Spyware o virus?

[RandyOrton91]

Salve, oggi girando sul web mi sono imbattuto in un sito che faceva vedere video di wrestling, però mi chiedeva di installare un file(di nome setup.exe), installato non mi è successo niente, anche perchè Avast non mi ha detto nulla di virus o altro, il problema ora è che quando accendo il pc vicino all'orologio mi compare questa icona(http://img116.imageshack.us/img116/4074/iconafk5.jpg) che mi porta questo sito http://www.spycrush.com/?aff=334, ho disinstallato il programma, fatto pulizia con spybot ma il problema persiste ancora, cosa devo fare?

[c.m.g]

Quote:

Originariamente inviato da RandyOrton91

Salve, oggi girando sul web mi sono imbattuto in un sito che faceva vedere video di wrestling, però mi chiedeva di installare un file(di nome setup.exe), installato non mi è successo niente, anche perchè Avast non mi ha detto nulla di virus o altro, il problema ora è che quando accendo il pc vicino all'orologio mi compare questa icona(http://img116.imageshack.us/img116/4074/iconafk5.jpg) che mi porta questo sito http://www.spycrush.com/?aff=334, ho disinstallato il programma, fatto pulizia con spybot ma il problema persiste ancora, cosa devo fare?

la sezione corretta è questa:

http://www.hwupgrade.it/forum/forumdisplay.php?f=125

p.s.: edita il link che hai citato onde evitare che qualche utonto si infetti.

[mausap]

Quote:

Originariamente inviato da RandyOrton91

Salve, oggi girando sul web mi sono imbattuto in un sito che faceva vedere video di wrestling, però mi chiedeva di installare un file(di nome setup.exe), installato non mi è successo niente, anche perchè Avast non mi ha detto nulla di virus o altro, il problema ora è che quando accendo il pc vicino all'orologio mi compare questa icona(http://img116.imageshack.us/img116/4074/iconafk5.jpg) che mi porta questo sito http://www.spycrush.com/?aff=334, ho disinstallato il programma, fatto pulizia con spybot ma il problema persiste ancora, cosa devo fare?

www.spycrush.com ip : 85.255.117.206

Ancora una volta i russi/ucraini di gromozon team

IL TUO PC é superinfetto .... devi assolutamente cambiare antivirus

Col firewall blocca tutto questo range 85.255.112.0 - 85.255.127.255

e fai un controllo super approfondito del sistema anche con antirotkit gmer

Se non riesci a ripulire meglio formattare perchè il tuo pc potrebbe essere completamente in mano loro da remoto. Questi sono degli ossi durissimi

[xcdegasp]

sempre avast di mezzo.... sembrano casualità

[Alfaluca]

Quote:

Originariamente inviato da xcdegasp

sempre avast di mezzo.... sembrano casualità

ma perche' un azienda cosi' conosciuta lascia andare in picchiata il proprio prodotto di punta? anche col pro c'è la stessa situazione?

[xcdegasp]

Quote:

Originariamente inviato da Alfaluca

ma perche' un azienda cosi' conosciuta lascia andare in picchiata il proprio prodotto di punta? anche col pro c'è la stessa situazione?

non so' il perchè, tra un po' il prodotto di microsoft lo supera... il che è tutto dire

[lancetta]

e il bello è che tanti presunti guru del pc continuano a levare norton(appena scaduto) dal pc nuovo degli amici(superniubbi...io sono solo niubbo) e gli installano il succitato antivirus atteggiandosi a figoni informatici dicendo:"questo non ti scadrà mai più" come se avessero fatto chissà quale magnanimo regalo (chiaramente senza spiegare che è free)

[RandyOrton91]

Quote:

Originariamente inviato da mausap

www.spycrush.com ip : 85.255.117.206

Ancora una volta i russi/ucraini di gromozon team

IL TUO PC é superinfetto .... devi assolutamente cambiare antivirus

Col firewall blocca tutto questo range 85.255.112.0 - 85.255.127.255

e fai un controllo super approfondito del sistema anche con antirotkit gmer

Se non riesci a ripulire meglio formattare perchè il tuo pc potrebbe essere completamente in mano loro da remoto. Questi sono degli ossi durissimi

Come firewall ho outpost + quello del router, va bene?

Che antivirus mi consigli di mettere?

[lancetta]

Quote:

Originariamente inviato da RandyOrton91

Come firewall ho outpost + quello del router, va bene?

Che antivirus mi consigli di mettere?

la linea di pensiero consiglia antivir...ma sopratutto evita di installare eseguibili che non conosci il miglior antivirus..sei tu!

[mausap]

Quote:

Originariamente inviato da RandyOrton91

Come firewall ho outpost + quello del router, va bene?

Che antivirus mi consigli di mettere?

Allora faccio una cosa rapida

Se puoi spendere kaspersky 7 (l'unico che offre una vera difesa ed è pure abbastanza leggero) Nod32 io l'ho abbandonato ed ero un fan per la sua leggerezza ma non becca nulla delle nuove minacce.

Se free Antivir 7 o Active virus shield by kaspersky

outpost va benissimo come firewall


Ti consiglio 3 tool utilissimi

sandboxie : non si puo' navigare con I. explorer senza sandbox in questo periodo

sandboxie lo puoi usare anche con FF e con il client di posta.


per vedere se sei infetto servono

gmer (antirootkit)
e hijackthis

usa l'account limitato (guest)

e leggiti il mio blog ogno tanto :-)

http://maipiugromozon.blogspot.com/

questa è una mini lista di simpaticoni da bloccare (pericolosissimi!!) quella completa sta sul mio blog:

89.253.192.0 - 89.253.255.255 RUSONYX-NET Russia
89.108.64.0 - 89.108.71.255 AGAVA-DATACENTER-NET Russia
88.214.192.0 - 88.214.255.255 UK-UAONLINE UK
87.248.208.22 system doctor Limelight Networks Inc Netherlands
87.248.163.0 - 87.248.163.255 SC STARNET SRL Moldova
85.255.112.0 - 85.255.127.255 Inhoster hosting company Ucraina
85.249.128.0 - 85.249.143.255 DATAPOINT-NET1 Russia
84.252.152.0 - 84.252.159.255 RUSONYX-NET Russia
82.208.60.0 - 82.208.63.255 UPL-TELECOM-CZ Czech Republic
82.204.219.0 - 82.204.219.255 POCHTA_RU-NET Russia
81.95.148.0 - 81.95.151.255 Too Coin Software Limited Russia
81.9.5.0 - 81.9.5.255 ELTEL Russia
81.29.240.0 -81.29.242.63 GLOBALTRADE-NET-1 Russia
81.177.8.0 - 81.177.9.255 Consult It Co. Ltd Russia
81.177.16.0 - 81.177.17.255 NETHOUSE-MOSCOW Russia
81.0.250.0 - 81.0.250.255 UPL TELECOM, s.r.o
80.77.80.0 - 80.77.95.255 UK-UAONLINE UK
66.244.254.64, 66.244.254.63 Big Pipe Inc.Canada
217.11.233.0 - 217.11.233.255 UPL-TELECOM-CZ Czech Republic
213.186.116.0 - 213.186.116.255 Utel DataCenter networks. Colocation Ucraina
212.176.41.8 GRL-EQUANT-NET russia
206.161.121.115 Beyond The Network America, Inc. Usa (server Russo)
204.16.207.50 Setupahost Canada
204.16.204.56 Setupahost Canada
195.95.218.0 - 195.95.219.255 INHOSTER Ucraina
195.238.242.0 - 195.238.242.255 MEDIADAT-MOLDOVA
195.234.159.0 - 195.234.159.255 LINO-NET Israele
195.225.176.0 - 195.225.179.255 NETCATHOST Ucraina
194.146.204.0 - 194.146.207.255 Nevacon Ltd Russia
194.135.19.0 - 194.135.19.255 RELCOM.BUSINESS NETWORK" Ltd. Russia
58.65.239.180 HOSTFRESH Hong Kong

[lancetta]

[quote=mausap;17545772]

sandboxie : non si puo' navigare con I. explorer senza sandbox in questo periodo

sandboxie lo puoi usare anche con FF e con il client di posta.


quoto tutto ma sopratutto straquoto sandboxie e ci puoi sandboxare quasi tutto.....mitico!!!

edit:ci aggiungo anche sopratutto di navigare con account limitato...importantissimo.

[RandyOrton91]

Come si bloccano con outpost?

[RandyOrton91]

Scusate una cosa, ma come si usa gmer li?Ho fatto scan ma na volta finito che premo? Ok?

[xcdegasp]

Quote:

Originariamente inviato da RandyOrton91

Come si bloccano con outpost?

puoi installare blockpost ma io sinceramente eviterei di farlo, ancor peggio l'installare peerguardian...
la lista reale è molto più lunga ed è inutile basarsi ancora su una lista, proprio per il fatto che basta cambiare dominio e sei al punto di partenza.

l'unica è il buon senso.

ps: disabilita il modulo antispyware di outpost e installa "antispyware terminator" ma tieni il modulo hisp disabilitato

[RandyOrton91]

Hijack this mi da questo:

Logfile of HijackThis v1.99.1
Scan saved at 23.04.03, on 16/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\Ale\IMPOST~1\Temp\Rar$EX04.609\HijackThis.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



Ragazzi su un'altro forum ho letto che un utente, avendo il mio stesso problema è andato in modalità provvisoria ed ha eliminato il file C:\WINDOWS\system32\yesgnhr.dll che faccio?Provo anche io?

[RandyOrton91]

Come non detto, sono andato in system32 ma il file non c'è(non è neanche nascosto).

[RandyOrton91]

Ragazzi ho risolto