spyware

[Vin81]

Allora vediamo se qualcuno riesce ad aiutarmi con questo spyware, ho provato in tutti i modi, ma nn ho via.

Per toglierlo ho provato i seguenti programmi:

Ad-aware
Spybot
CWShredder
MicrosoftAntiSpyware
Jv16

ho provato anche a smanettare nel registro, e anche in msconfig ---->avvio, ma nulla.

Ho provato anche diversi antivirus "Avast", "Nod32", e "Panda", ma non hanno trovato nulla.

Mi escono delle finestrelle (guardare piu giu) anche se il browser è chiuso.

Mi è successo questo problema da quando una volta navigando, mi si è installata una toolbar e impostata una homepage diversa da quello che avevo impostato io, ora questi due problemi li ho risolti da sola, pero è rimasto questo.

[Vin81]

se puo essere utile ho fatto una scansione con HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 2.42.51, on 18/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\vincenza\Desktop\hijackthis\Hij
ackThis.exe
C:\WINDOWS\system32\devldr32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKCU\Software\Microsoft\Windows\CurrentV
ersion\Internet Settings,ProxyServer = 216.148.246.69:8000
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {3FA61034-5970-4E83-AAA0-EC9EDF6B3381} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - C:\WINDOWS\System32\sfg_5d3d.dll
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg_5d3d.dll"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [UpConfgVer] "C:\Programmi\Panda Software\Panda Antivirus Platinum\UpgConf.exe" /v:7.07.02
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg_5d3d.dll"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O6 - HKCU\Software\Policies\Microsoft\Interne
t Explorer\Control Panel present
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.148.2.106/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AF612486-B71B-4FC1-994A-E11959D46790} (GC1_ita Control) - http://www.abbeynet.it/gc/GC1_ita-1.0.1.47.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD05F6F2-6BED-42D3-862A-027CD0E9A070}: NameServer = 217.141.254.206 151.99.125.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

[tidav]

1) Disattiva momentanemente il ripristino configurazione di sistema. Devi andare in pannello di controllo-> sistema.

2) Fai ripartire il pc in modalità provvisoria schiacciando F8 all'avvio.

3) Inserisci il LOG in questo link: http://hijackthis.de/it, lo fai analizzare ed elimini quello che ti dice di eliminare.

[juninho85]

inanzitutto vai su opzioni internet/programmi/gestione componenti aggiuntivi e disabilita quella bar

[juninho85]

C:\WINDOWS\system32\dslagent.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\cFosSpeed\spd.exe
mai sentiti

C:\Programmi\MSN Messenger\msnmsgr.exe
se non lo hai ancora fatto disabilita messenger da services.msc

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll,DllInstall
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class)
questo dovrebbe essere il file responsabile della toolbar

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.148.2.106/activex/AxisCamControl.cab
O16 - DPF: {AF612486-B71B-4FC1-994A-E11959D46790} (GC1_ita Control) - http://www.abbeynet.it/gc/GC1_ita-1.0.1.47.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab

sospetti

[Vin81]

Bene, ho risolto, facendo partire il sistema in modalità provvisoria, ho fatto la scansione con HijackThis e finalmente sono riuscita ad eliminare quel maledetto se.dll era quello che mi creava sto casino.

prima di passare a HijackThis eliminavo quel dll, ma dopo un po si rigenerava da solo

ora funziona tutto perfettamente.

la Toolbar l'avevo eliminata da tempo, mi era rimasto sto casino con quei popup.

[gionapper]

Quote:

Originariamente inviato da juninho85

C:\Programmi\MSN Messenger\msnmsgr.exe
se non lo hai ancora fatto disabilita messenger da services.msc

MSNmsgr non è il servizio messenger di windows, ma il programma di Messaggistica di MSN. Il servizio messenger di windows, invece, va disattivato (come hai detto giustamente) ma è un'altra cosa.

[Vin81]

Quote:

Originariamente inviato da gionapper

MSNmsgr non è il servizio messenger di windows, ma il programma di Messaggistica di MSN. Il servizio messenger di windows, invece, va disattivato (come hai detto giustamente) ma è un'altra cosa.

esatto, infatti nn capivo perche dovevo disattivare MSN che uso

[juninho85]

te prova ad andare sui servizi e a disabilitare messenger,poi avvia msn messeger e vedrai che funziona

[gionapper]

Guarda che io ce l'ho disattivato ed uso MSN. Stai prendendo un granchio.

[juninho85]

Quote:

Originariamente inviato da gionapper

Guarda che io ce l'ho disattivato ed uso MSN. Stai prendendo un granchio.

e infatti stiamo dicendo la stesas cosa,solo che il servizio di windows e msn messenger si appoggiano sullo stesso file

[gionapper]

Hai scritto:C:\Programmi\MSN Messenger\msnmsgr.exe
se non lo hai ancora fatto disabilita messenger da services.ms.

Sono due cose diverse C:\Programmi\MSN Messenger\msnmsgr.exe e il servizio messenger. Il riferimento che hai fatto a MSN Messenger non centra nulla. Comunque siamo d'accordo sul disattivare il servizio messenger

[juninho85]

Quote:

Originariamente inviato da gionapper

Hai scritto:C:\Programmi\MSN Messenger\msnmsgr.exe
se non lo hai ancora fatto disabilita messenger da services.ms.

Sono due cose diverse C:\Programmi\MSN Messenger\msnmsgr.exe e il servizio messenger. Il riferimento che hai fatto a MSN Messenger non centra nulla. Comunque siamo d'accordo sul disattivare il servizio messenger

ho capito
però te prova a guardare sulla scheda del servizio messenger e prova a vedere qual'è i lfile responsabile di quel servizoi

[gionapper]

Ecco la descrizione del servizio messenger:
Transmette Net Send e i messaggi del servizio Alerter tra client e server. Il servizio non è collegato a Windows Messenger. Se il servizio è stato arrestato, i messaggi del servizio Alerter non saranno trasmessi. Se il servizio è stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.

Ti dice che non c'entra nulla con windows messenger e quindi tantomeno con MSN Messenger

[juninho85]

ok..ma che file ti indica?

[gionapper]

C:\WINDOWS\system32\svchost.exe -k netsvcs.
Ma perchè dici che sono collegati? Hai avuto qualche problema in proposito?

[juninho85]

Quote:

Originariamente inviato da gionapper

C:\WINDOWS\system32\svchost.exe -k netsvcs.
Ma perchè dici che sono collegati? Hai avuto qualche problema in proposito?

ero convinot che msgsg.exe oltre che avviare msn messenger avviasse pure il servizio messenger di windows

[gionapper]

Allora mi devi un favore

[Vin81]

messenger di windows l'ho disinstallato piu di un' anno fa

[gionapper]

Io insieme ad Outlook Express