2 files da SpyBot

[jakij]

ciao a tutti,
ho usato la funzione 'creca' per il mio problema ma non ho trovato nulla....

allora, da qche giorno faccio andare lo SpyBot-Search & Destroy e mi vengono segnalati un Web.Quick e un Win32.Agent.DSP. Il problema è che io correggo i problemi ma se riavvio il pc e rifaccio la scansione me li ritrovo lì.

è piuttosto strano, perchè fino a settimana scorsa non me li segnalava.
ad aggiungere dubbio al dubbio è che i files malvagi mi vengono segnati su un percorso che io non riesco a seguire.

la mia domanda è: sapete come rimouoverli?
sono effettivamente pericolosi o sono quei tipi di files che ogni tanto vengono segnalati ma che in realtà sono innocui??

ok - grazie in anticipo
J

ps. tento di inserire immagine della schermata dello scan, ma non sono sicuro di saperlo fare....

[jakij]

aggiungo per completezza...

[b]WEB.Quick[\B]
Interfaccia
HKEY_CLASSES_ROOT\Interface\(8FA8D20F-55CA-4263-6C4B-438E61C10EBC)
Libreria dei tipi
HKEY_CLASSES_ROOT\TypeLib\(8E28DE0A-6A2E-4C88-BBF0-BD131DC1A3B4)


[b]Win32.Agent.DSP[\B]
Assistente del browser (BHO)
HKEY_ LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Explorer\Browser Helper Objects\(878E4122-A213-98AC-355B-3C723F572BA5)
Classe redice (Root)
HKEY_ LOCAL_MACHINE\Software\Classes\WebMOn.webq.1
Classe redice (Root)
HKEY_ LOCAL_MACHINE\Software\Classes\WebMOn.webq
ID di classe
HKEY_ LOCAL_MACHINE\Software\Classes\CLSID\(878E4122-A213-98AC-355B-3C723F572BA5)
ID di classe
HKEY_ LOCAL_ROOT\CLSID\(878E4122-A213-98AC-355B-3C723F5723F572BA5)


questo è il report.....(ho messo le parentesi tonde al posto di quelle graffe)

vi prego aiutatemi...................


J

[giannola]

li rileva solo spybot al momento.
Potrebbe trattarsi di un trojano nel caso di Win32.Agent.DSP , potrebbe essere sufficientemente recente e poco diffuso che gli altri nn lo hanno ancora catalogato.

Ricordate che quest'anno i zeroday saranno molto diffusi.

Se nn hai installato nulla di nuovo sul tuo pc nell'ultima settimana fai eliminare tutto da spybot.

[wizard1993]

se non ci riesci posta in apposito 3d il log di hijackthis

[jakij]

giannola:
il fatto è che spybot mi corregge i problemi e se rifaccio lo scan è ok.
ma se riavvio il pc il problema si pone di nuovo.
effettivamente ho notato che nè adware nè nod32 mi danno questi risultati.
boh.......


wizard1993: potresti spigarti meglio? non ho capito nulla di quel che hai detto....

[wizard1993]

http://www.hwupgrade.it/forum/showthread.php?t=937676

[jakij]

grazie ora vi posto

Logfile of HijackThis v1.99.1
Scan saved at 17.01.37, on 31/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O1 - Hosts: 205.238.40.2 www.winmx.com
da qui partono una serie di hosts www.w***mx.xom - ma quel prg non è stato utilizzato su questo pc da anni
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: XBTP01621 - {9EBBE90B-282E-4c39-8A7E-120749169F0F} - C:\PROGRA~1\BEARSH~2\MediaBar.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - blank (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - blank (file missing)
O3 - Toolbar: BearShare MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\BearShare MediaBar\MediaBar.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [mywclean3] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\346.exe" remove
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Soundlibs] C:\WINNT\soundlib.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at1_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst4_x.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB30A896-8901-4FE9-B616-B105F31DA569}: NameServer = 213.140.2.21,213.140.2.12
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe


degli altri che devo fare?????? rifare e 'fix the checked'?
quali devo togliere????????

vie prego: aiutooooooooooooooo
J

[giannola]

Quote:

Originariamente inviato da jakij

grazie ora vi posto

degli altri che devo fare?????? rifare e 'fix the checked'?
quali devo togliere????????

vie prego: aiutooooooooooooooo
J

e meno male che ti avevano detto nel 3d ufficiale.

cmq :

O1 - Hosts: 205.238.40.2 www.winmx.com
O2 - BHO: XBTP01621 - {9EBBE90B-282E-4c39-8A7E-120749169F0F} - C:\PROGRA~1\BEARSH~2\MediaBar.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - blank (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - blank (file missing)
O3 - Toolbar: BearShare MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\BearShare MediaBar\MediaBar.dll (file missing)
O4 - HKLM\..\Run: [mywclean3] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\346.exe" remove

[jakij]

ok grazie

allora continuo a risponderti qui:
di quello di win+++mx ce n'è + di uno...che faccio?

poi una conferma:
rifaccio lo scan e poi faccio 'fix checked' - giusto????????

ultimo: non è che eliminando quelli che mi hai detto si modifica il sitema????


ciao


ps. ho fretta perchè in generale i problemi preferisco risolverli in fretta. non mi va di avere schifezze nel pc in generale. e poi oggi ho + tempo per farlo ....

[jakij]

ok
diciamo che ne ho tolti un paio di quelli che mi hai detto
poi ho riavviato e spybot non mi trova + nulla
un caso?
boh....

per adesso, caro gianolla, ti ringrazio.

poi se mi rispondi se è meglio cancellare anche gli altri, domani lo farò

ciaoooooooooo

grasssie

[wizard1993]

Quote:

Originariamente inviato da jakij

ok
diciamo che ne ho tolti un paio di quelli che mi hai detto
poi ho riavviato e spybot non mi trova + nulla
un caso?
boh....

per adesso, caro gianolla, ti ringrazio.

poi se mi rispondi se è meglio cancellare anche gli altri, domani lo farò

ciaoooooooooo

grasssie

te l'avevo detto che se postavi il log male non faceva; comunque dovresti ringraziare andorra24; che sul forum di pc-facile a risolto per primo questo vespaio di virus un mese or sono

[jakij]

e certo che ringrazio andorra24, e anche te wizard.
insomma ringrazio tutti voi che mettete a disposizione le vostre competenze.
a me piacerbbe approfondire, ma ormai non ho più l'età e soprattutto non ho tempo libero....

giusto per curiosità: quale sarebbe il ginepraio di virus? quale sarebbe quello che ha attaccato me?

e a ncora rilancio: devo cancellari tutti quelli che mi ha detto il gianolla, o rischi di destabilizzare il sistema?


ad ogni modo, grazie ancora

dai, che fra poco la smetto di rompere .....

sciuao
J

[giannola]

Quote:

Originariamente inviato da jakij

e certo che ringrazio andorra24, e anche te wizard.
insomma ringrazio tutti voi che mettete a disposizione le vostre competenze.
a me piacerbbe approfondire, ma ormai non ho più l'età e soprattutto non ho tempo libero....

giusto per curiosità: quale sarebbe il ginepraio di virus? quale sarebbe quello che ha attaccato me?

e a ncora rilancio: devo cancellari tutti quelli che mi ha detto il gianolla, o rischi di destabilizzare il sistema?


ad ogni modo, grazie ancora

dai, che fra poco la smetto di rompere .....

sciuao
J

giannola, ahò, me chiamo giannola, non gianolla.

poi cos'è sta stronzata che si è vecchi ?
Quanti anni hai ?
L'altro giorno ho insegnato mio padre a creare un account di posta elettronica.

L'età nn può essere un alibi per smettere di imparare.

[jakij]

'a gianno', ne ho 35: non sono vecchio ma è un'età in cui il tempo libero è pochissimo: famiglia, lavoro etc.
magari cercherò qche bel manuale su google books, qui non si tratta di usare internet , io parlo di approfondire conoscenze degli ingegneri.....mikca cotiche

edddddai rispondimi: li devo cancellare tutti qti benedetti files?

a domani
J

[giannola]

Quote:

Originariamente inviato da jakij

'a gianno', ne ho 35: non sono vecchio ma è un'età in cui il tempo libero è pochissimo: famiglia, lavoro etc.
magari cercherò qche bel manuale su google books, qui non si tratta di usare internet , io parlo di approfondire conoscenze degli ingegneri.....mikca cotiche

edddddai rispondimi: li devo cancellare tutti qti benedetti files?

a domani
J

io ne ho 32 e sono sposato, ma il tempo lo trovo anche perchè se nn mi aggiorno posso cambiare mestiere.

tu cancellali che può succedere ?
al limite formatti

scherzo.
i link rappresentano dei collegamenti perduti con le toolbar di google e bearshare.
Quindi nn creano alcun danno.

[jakij]

ok, allora adesso li sssscancello.
...allora tu lo fai per lavoro.....ok, mi posso fidare ......


ciao.
J

[jakij]

ah...dimenticavo, di quelli che finiscono con winmx ne ho altri. li cancello tutti??
e quelli cosa significano? che dai server del prg -x altro sempre spento- mi possono spiare??
(aho'!...mi sento già come james bond )

bye

[jakij]

ah...dimenticavo, di quelli che finiscono con winmx ne ho altri. li cancello tutti??
e quelli cosa significano? che dai server del prg -x altro sempre spento- mi possono spiare??
(aho'!...mi sento già come james bond )

bye

[wizard1993]

Quote:

Originariamente inviato da jakij

ah...dimenticavo, di quelli che finiscono con winmx ne ho altri. li cancello tutti??
e quelli cosa significano? che dai server del prg -x altro sempre spento- mi possono spiare??
(aho'!...mi sento già come james bond )

bye

te cancella; a mali estremi si riformano