PDA

Visualizza versione completa : Finestre di popup


Anaconda
10-08-2005, 10.10.23
Salve popolo laborioso del forum, mi serve una consulenza intercontinentale...
Dunque, sono a casa di mia moglie ora e le stavo sistemando un pò il PC, ad-aware, spybot, regcleaner, cwshredder, con conseguente eliminazione di tonnellate di spyware, cookie e quant'altro, upgrade del live update del norton (non me la sono sentita di cambiarle l'antivirus) scansione ed eliminazione di 3 virus...
Infine installazione di firefox per mettersi al sicuro...
Rimane solo un piccolo problema...
Certi siti richiedono per forza internet explorer (vedi yahoo games di cui mia moglie è una patita), ed ogni volta che avvio IE, compare una finestra di popup con pubblicità variabili dalla vendita di viagra a immagini di donnine nude in posizioni allegre...
La finestra non ha titolo, ma nel task manager corrisponde ad un processo che inizia sempre per Ad-xxxx.exe (xxxx sono alfanumerici che variano ogni volta).
Come lo becco il maledetto?
Grazieeeeeeeeee :)

Anaconda
10-08-2005, 10.18.54
Se potesse servire allego il log di hijack...

Logfile of HijackThis v1.99.1
Scan saved at 4:19:11 PM, on 08/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T 1.EXE
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE
C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Jetway\TV878\C7XRCtl.exe
C:\WINDOWS\System32\LVComS.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://msg.edit.yahoo.com/config/reset_cookies?&.y=Y=v=1%26n=0md97qmc6sq86%26l=c0h8i_m8bbosu/o%26p=f2gvvph013000000%26jb=16%7c47%7c%26iz=0111%2 6r=dl%26lg=uk%26intl=aa&.t=T=z=.7uaCB.BEbCBR1RQ/adAfoSMjQ3BjU1MTUxNjY2TjQ-%26a=QAE%26sk=DAAoTPO4XgC8m/%26d=c2wBTlRNd0FUSXlOakkyTVRFeE9UTS0BYQFRQUUBdGlwA UxmOWFuQQF6egEuN3VhQ0JnV0E-&.ver=2&.done=http%3a//us.rd.yahoo.com/messenger/client/%3fhttp%3a//mail.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 213.97.196.205:80
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_ 7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Windrv - {DF56F9D5-EF50-400D-B616-6EEB7AE63C55} - C:\Program Files\Windrv\Util\QFZVZ8QG.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_ 7_0.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T 1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Program Files\Jetway\TV878\C7XRCtl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123659239718
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/web_games/popcap/bejeweled2/popcaploader_v6.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.40opt/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4B73EAE-9D9C-4AF5-A386-E2D1D04390D1}: NameServer = 202.78.97.41,202.78.97.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB9D3D7F-F512-46C7-A644-FCAA2210AD52}: NameServer = 202.78.97.41,202.78.97.3
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

RNicoletto
10-08-2005, 11.17.09
Originariamente inviato da Anaconda
Certi siti richiedono per forza internet explorer (vedi yahoo games di cui mia moglie � una patita)... Ah siii ??

http://img360.imageshack.us/img360/5163/dynomite1eu.th.png (http://img360.imageshack.us/my.php?image=dynomite1eu.png)http://img360.imageshack.us/img360/1591/dinerdash5sz.th.png (http://img360.imageshack.us/my.php?image=dinerdash5sz.png)

;)

crazy.cat
10-08-2005, 11.21.42
Sconosciuta
O2 - BHO: Windrv - {DF56F9D5-EF50-400D-B616-6EEB7AE63C55} - C:\Program Files\Windrv\Util\QFZVZ8QG.dll

I colpevoli dei popup
O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
ScreenScenes Butterfly Oasis screensaver. The freeware version comes with GAIN branded ads (pop-ups and others).

O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
ScreenScenes "Aquatica Water Worlds" screensaver. Comes with GAIN spyware

Anaconda
10-08-2005, 12.23.45
Originariamente inviato da RNicoletto
Ah siii ??

http://img360.imageshack.us/img360/5163/dynomite1eu.th.png (http://img360.imageshack.us/my.php?image=dynomite1eu.png)http://img360.imageshack.us/img360/1591/dinerdash5sz.th.png (http://img360.imageshack.us/my.php?image=dinerdash5sz.png)

;)

Non tutti... ma qualcuno si...
Bejeweled2 per esempio mi chiede IE...

joey
10-08-2005, 15.20.12
...in effetti...[img=http://img149.imageshack.us/img149/6928/25la.th.jpg] (http://img149.imageshack.us/my.php?image=25la.jpg)

Anaconda
10-08-2005, 16.13.47
Ho eliminato le due voci segnalate da crazy.cat, ma il problema persiste...
Non ho eliminato la voce sconosciuta perchè se incasino qualcosa qua, non ho niente per poter ripristinare il tutto...
Cmq le finestre di popup ci sono ancora, nonostante l'eliminazione tramite hijack e disinstallazione dei due screensaver incriminati...

joey
10-08-2005, 16.28.40
prova a vedere in c\windows\downloaded program files o c\windows\Temp, non si sa mai che ci trovi qualcosa di interessante...

(probabilmente ho appena scritto una scemenza, anzi due :D)

joey
10-08-2005, 16.30.57
Non ho eliminato la voce sconosciuta perchè se incasino qualcosa qua, non ho niente per poter ripristinare il tutto...

non ricordo come, ma c'è il modo di creare dei punti di ripristino, mi sembra...tua moglie sul pc che programma potrebbe avere, chiamato windrv, o qualcosa di simile?

crazy.cat
10-08-2005, 17.16.43
Originariamente inviato da Anaconda
Non ho eliminato la voce sconosciuta perchè se incasino qualcosa qua, non ho niente per poter ripristinare il tutto
Cerca quella dll e fai tasto destro su di essa e vedi nelle proprietà se appartiene a qualche programma conosciuto.

Poi scaricati Spysweeper in versione trial, lo aggiorni e poi fai la scansione ed elimini tutto quello che trova.

joey
10-08-2005, 18.26.18
ho scritto una scemenza? solo x curiosità, per non dire e fare cose che non han senso...

crazy.cat
10-08-2005, 18.45.50
Originariamente inviato da joey
ho scritto una scemenza? solo x curiosità, per non dire e fare cose che non han senso...

No.
Molto spesso ospiti sgraditi si nascondono in quelle cartelle che hai indicato.

joey
10-08-2005, 22.32.15
:D :01:

Anaconda
11-08-2005, 04.23.16
dunque, quella dll appartiene ad una cartella chiamata "windrv" che a sua volta contiene una cartella di nome "util" che risulta essere piena di file dai nomi impronunciabili (una quindicina di .tmp che ho già cancellato) e questi 4 files...
5tzcnq5j (applicazione) 220Kb
IRB41OOS.dll 184Kb
QFZVZ8QG.dll 184Kb
Remove (applicazione) 220Kb

Quasi quasi provo ad eliminarli... tuttalpiù mia moglie chiede il divorzio... :D

Anaconda
11-08-2005, 04.27.11
Penso di averla beccata...
Dopo aver cancellato tutti i tmp ho avviato IE e naturalmente è partita anche la finestra di popup incriminata, chiuso IE, aperta la cartella windrv e mi son trovato con un tmp nuovo nuovo appena creato, ripeto la procedura ed ecco un altro bel tmp...
Ho deciso deleto tutto e via...

Anaconda
11-08-2005, 04.36.22
Fatto... operazione riuscita con successo...
Fixato con hijack, installazione applicazioni e disinstallato "windrv", cancellata la cartella "windrv" ed incredibilmente non ho fatto nessun danno... LOL...
La navigazione è diventata notevolmente più veloce...

Grazie a tutti...
:)

Dav82
11-08-2005, 04.46.42
Dai, almeno il visto per la moglie serve ancora, il divorzio è scongiurato :p

:)

joey
11-08-2005, 09.47.20
grande! tutto a posto allora! :D :01: (<-------- questa faccina è favolosa...:01: )

joey
11-08-2005, 09.57.09
guarda guarda facendo una ricerchina sul web cos'ho trovato... :) (W)

trex
11-08-2005, 10.14.43
usa msn toolbar e risolvi tutto

pisterzobe
11-08-2005, 10.49.56
Originariamente inviato da Anaconda

Come lo becco il maledetto?
Grazieeeeeeeeee :)
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx
http://www.bleepingcomputer.com/forums/tut101.html

bonne chance !! :D