finestre che indicano spyware

[pessotto]

sono stufo ogni vota che apro internet explorer mi appaiono delle finestre:
1)gialla, con scritta grande WARNING; your computer has been exposed to parasites known as spyware
2)adware,spyware,popups...detected os WINDOWS XP,browser INTERNET EXPLORER etc etc
3)spyware detected,microsoft int explorer,mio numero IP e scitta in blu DONWLOAD ANTI SPYWARE
4) spyware removal-your computer is infected with spyware end adware
5) attention e pupazzi verdi che si muovono

Pur avendo adware non riesco a eliminare il problema, ho provato altri antispyware ma niente...
cosa mi consigliate?

[skitch]

Un buon firewall,tenere sempre aggiornati i programmi ed evitare siti a rischio

[MrOZ]

- aggiornare windows con le patch microsoft
- disabilitare windows messenger
- utilizzare un buon firewall correttamente settato
- utilizzare un antivirus aggiornato
- fare anche scan con av online
- usare adaware6 e spybot 1.3 aggiornati
- utilizzare CWShredder




- ultima chance: scan e log di hijackthis

[pessotto]

[quote]Originariamente inviato da MrOZ
- fare anche scan con av online


QUALE?

- utilizzare CWShredder


COS'E?

[axxaxxa3]

[quote]Originariamente inviato da pessotto

Quote:

Originariamente inviato da MrOZ
- fare anche scan con av online


QUALE?

- utilizzare CWShredder


COS'E?

CW Shredder è un software molto efficiente che rimuove molte "schifezze" nel computer.
Scaricalo da qui:
http://news.swzone.it/swznews-10799.php

Per lo scan con l'atntivirus...ce ne son molti
Per esempio questo della Mcafee
http://us.mcafee.com/root/mfs/default.asp

oppure quest'altro della symantec.
http://security2.norton.com/sscv6/de...d=ie&venid=sym

Ce ne sono tanti altri...scegli quello che più ti aggrada!

[pessotto]

fortunatamente con una scansione online, adware..e windows update quei stramaledettissimi non ci sono piu!!!!!!

grazie mille davvero

[axxaxxa3]

Quote:

Originariamente inviato da pessotto
fortunatamente con una scansione online, adware..e windows update quei stramaledettissimi non ci sono piu!!!!!!

grazie mille davvero

Figurati!
P.S hai pvt!

[pessotto]

ho fatto scansione online ed ha rrovato trojan che non è riuscito a eliminare.... startpade.DI
adware 6 e spybot hanno fatto il loro dovere ma alla fine mi appare la finestra che mi indica che c'è uno spyware di nuovo...
cosa devo fare?

[Jaguar64bit]

Posta il log di Hijackthis.

[wilson]

anche io ho lo stesso problema delle finestre che compaiono......e nn riesco a rimuoverle con nulla,che altro posso fare ?

[PERPAX]

mi accodo ce l'ho anche io... provato

avg antivirus
spybot
cswsrhedder
ad ware 6.0 niente

[pessotto]

Logfile of HijackThis v1.97.7
Scan saved at 13.10.04, on 06/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\vanBasco's Karaoke Player\vmidi.exe
C:\Programmi\File comuni\Real\Update_OB\realevent.exe
C:\Programmi\File comuni\Real\Update_OB\realevent.exe
C:\Documents and Settings\x\Documenti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jbjd.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jbjd.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jbjd.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jbjd.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jbjd.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jbjd.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8B1AF3B2-ED32-402D-A68D-2AC4AA5CA57E} - C:\WINDOWS\System32\jbjd.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .kar: C:\Programmi\Internet Explorer\PLUGINS\npvmidi.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9AFB599-966F-4845-8F9B-3BD1FEF92916}: NameServer = 193.70.192.25 193.70.152.25

[MrOZ]

Segui questa procedura x eliminare la dll jbjd.dll --> http://forum.hwupgrade.it/showthread...hreadid=693374

poi lancia CWShredder ed adaware6.

Infine con hijackthis elimina quello che rimane di queste stringhe (elimina anche tutto ciò che si riferisce al jbjd.dll):

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {8B1AF3B2-ED32-402D-A68D-2AC4AA5CA57E} - C:\WINDOWS\System32\jbjd.dll
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

Riavvia e cancella la cartella C:\Programmi\MyWay.

[PERPAX]

ho risolto con cswshredder 1.59

[pessotto]

"Infine con hijackthis elimina quello che rimane di queste stringhe (elimina anche tutto ciò che si riferisce al jbjd.dll)"


Ma con il programma posso eliminare??? e come?
anche con CW come faccio a eliminare le chiavi che non vanno?

scusate l'ignoranza

[MrOZ]

CON CWShredder premi il bottone "Fix".

Con Hijackthis selezioni le caselle con le stringhe da eliminare e poi premi "Fix checked"

[kaan]

MrOZ per favore, puoi analizzare questo log? Grazie

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Linksts.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINNT\system32\ctfmon.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.catlist.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A594FEA4-3ECC-4643-9E75-EEEEA294FAD3} - C:\WINNT\system32\abjbaea.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A19BD47D-9DB5-4239-BE19-5C5AFAA66C12}: NameServer = 212.245.255.2

[wgator]

Ciao,

bè... queste saltano decisamente all'occhio come note schifezze.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\abjbaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

O2 - BHO: (no name) - {A594FEA4-3ECC-4643-9E75-EEEEA294FAD3} - C:\WINNT\system32\abjbaea.dll

[kaan]

Quel pc mi sta facendo impazzire (è anche vero che sto cercando di risolvere i problemi via telefono )
Allora: l'antivirus non trova nulla, ad-aware e spybot (aggiornati) non risolvono il problema, CWShredder si blocca dopo aver iniziato la scansione, provo a pulire il file hosts, ma dopo torna come prima.
Quei riferimenti ad abjbaea.dll li ho fatti mettere, forse sbagliando, in ignore list ed il file l'ho fatto eliminare.
Non mi resta che provare il metodo descritto da MrOZ nell'altro thread.

[wgator]

Quote:

Originariamente inviato da kaan
Quel pc mi sta facendo impazzire (è anche vero che sto cercando di risolvere i problemi via telefono )
Allora: l'antivirus non trova nulla, ad-aware e spybot (aggiornati) non risolvono il problema, CWShredder si blocca dopo aver iniziato la scansione, provo a pulire il file hosts, ma dopo torna come prima.
Quei riferimenti ad abjbaea.dll li ho fatti mettere, forse sbagliando, in ignore list ed il file l'ho fatto eliminare.
Non mi resta che provare il metodo descritto da MrOZ nell'altro thread.

Ciao,

hai provato a cancellare tutte quelle voci direttamente con hijackthis, a cominciare dalla dll?

Non ho capito bene il discorso del file hosts Forse il malware te lo cambia?

Visto che hai spybot, utilizza direttamente l'hosts di spybot (è ben fornito) e mettilo in sola lettura...