• User

    ecco il log di Hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 20.53.06, on 11/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16441)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\WINDOWS\system32\sstray.exe
    C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
    C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Programmi\Eset\nod32kui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
    C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
    C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
    C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
    C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\WINDOWS\system32\PSIService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programmi\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bancamarche.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
    O4 - HKLM..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
    O4 - HKLM..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
    O4 - HKLM..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://www.happyfile.net
    O15 - Trusted Zone: http://www.otherchance.com
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O17 - HKLM\System\CCS\Services\Tcpip..{4883DBE7-1069-4414-A5E0-40628FB87C42}: NameServer = 85.37.17.57 151.99.125.1
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter: text/html - (no CLSID) - (no file)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe


  • Super User

    Intanto fixa queste due:

    O15 - Trusted Zone: http://www.happyfile.net
    O15 - Trusted Zone: http://www.otherchance.com

    Poi fai una pulizia dei temporanei, magari aiutandoti con un programma tipo SSS

    Infine una scansione con un antispyware


  • User

    i 2 file non si cancellano...


  • Super User

    Continuiamo nella sezione sicurezza, visto che a questo punto è un problema di quel tipo. 😉


  • User

    allora cosa devo fare, ho provato anche con spybot ma niente


  • Moderatore

    c'è poco da fare, hai uno spyware installato sul PC che ogni volta aggiunge quei due domini tra i domini trusted, in modo da poter svolgere la propria attività di spyware.....

    teoricamente è possibile rimuovere uno spyware, praticamente è un'operazione che fallisce nel 90% dei casi.....

    la cosa più sicura è formattare e reinstallare il sistema e ti consiglio di cominciare ad usare Firefox e lasciar perdere IE

    riguardo i due siti li ho guardati....otherchance è un sito zeppo di dialer, probabilmente lo spyware ha due funzionalità....primo rubare i tuoi dati, secondo collegarsi ad un numero a sovrapprezzo....se non hai un modem analogico collegato alla rete telefonica almeno per il secondo problema sei a posto

    happyfile, invece, ospita degli script che servono per trasferire sul server dove è ospitato dati inviati dallo spyware.....ovviamente non so che tipo di dati invii, ma di sicuro tra essi ci sono dati utili tipo carte di credito, password, etc....

    ti consiglio anche di fare una denuncia alla polizia postale, almeno per cautelarti nel caso i tuoi dati vengano usati per scopi poco leciti


  • User

    si immaginavo ma formattare la volevo usare come ultima possibilità...


  • Super User

    Come antivirus cosa hai installato?

    Prova una scansione in modalità provvisoria con altri antispyware (in questo topic alcuni consigli).

    Installa temporaneamente il virit


  • User

    ho spybot,Ad-Aware, A-Squared e altri ne ho provati tanti ora proverò in mod. provvisoria poi si vedrà


  • User Attivo

    Ciao, Green day.

    Oltre a quelle indicate da Gorka, fixa anche queste voci:

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)

    Questo, comunque, non ti risolve il problema iniziale.
    Per rimuovere le "trusted zones" prova ad untilizzare questo tool.

    Facci sapere.


  • User

    ho fixate le voci che mi hai detto e usato il tool sperando di avere seguito bene le istruzione ma non è cambiato niente


  • User Attivo

    @green day said:

    ho fixate le voci che mi hai detto e usato il tool sperando di avere seguito bene le istruzione ma non è cambiato niente

    mmm

    Hai ancora quelle voci indicate come trusted zones, quindi?

    Hai fatto una scansione in provvisoria con VIRIT, come indicato da Gorka? Risultato?

    Poi, prova anche a fare una scansione online con Kaspersky. Questo non ti rimuoverà nessun virus, ma te ne indicherà file e posizione. Postaci il risultato, potremmo essere più precisi. Almeno, individuiamo la causa dei tuoi problemi 😉


  • User

    virit in modalità provvisoria non trova niente e kaspersky non si apre


  • Moderatore

    @green day said:

    virit in modalità provvisoria non trova niente e kaspersky non si apre

    come ho sempre sostenuto io, gli antivirus e gli antispyware sono solo dei placebo ....almeno servono a tranquillizzare il povero malcapitato 😄

    comunque ho trovato quel winbue32 ed è uno spyware italiano ( embè siamo diventati hacker di classe 😄 ).....

    ho trovato informazioni qui http://www.forospyware.com/t42019.html ...si tratta di uno spyware molto coriaceo, che usa varie tecniche di morphing, alternate data streams per occularsi nel filesystem ed è capace di installare degli hook per le funzioni di sistema che visualizzano i processi attivi, le porte TPC/UDP aperte, i descrittori di file attivi, ecc....


  • User Attivo

    @paolino said:

    come ho sempre sostenuto io, gli antivirus e gli antispyware sono solo dei placebo ....almeno servono a tranquillizzare il povero malcapitato 😄

    La miglior cosa sarebbe usare linux se non si vogliono avere problemi con virus ecc...!!:vaiii:


  • Moderatore

    @D-royal said:

    La miglior cosa sarebbe usare linux se non si vogliono avere problemi con virus ecc...!!:vaiii:

    si ma questo le compagnie di antivirus non lo diranno mai, altrimenti a loro la pappa chi gliela dà?

    in generale in un PC Linux normalmente configuratato, senza server e altre amenità in azione, l'unico modo per infettarlo è far eseguire uno script all'utente e anche in quel caso il problema rimane circoscritto in quanto nessuno lavora come root normalmente


  • User Attivo

    Sono d'accordissimo con te !!!! Se no le case di software per antivirus sarebbero tutte sotto i ponti !!! :eheh:


  • User Attivo

    Cosa state a dire, il migliore è Norton :eheh::eheh::eheh: 😛

    :ciauz: :ciauz:


  • User Attivo

    Si Norton è il migliore :eheh::eheh::eheh::yuppi::yuppi::D!!!!
    penso che sia un anitvirus che l'unica cosa che non riesce a proteggere siano i virus !!!!!:eheh:


  • User Attivo

    @green day said:

    virit in modalità provvisoria non trova niente e kaspersky non si apre

    perchè non si apre? Forse devi permettere l'installazione degli active x.

    Apri dal menu opzioni del browser "opzioni internet". Scegli la scheda "protezione", ed abbassa il livello, a media o minore.

    Poi, riprova ad effettuare una scansione online con kaspersky.