Download bloccato dai criteri sulle aree di protezione

[Thelastone]

Ciao a tutti e bentrovati
Poiché questa è la mia prima volta, vi prego di scusarmi se non sono nella sezione giusta: mi sposterete.
Da settantenne neofita autodidatta, sto cercando di fare un DVD video da una cassetta mini DV di mio nipote, ma mi riesce difficile.

Come vedete dal titolo, da un po' di tempo non riesco più a scaricare da Internet quasi nulla: quasi sempre appare nella pagina Downloads una bella X rossa e la scritta: bloccato dai criteri sulle aree di protezione. Non parlo di software più o meno illegali, bensì del Trial di Nero o di CDBurnerxp, come pure del banalissimo Driver per la anziana videocamera della Sony, Dcr HC17, dall'assistenza Sony.

Girando per Google, ho trovato solo due forum che del blocco dowload ne parlano (poco): SWZone e Mozilla, ma che dalle soluzioni che danno non ho trovato risultato alcuno. Uno dice che c'è riuscito eliminando IE 7.
Ma come si fa ad eliminare IE7?

Avevo IE6 e Mozilla FF 2.x e tutto andava benissimo, poi ho aggiornato a IE7 e FF3 e sono nati i problemi. Oppure forse (e più probabilmente) da quando ho scaricato SP3 per XP?
Per la cronaca: XP con sp3, Mozilla FF3.0.3, antivirus Avira, No firewall.

Se un'anima buona mi puo' aiutare, avrà la mia gratitudine.
Ciao a tutti. E.

[leofelix]

Benvenuto su Wintricks,
Internet Explorer 7.0 non si può eliminare (è anche una componente di sistema) ma si può disinstallare dai sistemi XP semplicemente dal pannello di controllo>installazione applicazioni>aggiungi/rimuovi.

Al termine della procedura ti troverai nuovamente Internet Explorer 6.0.

Ma il problema potrebbe porsi egualmente con le aree di restrizioni, quindi prova a dare un'occhiata qui

http://windowshelp.microsoft.com/Win...136e21040.mspx

Troverai spiegato come togliere dalla zone di restrizione alcuni siti bloccati.

Ora però mi viene il sospetto che qualche software possa aver modificato queste aree.

Hai per caso installato qualche sistema per proteggere il file HOSTS?

(sul file HOSTS: http://forum.wintricks.it/showthread.php?t=77011 )


Anche io uso XP SP 3 su tre dei miei sistemi e i problemi lamentati non li ho, e uso anche Firefox 3.0.4 che al massimo in macchine con dotazione HW meno recente o poco potente può essere meno reattivo.

Attendo tue conferme o smentite, così magari cercheremo assieme di capire il motivo di questo blocco.

Ancora benvenuto a bordo

[Thelastone]

Leofelix ti ringrazio.
In questo momento non posso, perciò sinteticamente:
a disinstallare IE7 avevo già provato, ma non c'è il tasto cambia/rimuovi. Eliminandolo da Programmi, eliminazione negata perché file connection manager in uso da altro programma. Riproverò.

Sul sito Windowshelp ero già stato, ma senza successo.

Ad Hosts, non avevo pensato. Prima di cena, l'ho cercato, trovato, aperto e spaventato: ci sono un milione di siti, e nessuno in ordine alfabetico. Trovare un sito (tipo cdburnerxp.com) tra quelli che potrebbero esservi elencati, e che perciò non sarebbe connettibile (non terrorizzarti, è un neologismo!) è quasi impossibile e ci vuole un'enormità di tempo.

Più tardi mi ci applico, magari mezza nottata, poi ti dico i risultati.

Devo scappare; ancora ti ringrazio. E.

[Thelastone]

Allora, eccomi qua.

Prima di tutto, la notizia: il problema dei downloads è risolto. Semplicemente disinstallando IE7, tutto è tornato normale ed ho potuto scaricare Nero e Cdburner con facilità.

Dal pannello di controllo, nulla da fare perché manca il pulsante cambia/rimuovi; da C/Programmi, non te lo lascia togliere. Poi mi sono ricordato di un forum nel quale avevo visto questo link: http://www.megalab.it/2746 e seguendo le indicazioni, IE7 è sparito.

Avevo già rovistato nelle impostazioni di protezione senza risultato.

Riguardo agli Hosts, è evidente che non c'entrano nulla e che il difetto è in IE7. Visto che c'è già IE8, penso che il guaio si ripeterà, perciò non lo scaricherò e continuerò ad usare FF.

Resta da capire cosa c'è in IE7 che sfarfalla, ma credo che non lo sapremo mai.

Vado a dormire. Continuerò a seguirvi con piacere, in modo particolare i Tricks di TWENTEC, che sono formidabili. Ma come fate a sapere così TUTTO???

Ciao e grazie ancora. Enrico

[leofelix]

di niente Thelastone,
infine hai risolto da te
Ora però io cercherei di capire come mai nel file HOSTS sono presenti tutte quelle voci che possono essere modificate manualmente come da programmi legittimi e purtroppo anche da malware.

Potresti provare a scaricare e installare SpyBot Search & Destroy 1.6 gratuito e in italiano (che è anche un valido antispyware) da
http://www.spybot.com/it/mirrors/index.html

tra le utilità avanzate c'è una opzione per visualizzare il file HOSTS, proteggerlo eventualmente, pulirlo e immunizzarlo aggiungendo le voci (a tua discrezione) presenti nel database del software.

Un'altra cosa, se il sistema tenta di aggiornarsi automaticamente a Internet Explorer 7, è sufficiente che tu lanci windowsupdate, esegui il controllo personalizzato e alla voce "Windows Internet Explorer 7" seleziona "Non visualizzare più questo aggiornamento".
IE 8.0 è ancora una beta, in genere dopo che si è passati al SP 3 per XP sarebbe preferibile scaricare e installare a parte l'intero file di installazione di Windows Internet Explorer 7 per evitare per paradosso incompatibilità e problemi (non via Windowsupdate, intendo ma da Qui ), ma ora penso tu preferisca conservare IE 6.0 per ovvi motivi

per qualsiasi chiarimento sono a disposizione


alla prossima

P.S talvolta i neologismi mi terrorizzano (specie le forme di abbreviazione stile cellulare che trovo letteralmente oscene) ma rappresentano anche una normale conseguenza dello sviluppo di quelle convenzioni che noi chiamiamo idiomi

[Thelastone]

Ciao. Rieccomi.
Cronaca.

Vado sul link di Spybot, dal primo bottone scarico, vado alla cartella Downloads e la X rossa è lì che mi sghignazza. - Bloccato -. Come di dovere, imprecazione mooolto colorita. Poi mi calmo, medito. Si accende la lampadina: su quel sito ci sono undici links - vuoi mai che gli altri...

DA TUTTI GLI ALTRI DIECI ho cominciato regolarmente (e naturalmente interrotto, tranne uno) a scaricare Spybot.

Da ciò deduco che, oltre al defunto IE7, qualcos'altro blocca quel sito negli Hosts. Ora il mio file Hosts, con la giunta effettuata da Spybot, consiste SOLO in 920 kb: con Blocco note, taaante pagine di url... Trovarne uno, è dura.
Poi penso che non servirebbe a niente.

Allora lancio Spybot e il risultato finale è: (rosso)

Dreamgroup.Fakemule 4 voci Hijackers

Aprendolo, quattro collegamenti (SBI $A27641B4) Collegamento.
uno: C:\Documents and Settings\HP_Proprietario\Preferiti\Videos.url
altro: idem \Traduttore.url
altro: idem \scaricare programmi.url
altro: idem \Giochi.url

Aprendo il simbolo del file a fianco ad ognuno, in tutti il collegamento a tutti i miei preferiti (solo quelli di Explorer, - non quelli di Firefox).

Spiegazioni a destra: Società: - Prodotto: Dreamgroup.Fakemule Minaccia: Hijacker
Funzionalità: si suppone essere una versione italiana di emule P2P client
Descrizione: questo hijacker cambia la pagina iniziale di Internet Explorer e aggiunge vari links al suo fraudolento sito.

E questo è tutto.

Da analfabeta, non mi sembra però che questo c'entri con il blocco, o sbaglio?
(Accidenti, sono nato trent'anni troppo presto!!!)

Va be', se ne hai voglia, a risentirci.
Ciao. Enrico


L'ho trovato!
L'url da cui non scaricavo Spybot è nel file Hosts.

Questa volta non serve più, ma in un eventuale futuro, come faccio a toglierlo da lì, quello o un altro?

Ciao

[leofelix]

Ciao Thelastone,
io credo che invece l'infezione che hai contratto c'entri eccome.

Il file HOSTS modificato che ti impedisce di raggiungere anche siti devoti alla sicurezza informatica ne è un sintomo.

Ora bisogna ripulire il file HOSTS per prima cosa.

Quindi fai così intanto:

1) apri SpyBot Search & Destroy (in modalità avanzata, che trovi nel menu in alto)
2) clicca sul pulsante alla tua sinistra con scritto "utilità"
3) ora vai sulla voce "File Hosts" (sempre a sinistra)

4) nel riquadro a destra troverai una serie di numeri e di url:

L'unico che deve rimanere è: "localhost: 127.0.0.1" (indirizzo di destinazione), le altre voci vanno tutte eliminate.

5) ora seleziona tutte le altre voci (seleziona la prima voce: poi tieni premuto SHIFT - tasto a sinistra con la "freccia in alto" della tastiera - e il tasto "freccia in basso" facendolo scorrere) e in alto nello stesso riquadro troverai un pulsante con scritto "Rimuovi voci selezionate".

Cliccaci sopra.

Ci vorrà un po' di tempo, ma è una procedura abbastanza semplice.

Una volta terminato, blocca il file HOSTS sempre attraverso SyBot S & D, sempre da "utilità" alla pulsante alla tua sinistra con scritto "Regolazioni IE".
Nel riquadro alla tua destra metti la spunta su:
"Blocca file Hosts in sola lettura come protezione contro gli Hijacker".


Ecco, ora chiudi il programma.

------

Ora scarica HiJackThis sul desktop da qui:

http://www.trendsecure.com/portal/en...HiJackThis.exe

Eseguilo, quindi non appena si apre clicca su "Do a system scan and save a log file".

Copia e incolla il contenuto del file di log che avrai ottenuto sul desktop di seguito a questa discussione.

Vedremo di analizzarlo per capire cosa non va nel tuo sistema.

--------
Altra cosa, se riesci scarica anche il MalwareBytes' AntiMalware (gratuito ma senza protezione in tempo reale e in italiano) da qui

http://www.gt500.org/malwarebytes/mbam-setup.exe

Installalo, aggiornalo e fagli fare una scansione veloce.

Fammi sapere cortesemente se ha rilevato qualche minaccia e soprattutto se l'ha rimossa.

Se hai altri dubbi o domande o sono stato poco chiaro, ti prego di non esitare a chiedere.

Come vedi faccio parte del "pronto soccorso informatico notturno" :lol:

[ottobre_rosso]

leofelix, una domanda: ma non fa' prima a cancellare il file e ad installare il file hosts aggiornato ?

Thelastone, ti do' una dritta: in un blocco note se vuoi trovare una data parola basta che premi CTRL + T contemporaneamente, inserisci la parola che vuoi trovare e premi enter
Dimenticavo di farti i complimenti: e' raro trovare un settantenne con cosi' tanta voglia di migliorarsi nel campo informatico

[Thelastone]

@ leofelix
Grazie per tutto, soprattutto per la tua chiarezza, che per uno come me è essenziale.

@ ottobre rosso
Grazie anche a te, per l'idea e soprattutto per le tue parole. Con leofelix parlerò più tardi, perché è un "notturno".

Se ho capito bene, è più rapido cancellare di sana pianta il file Hosts e al suo posto installare quello scaricato da Winhelp2002, magari unendoci in fondo la giunta di Spybot?

Vedendo ora con Start>cerca>hosts al momento ci sono in Sistem32/drivers un file hosts e cinque file backup, cioè uno ogni volta che ho toccato hosts.
Da eliminare anche quelli?


A proposito di cassoeula: è quasi ora, eh??

Dopo potrei fare comunque lo scan con malwarebytes e quello con hijack. Che te ne pare?

A dopo

[leofelix]

rieccomi
,va benissimo anche la procedura indicata dall'amico ottobre_rosso, che ringrazio, anzi direi che è più semplice per certi versi.

Io però in genere agisco in due modi diversi, o attraverso SpyBot S & D o attraverso WinPatrol che mi aprono direttamente il file HOSTS senza doverlo ad andarlo a cercare.

(Sono terribilmente pigro)

Quindi posso procedere con le modifiche che preferisco.

Nella maggior parte dei casi infatti mi limito a "ripulirlo" e quindi a dargli l'attributo di sola lettura.
Nei miei sistemi invece il discorso cambia.

in ogni caso, puoi procedere anche come tu stesso hai indicato, Thelastone, ma senza eliminare i file di backup.

Quindi procedi pure con uno scan con HijackThis (che è uno strumento di diagnosi e va saputo interpretare) postandone il log o in allegato o semplicemente incollato in risposta.

E poi una bella scansione rapida col MalwareBytes' AntiMalware che dovrebbe essere sufficiente per ripulire il sistema dalle infezioni rimaste.

Mi unisco inoltre ai complimenti che ti ha fatto ottobre_rosso in merito al desiderio di migliorare (e anche per la notevole rapidità nel comprendere) in ambito informatico.

Resto in attesa di riscontri

[ottobre_rosso]

leofelix, ti ringrazio per la risposta



[inizio OT]

x Thelastone: fino a due anni fa' sono stato anch'io un "nottambulo", dopo 14 anni a lavorare a turni... Ora, finalmente, lavorando a giornata, mi sono (un po'!) regolarizzato, anche perche' quando sto' al pc di notte alle mie spalle c'e' mia figlia che dorme, quindi, che lo voglia o no...

per la cassoeula stanno arrivando le prime gelate, quindi si, la risposta e' decisamente si

[fine OT]

[Thelastone]

Ciao a tutti. Eccomi.

Compito fatto: file hosts eliminato come detto da ottobre_rosso (cosa estremamente rapida - molto più che stare a lungo con shift e giù premuti), reinstallato il file di Winhelp2002 (aggiornato ottobre 2008) e bloccati come detto da leofelix.

Al momento però (start>cerca>hosts) di file ce ne sono quattro da 603 k (che sono quelli di winhelp2002 compreso uno MVP e i cinque backup di prima da 920k cadauno; prima, per collegarmi a Internet dal pulsante di ff alla comparsa di google, è passato quasi un minuto e mezzo e penso di capire perché: l'amico nel motorino prima di dare il contatto, a forza di dire questo no, questo no, questo no, deve sudare sette camicie... Ma forse spadello di brutto.


Fatto lo scan con Hijack, eccolo qui di seguito.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.41.33, on 19/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programmi\quick shutdown\qsd.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM1 2.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\HP_Proprietario\Documenti\Downloads da Internet\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/WebRe...J183AA&LF=blue
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar5.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar5.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programmi\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.e xe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ljntihwjrq] c:\documents and settings\hp_proprietario\impostazioni locali\dati applicazioni\ljntihwjrq.exe ljntihwjrq
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Startup: Quick ShutDown.lnk = C:\Programmi\quick shutdown\qsd.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/service_c...ex/TmHcmsX.CAB
O16 - DPF: {3a4f9191-65a8-11d5-85c1-0001023952c1} (TE) - http://web.igo.fr//Installskyline/TEInstall/TE.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{996752F6-C227-426F-B1F4-8EBE05E5FD60}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM1 2.EXE

--
End of file - 8064 bytes


Intanto mando questo. Nel frattempo eseguo l'altro scan che mi hai consigliato e poi ti dico.

Io, come logico, non ci capisco niente, ma guardandolo un attimo, mi ha colpito un nome: ljntihwjrq A lume di naso non mi piace. Esiste?

A dopo

[Thelastone]

A rieccomi.

Durante l'installazione di Malwarebytes, è comparso un avviso di Spybot che segnalava un'importante correzione del registro; ho consentito alla modifica perché ho visto che il file che correggeva era quello di Malwarebytes.

Ecco di seguito lo scan con Malwarebytes.
(Certamente lo sai: il Bitware è il software che qualche volta uso per mandare fax)

Malwarebytes' Anti-Malware 1.30
Versione del database: 1412
Windows 5.1.2600 Service Pack 3

19/11/2008 23.32.08
mbam-log-2008-11-19 (23-32-02).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 48866
Tempo trascorso: 2 minute(s), 57 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 3
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{db893839-10f0-4af9-92fa-b23528f530af} (Dialer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\bwprnmon.exe (Trojan.FakeAlert.H) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\BITWARE\NT\bwprnmon.exe (Trojan.FakeAlert.H) -> No action taken.


Ecco qua. Resto in attesa di pregiata vostra...

[leofelix]

Ben ritrovato,
ho sorriso alla faccenda dell'amico del motorino, per qualche verso ho ripensato al celeberrimo "Tre uomini in barca, per non parlare del cane" di Jerome K. Jerome e non so spiegarmene il motivo .

Dunque la voce in esecuzione automatica che ho evidenziato di seguito e che al lume di naso giustamente non ti piaceva (dal log di HiJackThis) non è una componente di sistema, temo proprio sia malware

O4 - HKCU\..\Run: [ljntihwjrq] c:\documents and settings\hp_proprietario\impostazioni locali\dati applicazioni\ljntihwjrq.exe ljntihwjrq

Esegui di nuovo HijackThis, quindi "Do a system scan only", selezionala quindi clicca su "FIX CHECKED ITEMS" (o "Fix Checked")
(Non temere, in ogni caso verrà creata una copia di backup, da poter eventualmente ripristinare)

In quanto alle rilevazioni di MalwareBytes' AntiMalware,
questa:
C:\BITWARE\NT\bwprnmon.exe (Trojan.FakeAlert.H) -> No action taken.

Sembrerebbe un falso positivo, come dici infatti fa parte del Fax BitWare.

Invece queste rilevazioni sono infezioni:

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{db893839-10f0-4af9-92fa-b23528f530af} (Dialer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> No action taken.

Indicano che hai contratto anche un "Rogue security software" o "Scareware" (un falso antivirus o falso antispyware che si è installato probabilmente a tua insaputa nel sistema), un dialer e uno spyware piuttosto rognoso, ma che non sono stati rimossi.

"No action taken", qualcosa mi dice che tu l'inglese lo comprendi e che non sei esattamente "l'Ultimo arrivato" come il tuo orginale nickname lascerebbe intendere.

Quindi suggerirei di riaggiornare appena possibile il MalwareBytes' AntiMalware (nella versione che usi non ha gli aggiornamenti automatici) e di procedere con una scansione completa e per ogni malware rilevato indicargli di eliminarlo e inserirlo nella quarantena (cosa che in genere dovrebbe fare una volta decisa l'azione da intraprendere).

Unica eccezione al momento è per il file del driver del Fax BitWare che puoi inserire nella lista dei files da ignorare.

Nel caso non riuscissi a eliminare dalla esecuzione automatica quel malware indicato attraverso HiJackThis, ti indicherò che strumento usare per farlo fuori senza problemi.

Ci aggiorniamo allora, ok?

leofelix il notturno

P.S Il TeaTimer dello SpyBot S & D ti ha infatti avvisato che un driver del MalwareBytes si stava autoeseguendo. Puoi anche disabilitare il TeaTimer attraverso lo SpyBot

[Thelastone]

Hi leofelix!
You are wright. Diciamo che sono solo the One before Thelastone.
Lo dicevo sempre quando ero dietro lo sportello PT a pagare vaglia e pensioni, che ero sprecato...

Ora, prima che arrivi un Moderatore con il gatto a nove code, ecco il compito.

Con hijack, item fixata. Ad una successiva scansione, lo straniero non compare più.

Con Malwarebytes' Antimalware aggiornato ed eseguito quanto mi hai detto, ecco qua:

Malwarebytes' Anti-Malware 1.30
Versione del database: 1412
Windows 5.1.2600 Service Pack 3

20/11/2008 11.05.20
mbam-log-2008-11-20 (11-05-20).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 48730
Tempo trascorso: 2 minute(s), 46 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


Spybot mi dice: Complimenti, nessun pericolo rilevato.

Oggi è una bella giornata di sole, il mare è calmo e grazie a voi il PC ed io dovremmo stare bene di salute: che posso volere di più?

Ciaooo, a risentirci. Enrico