|
|||||||
|
|
|
 |
|
|
Strumenti |
23-06-2005, 10:33
|
#1 |
|
Junior Member
Iscritto dal: May 2005
Città: Torino
Messaggi: 12
|
Dialer e popup automatici...
Ciao a tutti, chiedo scusa se aprirò magari l'ennesimo post su questioni di questo genere, ho spulciato il forum ed eseguito più e più volte le operazioni consigliate... senza però risolvere il mio problema.
Fino a ieri l'unica noia che avevo era, all'apertura di explorer, l'apertura di un'altra finestra explorer che a random spaziava su vari siti che si riproponevano in "circolo". Da oggi, dopo che il mio maturando fratello si è fatto infinocchiare da vari siti "qui trovi la seconda prova della matura", ho anche una sorta di dialer che non riesco proprio a levare, associato al sito "www.sfonditalia.biz". Ho già usato AD AWARE aggiornato ed Hijack this ma niente... per ciò che concerne il primo credo di aver localizzato la linea incriminata, peccato che quando la rimuovo e vado poi a cercare il file relativo (C:\windows\system32\elitecme32.exe) non trovi assolutamente nulla...ed al riavvio hijiack mi trova sempre la stessa linea per il secondo invece non so proprio che fare, ho elminato tutti i file ad esso associati eppure ogni tanto mi avvia in automatico una procedura di installazione che mi riporta sul desktop un collegamento explorer al sito di cui sopra ed un'icona "WinMoviePlugin" avete qualche suggerimento? perchè fra il caldo e l'incazzatura sto per formattare tutto....  Lascio qui il log di Hijhack Logfile of HijackThis v1.99.1 Scan saved at 11.22.27, on 23/06/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\Programmi\Norton AntiVirus\navapsvc.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe C:\Programmi\File comuni\Sonic Shared\cinetray.exe C:\Documents and Settings\Rossetti\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitecme32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = ? O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe O15 - Trusted Zone: www.realarea.biz O15 - Trusted Zone: www.sfonditalia.biz O17 - HKLM\System\CCS\Services\Tcpip\..\{64CE2C22-99E5-4720-9FA5-E18C329E58FF}: NameServer = 151.99.125.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{C69B1CB7-84CC-409B-A2CA-75BDB4617505}: NameServer = 193.70.152.15 193.70.152.25 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe |
|
|
|
23-06-2005, 10:48
|
#2 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
a parte le schifezze evidenziate dal log di HJT che avrai sicuramente localizzato e cancellato, (tipo "elitecme32.exe" in esecuzione automatica e vbsys2.dll" in system 32) avrai notato che in "Trusted Zone" ovvero, strumenti ->opzioni Internet -> protezione -> siti attendibili, ti si sono piazzati degli indirizzi immondi che devi togliere. Non sarebbe neppure una cattiva idea localizzare il file "HOSTS" e controllare eventuali modifiche. Altra cosa estremamente opportuna è quella di cancellare il contenuto di tutte le cartelle temporanee e dei temporanei di internet, e di disattivare quel ricettacolo di immondizie che Microsoft chiame "ripristino della configurazione del sistema". Non formattare per così poco, non è il caso  P.S. scusatemi se "pontifico"  ma non installare il service pack 2 oggi come oggi, significa solo volersi fare del male  EDIT: ah, dimenticavo: per poter vedere (e cancellare) i file come elitecme32.exe et similia, occorre accertarsi che sia abilitata la visualizzazione di file e cartelle nascoste, file di sistema ecc.
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB Ultima modifica di wgator : 23-06-2005 alle 10:52. |
|
|
|
|
23-06-2005, 10:50
|
#3 | |
|
Senior Member
Iscritto dal: Sep 2004
Città: Prov. Novara/Palmdale
Messaggi: 5228
|
Quote:
|
|
|
|
|
|
23-06-2005, 10:52
|
#4 |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Fixa questi:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746 O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitecme32.exe O15 - Trusted Zone: www.realarea.biz O15 - Trusted Zone: www.sfonditalia.biz O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll Ultima modifica di andorra24 : 23-06-2005 alle 10:57. |
|
|
|
|
23-06-2005, 11:00
|
#5 | |
|
Junior Member
Iscritto dal: May 2005
Città: Torino
Messaggi: 12
|
Quote:
Perdona la mia ignoranza ma non credo di aver ben capito cosa mi suggerisci di fare col file "hosts"  Adesso vedrò di ripulire i temporanei, sperando che explorer non mi si inchiodi come sempre... P.s. cmq il file che mi crea "WinMoviePlugin" ha come percorso c:/windows/system32/ Ultima modifica di nemseck : 23-06-2005 alle 11:05. |
|
|
|
|
|
23-06-2005, 11:01
|
#6 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Per EliteTool Bar che un removal apposito:
http://www.scanwith.com/EliteToolbar...r_download.htm |
|
|
|
|
23-06-2005, 11:02
|
#7 | |
|
Senior Member
Iscritto dal: Sep 2004
Città: Prov. Novara/Palmdale
Messaggi: 5228
|
Quote:
"O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll"...riconducibile ad un Trojan"clicker"(ne ha già parlato Bluepix..)..Ciao.. Edit..sono arrivato tardi...
|
|
|
|
|
|
23-06-2005, 11:22
|
#8 | |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Quote:
bè... prova a fare: start -> cerca e scrivi HOSTS. Quando trova il file (non ha estensione) aprilo con il notepad e verifica che sia come questo: # Copyright (c) 1993-1999 Microsoft Corp. # # Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows. # # Questo file contiene la mappatura degli indirizzi IP ai nomi host. # Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe # trovarsi nella prima colonna seguito dal nome host corrispondente. # L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio # o punto di tabulazione. # # È inoltre possibile inserire commenti (come questi) nelle singole righe # o dopo il nome del computer caratterizzato da un simbolo '#'. # # Per esempio: # # 102.54.94.97 rhino.acme.com # server origine # 38.25.63.10 x.acme.com # client host x 127.0.0.1 localhost
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
|
23-06-2005, 11:28
|
#9 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Altra cosa che ho dimenticato:
in strumenti ->opzioni Internet -> protezione controlla che tutte le aree siano settate in "livello predefinito"
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
23-06-2005, 11:32
|
#10 |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Cerca di navigare con un browser alternativo tipo firefox. Internet explorer usalo soprattutto per i windows update.
|
|
|
|
|
23-06-2005, 11:46
|
#11 |
|
Junior Member
Iscritto dal: May 2005
Città: Torino
Messaggi: 12
|
grazie a tutti davvero, non voglio urlarlo troppo forte ma forse ho risolto i problemi!
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 13:29.
