aiutatemi

[gunit1689]

ciao,sono nuovo del forum
volevo descrivere un problema ke mi affligge:
ogni volta ke sono collegato a internet(Tiscali ADSL)ad un tratto la connessione si disconnette xkè controllando in Start/Connetti a mi compare tra le connessioni anke alcune titolate del tipo UGWR3D ke dopo poki secondi scompaiono x poi ricomparire.
Ho svolto tanti tipi di scansione:Ad-ware,Spybot,Norton Antivirus ma nn mi son servite a niente

spero mi sappiate aiutare

[Lionsquid]

usa Hijackthis per analizzare lo status del tuo SO... poi allega il file in .txt..

puoi seguire queste procedure per risolvere > http://www.wintricks.it/faq/sicurezza_web.html


Oppsss, ... benvenuto!

Spostiamo la discussione nella sezione appropriata

[gunit1689]

ecco qua

[crazy.cat]

Una bella passata con questo
http://cwshredder.net/bin/CWShredder.exe
cancella tutti i file temporanei di internet e queste righe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\nnx32.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O8 - Extra context menu item: LimeShop Preferences - (value not set)
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programmi\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programmi\LingoCom\Translator.lnk (file missing)
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

Queste sono dubbie????
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c11.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab

I tuoi problemi puzzano di dialer, puoi provare anche con spysweeper, lo scarichi, lo aggiorni e fai le pulizie, anche se dura 30 giorni elimina i problemi.

[Lionsquid]

Running processes:

C:\WINDOWS\System32\NotifyPhoneBook.exe ??? Come mai c'è un programma simile in quella cartella??? SOSPETTO!

C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe > Non lo conosco... serve approfondire

C:\WINDOWS\System32\ShellExt\uCfdT.EXE >ASSOLUTAMENTE SOSPETTO in quella posizione gli .exe sono certamente fuori posto > RIMUOVERE

O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\nnx32.dll > ???? SOSPETTO
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll >> Non lo conosco... serve approfondire

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll >> Non lo conosco... serve approfondire
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) > RIMUOVERE
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) > RIMUOVERE

O8 - Extra context menu item: LimeShop Preferences - (value not set) > ????? > RIMUOVERE

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programmi\LingoCom\Translator.lnk (file missing) > > RIMUOVERE
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programmi\LingoCom\Translator.lnk (file missing) > RIMUOVERE
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file) > RIMUOVERE
O9 - Extra button: Umail - {2AFAF014-B0FA-447A-A16E-01B021967D09} - http://www.umail.it (file missing) (HKCU)

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c11.cab > RIMUOVERE!!!
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 > RIMUOVERE
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB > RIMUOVERE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1091808806401 > RIMUOVERE
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab > RIMUOVERE!!!!

O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - (no file) ??????????? SOSPETTO

[Lionsquid]

opps

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...467&clcid=0x409

questa non è da rimuovere...

anche Crazy.cat è arrivato alle mie conclusioni.. ci sono un pò di dialer ..

controlla bene la cartella shellext ... potrebbero esserci altri .exe assolutamente fuori posto!!

[gunit1689]

grazie

[gunit1689]

purtroppo questi aiuti nn mi son serviti a niente,in particolare noto ke nella cartella windows/prefetch si aggiungono dei file del tipo MSNAPPAU.EXE-15175065.pf i quali sono sconosciuti ke ogni volta ke li cancello si ricreano subito.
Nella cartella sistem32/shellext mi compaiono degli exe del tipo ke vi dicevo prima ke anke questi se li cancello mi ricompaiono disconnettendo la connessione

nn so ormai ke pesci pigliare........

[Lionsquid]

Quota:

Originariamente inviato da gunit1689
purtroppo questi aiuti nn mi son serviti a niente,in particolare noto ke nella cartella windows/prefetch si aggiungono dei file del tipo MSNAPPAU.EXE-15175065.pf i quali sono sconosciuti ke ogni volta ke li cancello si ricreano subito.
Nella cartella sistem32/shellext mi compaiono degli exe del tipo ke vi dicevo prima ke anke questi se li cancello mi ricompaiono disconnettendo la connessione

nn so ormai ke pesci pigliare........

nella cartella prefetch è normale che si aggiungono dei file con estensione .PF ... è il servizio di "prefetching" attivo che li crea...

mentre gli .exe dentro la shellext che rispuntano vuol dire che l'origine dell'infezione è ancora attivo o si riattiva all'avvio "ricostruendo" tutto l'apparato di controllo...

a questo punto bisogna osare di più,... e cercare meglio...

ricominciamo!

riposta il txt del log di hijackthis... chi la dura la vince

(ricordati di dare una occhiata all'articoletto sulle procedure di rimozione... controlla che non ci siano processi maligni attivi che ricreano in automatico l'infezione)

[gunit1689]

certo e grazie

[gunit1689]

certo e grazie

[gunit1689]

certo e grazie

[Lionsquid]

ok.. visto.. sei certo che non sia un virus?? hai usato STINGER o AVASTCLEANER in modalità provvisoria???

appena posso ti do la procedura su come operare... perchè se si sbaglia bisogna ricominciare


+ tardi ti passo come operare

[crazy.cat]

Avevi tolto tutte le voci che avevamo suggerito prima?
Perchè queste ci sono sempre.Oppure sono ritornate?

O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\nnx32.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Umail - {2AFAF014-B0FA-447A-A16E-01B021967D09} - http://www.umail.it (file missing) (HKCU)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c11.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - (no file)

E' questo file nnx32.dll da eliminare, prova a partire in modalità provvisoria ed eliminarlo da lì.
Altrimenti, tentiamo un trucco che alle volte funziona, prova a trascinare (non spostare o copiare) il file sul desktop e provi a cambiargli nome, gli togli l'estensione, riavii il pc e poi cancelli il file rinominato,non è detto che funzioni.

[Lionsquid]

C:\WINDOWS\system32\LEXBCES.EXE > DA ELIMINARE

C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe [dovrebbe essere innocente, legato alla MSN toolbar, ma io disinstallerei la MSN toolbar!!]
C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe [dovrebbe essere innocente, legato alla MSN toolbar, ma io disinstallerei la MSN toolbar!!]

C:\WINDOWS\System32\ShellExt\uzIx50ubpnc.EXE >DA ELIMINARE

O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\nnx32.dll DA ELIMINARE

RIMUOVI TUTTE QUESTE SOTTO
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programmi\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programmi\LingoCom\Translator.lnk (file missing)
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL >> Hai encarta installato?? ELIMINA se non hai encarta
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Umail - {2AFAF014-B0FA-447A-A16E-01B021967D09} - http://www.umail.it (file missing) (HKCU)

QUESTI SOTTO SONO DA ELIMINARE SENZA STARCI A PENSARE...

016 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c11.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab


O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - (no file)

PROCEDURA:
scaricati stinger aggiornato
aggiorna spybot e adaware
scaricati PROCEXP e lancialo
termina tutti i processi sconosciuti e anche quelli superflui
PREENDI nota dei percorsi delle voci del log di hijack... in modalità provvisoria DEVI rimuovere manualmente eventuali rimasugli
con hijackthis rimuovi le voci sopra
RIAVVIA IN MOD PROVV
ripulisci cartella TEMP, TEMP di IE, nella cartella SHELLEXT elimina tutti i .exe
controlla nella cartella windows e system32 se ci sono .exe strani e annota i nome (da cercare poi con google)
lancia STINGER
lancia spybot
lancia CWSHREDDER
lancia ADAWARE

controlla con winrar (explorer) se la cartella DOWNLOADED PROGRAM PFILES se ci sono programmi strani.. rimuovi tutto ciò che non è certificato

qui la mia esperienza > http://www.wintricks.it/faq/sicurezza_web2.html

finora ho ripulito tutti i pc con cui mi sono trovato a "combattere"...

e sono alla ricerca di nuovi tools