PDA

Visualizza versione completa : [pokerRoom] eliminare collegamento


ghost
01-08-2006, 16.43.33
Ciao davvero non so come uscirne, di colpo sia sul pc che sul server ad ogni accesso remoto ( al server con remote desktop) o riavvio del mio pc mi ritrovo sul desktop il collegamento a questo maledetto pokerRoom.com ( sito oltretutto chiuso dalla siae o cosa del genere )inutile eliminarlo perchè al riavvio riappare.
Ho provato sia con spyboot serch e destroy sia con hajackthis( spero si scrive così ) ma non c'è nulla di strano.
Nulla nemmeno in avvio o esecuzione automatica.
Mi date una mano ragazzi, grazieee
Lory

crazy.cat
01-08-2006, 16.55.49
Prova a postare il log della scansione di hijackthis e intanto cancella tutti i file temporanei e i cookies di internet.

Semi.genius
01-08-2006, 16.56.26
Beh, il log con HijackThis postalo comuqnue, almeno ci dà una mano di quello che hai nel PC in esecuzione

ghost
01-08-2006, 17.12.19
grazie sempre molto gentili :) vi copio sotto il log che mi ero gia salvata:

Logfile of HijackThis v1.99.1
Scan saved at 16.00.12, on 01/08/2006
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\3ware\3DM\3dmd.exe
C:\WINDOWS\system32\altsvc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\system32\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\mysql\bin\mysqld-nt.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\3ware\3DM\3dm.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\VPTray.exe
C:\mysql\bin\winmysqladmin.exe
C:\Program Files\TClock\TClock.exe
D:\Program Files\Atomic TimeSync\ats.exe
D:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.intel.com
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKCU\..\Run: [TClock.exe] C:\Program Files\TClock\tclock_install.exe
O4 - Global Startup: Shortcut to VPTray.exe.lnk = C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\VPTray.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE13819B-5F14-4605-B612-3C986A176818}: NameServer = 62.149.128.2,62.149.132.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC95B912-D580-4864-BBE8-D2330A779B0A}: NameServer = 62.149.128.2,62.149.132.2
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: RAinit - C:\WINDOWS\SYSTEM32\RAinit.dll
O23 - Service: 3DM - Unknown owner - C:\Program Files\3ware\3DM\3dmd.exe
O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe


Grazie mille per ogni suggerimento
Ciao :)

Dav82
01-08-2006, 17.32.41
L'analisi online (http://www.hijackthis.de/it) del log di Hijackthis segnala qualche entry sospetta :)

Per consigli più precisi, attendi gli altri :)

ghost
01-08-2006, 18.00.36
Grazie Dav82 attendo fiduciosa :)
Colgo l'occasione per fare i complimenti a questo forum e quindi a chi lo frequenta per quanto riesce ad isegnare, aiutare e per la disponibilità che sempre dimostra.
Io sono partita da zero, ora non penso certo di essere un'esperta di pc ma grazie alle ore passate in lettura dei post ho imparato davvero molto.
Ciao

Tecno214
01-08-2006, 18.09.44
Queste sotto le fixerei ma aspetta altri pareri:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
Non vedo firewall in avvio, o mi sbaglio?!

Semi.genius
01-08-2006, 18.09.52
Devi fixare (però killalo prima dai processi in esecuzione se c'è):
O4 - HKCU\..\Run: [TClock.exe] C:\Program Files\TClock\tclock_install.exe
(è un malware)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm

ghost
01-08-2006, 18.22.42
Fatto t cloclk però dovrebbe essere il programmino che sincronizza l'ora ma lo faccio fuori.
Il maledetto pokerroom l'ho invece beccato nel registro copiando il percorso dl collegamento che crea ma non so a cancellarlo combino un casino.
Quindi ho salvato la schermata e ve la faccio vedere (se riesco) così mi dite che fare io del registro ci capisco nulla, pocco cancellare tutta sta ACMru?
Assieeee :):):) kiss

edit...cacellate a mio rischio quelle chiavi e pazzesco appare ancora uffa ( io disperata)

ghost
02-08-2006, 13.46.23
Scusate l'ennesimo post ma lo faccio a beneficio di tutti quelli a cui può capitare questo problema e come l'ho risolto passo passo.
Io ho risolto così:
Mi sono accorta che se tenevo il pc scollegato dalla rete al riavvio l'icona non compariva, ovvia deduzione, se la scaricava.
Allora mi è venuta l'idea, ho eliminato tutti i programmi in zone allarm così da farmi richiedere l'accesso e ho riavviato.
Infatti un file, precisamente divxupd.exe subito tentava l'accesso.
Negandolo non compariva nulla, appena gli ho dato l'accesso ecco il maledetto collegamento ed icona.
Questo confermava che il bast...era lui.
A questo punto da task manager chiuso e poi cancellato e problema risolto.
Questo rognoso non viene trovato ne dall'antivirus ( karpesky) ne da spy sweeper, spybot search e destroy, adaware e altri meno noti.
Quello che trovo strano è che non compariva nemmeno nel log HijackThis
Quello che trovo ancora più strano è che l'icona collegamento compariva sul server ogni volta che accedevo con remote desktop, risolto il problema locale si è risolto anche sul server.
Di piu nin so :)
Ciaooo