quello di bloccare l'accesso tramite Kerio. Quì ho scoperto che è il file winlogon.exe che cerca di andare su internet. Adesso non ho più pagine che si aprono ma vorrei eliminare definitivamente questo "coso" dal mio pc. Qualche consiglio? __________________ AMD FX-8350 BLACK EDITION - 4 GHZ, Asus Sabertooth R2.0, Corsair 16GB Platinum, RADEON R9 280X 3 GB GDDR5

07-02-2006, 15:52	#4
Peter Pan 76 Member Iscritto dal: Sep 2003 Città: Firenze Messaggi: 183	Questo è il log fatto da Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 16.49.30, on 07/02/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4ss.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Programmi\Logitech\iTouch\iTouch.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE C:\Programmi\ATITool\ATITool.exe C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4gui.exe C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Peter Pan\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTStartup] "C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE" /run O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /A "C:\WINDOWS\system32\E_S2.tmp" O4 - HKCU\..\RunOnce: [CTStartup] "C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE" /play O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe O4 - Global Startup: ATITool.lnk = C:\Programmi\ATITool\ATITool.exe O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm O8 - Extra context menu item: Scarica selezionati da Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm O8 - Extra context menu item: Scarica sito web con Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\lv32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4ss.exe O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe __________________ AMD FX-8350 BLACK EDITION - 4 GHZ, Asus Sabertooth R2.0, Corsair 16GB Platinum, RADEON R9 280X 3 GB GDDR5

07-02-2006, 16:02	#6
tutmosi3 Senior Member Iscritto dal: Sep 2004 Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset Messaggi: 23966	Non credo sia roba da fare paura, però vorrei sapere cos'è questa voce. O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe Ciao __________________ Sorridi ... Sempre, anche quando le cose non vanno\|2 aprile 2005, ore 21:37 - Giovanni Paolo II vive NAS\|Quello su Libero e su Splinder, non sono io\|Test RAM

07-02-2006, 16:12	#8
tutmosi3 Senior Member Iscritto dal: Sep 2004 Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset Messaggi: 23966	Grazie Andorra. Me l'ero intagliata che non era una cosa pericolosa, ma non sapevo cosa fosse. Ciao __________________ Sorridi ... Sempre, anche quando le cose non vanno\|2 aprile 2005, ore 21:37 - Giovanni Paolo II vive NAS\|Quello su Libero e su Splinder, non sono io\|Test RAM

07-02-2006, 13:59	#2
luca9lives Senior Member Iscritto dal: Sep 2005 Città: Genova Messaggi: 538	Prova a fare una scansione con Ewido, ww*.ewido.net.

07-02-2006, 13:59	#3
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Posta un log di hijackthis.

Strumenti
Mostra una versione stampabile Invia questa pagina per email