Programma che si è installato da solo

[nicola5154]

il bastardo è quello segnato dalla freccetta....si è installato in seguito all'apertura di un sito assieme ad una miriade di toolbar per ie....ho scansionato con spybot e con ad-aware e tutte le barre e cose varie se ne sono andate.
Ma quello rimane, in installazione applicazione non c'è, e sembra non esserci neanche in task manager...con cosa passo per pulire??

[nicola5154]

ecco un messaggio che esce ogni tanto



ed ecco il sito che apre se clicco sopra all'icona.

[wizard1993]

log hiajckthis

[nicola5154]

Quote:

Originariamente inviato da wizard1993

log hiajckthis

appena torno dall'ufficio te lo posto. intanto grazie.

[nicola5154]

ecco il log

Logfile of HijackThis v1.99.1
Scan saved at 12.39.49, on 08/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Documents and Settings\Apu\Desktop\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1FC80E00-41B0-4F74-BC16-2C83ED49CAC9} - C:\Programmi\Video AX Object\bpvol.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1170517465173
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn...tDetection.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe

[wearethechampions]

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe

sembrerebbe tutto apposto, tranne questi che sono prg che non conosco....non fixarli, aspettiamo il parere di qualcuno più esperto

[nicola5154]

Quote:

Originariamente inviato da wearethechampions

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe

sembrerebbe tutto apposto, tranne questi che sono prg che non conosco....non fixarli, aspettiamo il parere di qualcuno più esperto

speedswitchxp è un programma per il downclock automatico della cpu

[wearethechampions]

Quote:

Originariamente inviato da nicola5154

speedswitchxp è un programma per il downclock automatico della cpu

ora c'è da vedere l'altro

[wizard1993]

Quote:

Originariamente inviato da wearethechampions

ora c'è da vedere l'altro

scan onlie con eido e asquared

[sampei.nihira]

Prova SUPERANTISPYWARE prima aggiorna e poi fai lo scan in modalità approfondita.
La rimozione dei malwares trovati sarà terminata con una riaccensione del pc.

[forum1]

Prova con rogueremover

http://www.malwarebytes.org/



http://www.xp-vista.com/spyware-remo...l-instructions

http://www.bleepingcomputer.com/forums/topic85376.html

Voci Sospette ( a parer mio)

C:\WINDOWS\system32\wscntfy.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe

Forse anche questa ma non sono sicuro

C:\WINDOWS\system32\WPDShServiceObj.dll

Anche se può essere legittimo ho trovato anche che:

Some malware camouflage themselves as WPDShServiceObj.dll, particularly if they are located in c:\windows or c:\windows\system32 folder. Thus check the WPDShServiceObj.dll process on your pc whether it is pest.

[nicola5154]

ora provo con tutto quello che mi avete consigliato.

[nicola5154]

rogue remover l'ha seccato subito.
ma che programma posso usare per evitare ancora sti casini?

[wizard1993]

Quote:

Originariamente inviato da nicola5154

rogue remover l'ha seccato subito.
ma che programma posso usare per evitare ancora sti casini?

che configurazione di sicurezza hai?

[nicola5154]

Quote:

Originariamente inviato da wizard1993

che configurazione di sicurezza hai?

kav e firewall hw del router.

[juninho85]

Quote:

Originariamente inviato da forum1

C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WPDShServiceObj.dll

questi non vanno eliminati,son legittimi

[wearethechampions]

Quote:

Originariamente inviato da juninho85

questi non vanno eliminati,son legittimi

concordo

[forum1]

Quote:

Originariamente inviato da juninho85

questi non vanno eliminati,son legittimi

Però avevo letto da qualche parte che alcuni malware si camuffano o alterano questi files legittimi. Un controllino su virustotal.com non fa mai male.

[juninho85]

Quote:

Originariamente inviato da forum1

Però avevo letto da qualche parte che alcuni malware si camuffano o alterano questi files legittimi. Un controllino su virustotal.com non fa mai male.

quoto....comunque se per "qualche parte" intendi linutities,beh in quel sito mettono sempre le mani avanti,nel senso che qualsiasi file tu ricerchi loro ti informano che lo stesso nome file potrebbe indicare dei contenuti maligni

[black92]

scarica e utilizza SmitFraudFix, con quello risolvi sicuramente