http://www.errorsafe.com/pages/scanner/index.php? ...

[w.tommasi]

Da un bel po' di tempo improvvisamente mi si apre il browser ( uso SlimBrowser ) ma credo che altrimenti partirebbe Internet Explorer e tenta di collegarsi all'indirizzo citato nel titolo con una sfilza di parametri a seguire vista la pagina php ...

Si tratta sicuramente di un adware/spyware/malware maledetto che ho provato in tutti i modi a levarmi dalle balle ( solitamente tengo molto pulito il pc ) ma questa carogna non riesco a sputarla fuori.

Qualcuno di voi mi sa aiutare plz ?

DENGHIU !

[w.tommasi]

Uppete !

[FOXYLADY]

Hai già letto qui?
http://www.hwupgrade.it/forum/showthread.php?t=1142673
dovresti anche postare un log di hijackthis nell'apposito thread.

[w.tommasi]

Grazie ma il log di HiJackThis l'ho già esaminato e non mi sembra di vedere nulla di anomalo, già lo uso da parecchio tempo ma mi sembra tutto ok.

Proverò con questo DRWeb CureIt ... speriamo !

[w.tommasi]

Niente ... anche il Dr.WEB non trova nulla di anomalo ... mi sto un po' preoccupando ...

[w.tommasi]

Ho provato anche con XoftSpySE ... niente da fare !

Qualcuno ha dei suggerimenti ?

[manganese]

Prova a vedere con process explorer quale è l'istanza che ti apre il browser.
In questo articolo una mezza idea su come funziona la cosa e il link per scaricare
http://www.progettando.it/HelpDesk/Processi_XP.htm
P.S.
Non è facilissimo da interpretare
P.P.S.
ce lo fai vedere anche a noi il tuo log con HJT?

[w.tommasi]

Process Explorer lo conosco e lo uso ... ti ringrazio per il link tramite cui spero di capire come interpretare chi ha lanciato il browser.

Stasera posto il log di HiJackThis ... DENGHIU !

[w.tommasi]

Questo è il log di HiJackThis :

Logfile of HijackThis v1.99.1
Scan saved at 19.33.50, on 23/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Stardock\SDMCP.exe
C:\Programmi\Diskeeper Professional Edition\DkService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\NOD32\nod32krn.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\NOD32\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\WinPatrol\winpatrol.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\FuzLez\WheelsOfVolume\WheelsOfVolume.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\NukeNabber\nukenabber.exe
C:\Programmi\ObjectDock\ObjectDock.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\eDonkey2000\edonkey2000.exe
C:\Programmi\Sygate Personal Firewall Pro\Smc.exe
C:\Programmi\HijackThis 1.99.1.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\Smc.exe -startgui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [GDIPatch] C:\PROGRA~1\WMFPatch\inject.exe
O4 - HKLM\..\Run: [FuzLez WheelsOfVolume] "C:\Programmi\FuzLez\WheelsOfVolume\WheelsOfVolume.exe"
O4 - HKLM\..\Run: [Logon Loader Random] "C:\Programmi\Logon Loader\LogonLoader.exe" -random
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\ObjectDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NukeNabber.lnk = C:\Programmi\NukeNabber\nukenabber.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programmi\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59032163-6A38-4C57-98A0-BD8CF936EC80}: NameServer = 213.205.36.70 213.205.32.70
O20 - Winlogon Notify: MCPClient - C:\Programmi\File comuni\Stardock\mcpstub.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Diskeeper Professional Edition\DkService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\NOD32\nod32krn.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate Personal Firewall Pro\Smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

E questo è il risultato dell'analisi automatica fatta sul sito stesso.

Niente di anomalo !

[manganese]

Potrebbe essere smitfraud, ma tiro un pò a indovinare
Cmq il fix "ufficiale" è qui se vuoi provare..male non fà
http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

Oppure aspetta un secondo parere cmq il log è ok...a parte questa
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
ma non dovrebbe essere la causa dei tuoi guai.

[w.tommasi]

Quote:

Originariamente inviato da manganese

Prova a vedere con process explorer quale è l'istanza che ti apre il browser.
In questo articolo una mezza idea su come funziona la cosa e il link per scaricare
http://www.progettando.it/HelpDesk/Processi_XP.htm
P.S.
Non è facilissimo da interpretare
P.P.S.
ce lo fai vedere anche a noi il tuo log con HJT?

Non è che mi sapresti indicare con precisione come fare a capire chi invoca il browser ?