forum logo
  Assistenzafree   Home   Help Ricerca Tags Login Registrati  
Benvenuto, Visitatore. Per favore, effettua il login o registrati.

Login con username, password e lunghezza della sessione


 Cerca

Pagine: [1] 2   Vai Giù
Aggiungi segnalibro Stampa
Topic: Apertura pagina internet indesiderata  (Letto 16097 volte)
0 Utenti e 1 Visitatore stanno guardando questo topic.
« il: 01 Febbraio 2008, 10:41:27 »
no avatar rgb Offline
Newbie

*
Posts: 24



Da un pò di tempo mi si verica che mentre sono connesso, mi apre in automatico un'altra pagina internet, con presenza di pubblicità; il problema essenziale è che se ne và in primo piano quindi ho bisogno ogni volta di chiuderla e devo dire che è una rottura...ho provato a passare Ad-Aware e mi trova un bel pò di problemi solo che arriva ad un punto dove mi dice che il programma deve inviare una specie di segnalazione errore a Lavasoft e poi si chiude!!

Come posso risolvere il problema??
Grazie amici..e buona giornata
Loggato
Assistenza free - Forum
« il: 01 Febbraio 2008, 10:41:27 »

 Loggato
« Risposta #1 il: 01 Febbraio 2008, 10:53:09 »
admin Offline
Administrator
Hero Member

WWW
*****
Sesso: Maschile
Posts: 3915



Ciao RGB,
quasi sicuramente il pc è infetto da qualche spyware o inavvertitamente hai installato qualche programma rilasciato con licenza adware.

In ogni caso questa situazione va trattata come se il pc fosse infetto da virus quindi i passi fondamentali li trovi qui:
http://www.assistenzafree.com/guide/windows-xp/eliminare-tutti-i-tipi-di-virus.html


In quella guida troverai tutti i software gratuiti e più efficaci per eliminare tutte le porcherie in particolare ti consiglio:
 arrow AVG Antispyware 7.5
 arrow S&D Spybot

Applica la guida in ogni suo passo e riuscirai sicuramente a risolvere la situazione
Loggato



Aiutaci ad aiutarti:
1. Inserisci il sistema operativo nel tuo profilo.
2. Leggi il regolamento e le Faq integrative.
3. Leggi come postare correttamente.
« Risposta #2 il: 05 Febbraio 2008, 05:13:51 »
no avatar rgb Offline
Newbie

*
Posts: 24



Le sto provando tutte, ma ancora non riesco a risolvere.
Ad esempio Ad-Aware ha trovato VIURTUMONDE che è un malware che è riuscito solo a mettere in quarantena.
Mentre Avg ha trovato worm.Mytobe.de come infezione critica. Comunque ho pulito un pò di cose ed ora sto provando con SPybot per vedere che mi risultati mi dà.
Loggato
« Risposta #3 il: 05 Febbraio 2008, 05:47:37 »
admin Offline
Administrator
Hero Member

WWW
*****
Sesso: Maschile
Posts: 3915



Insisti prova anche a disattivare il ripristino se non l'hai già fatto e in ultimo posta un log di hijackthis
Loggato



Aiutaci ad aiutarti:
1. Inserisci il sistema operativo nel tuo profilo.
2. Leggi il regolamento e le Faq integrative.
3. Leggi come postare correttamente.
« Risposta #4 il: 05 Febbraio 2008, 07:22:15 »
no avatar rgb Offline
Newbie

*
Posts: 24



Non riesco a postarti il mio file log creato con hijackthis perchè mi dice che non è possibile inviare file .log con il forum.

Eppure dovresti visionarlo perchè l'ho controllato nel sito della guida e mi sa che c'è un trojan chiamato Virtumonde..solo che prima di eliminare un file di registro è meglio che sia sicuro...grazie
Loggato
« Risposta #5 il: 05 Febbraio 2008, 08:39:46 »
admin Offline
Administrator
Hero Member

WWW
*****
Sesso: Maschile
Posts: 3915



Rinominalo in .txt
Loggato



Aiutaci ad aiutarti:
1. Inserisci il sistema operativo nel tuo profilo.
2. Leggi il regolamento e le Faq integrative.
3. Leggi come postare correttamente.
« Risposta #6 il: 05 Febbraio 2008, 09:29:43 »
fandango2031 Offline
Hero Member

*****
Sesso: Maschile
Posts: 661



Hai provato a controllare il sistema in modalità provvisoria?
Loggato

Pentium 2 dual core E6750-4gb Ram 800 Mhz-Asus P5W DH Deluxe-GForce 8800GTS-2 HardDisk 250 Western Digital-1 HardDisk 74gb Raptor Western Digital-Plextor PX 716A-Plextor PX 800A-mast.Lg 18x-Windows Xp Pro
« Risposta #7 il: 05 Febbraio 2008, 11:15:36 »
no avatar rgb Offline
Newbie

*
Posts: 24



Si ho provato in modalità provvisoria ed ho trovato diversi problemi che sembrano essersi risolti anche se il problema persiste ancora;
Vi posto il file rinominato in txt del file log di hijackthis per avere qualche maggiore informazione da parte vostra...grazie

* hijackthis.txt (9.52 KB - scaricato 57 volte.)
Loggato
« Risposta #8 il: 05 Febbraio 2008, 12:52:13 »
scrambler_900 Offline
Hero Member

WWW
*****
Sesso: Maschile
Posts: 4029



Ciao

scusa perchè il log è in html ?


di solito hijack restituisce direttamente in un file di testo il risultato


comunque x rimuovere  Virtumonde  c'è un tool apposito che si scarica dalla symantec FIXVMONDE ma NON L'HO MAI USATO

non saprei guidarti nell'utilizzo devo tradurre una procedura in  eng

The tool can be found here: http://securityresponse.symantec.com/avcenter/FxVMonde.exe




POI c'è VUNDOFIX che ho già visto e usato che funziona altrettanto bene  great



scarica questo TOOL sul desktop. clicca x il download    http://www.atribune.org/ccount/click.php?id=4

Disattiva il ripristino configurazione di sistema IMPORTANTE

RIAVVIA IL PC  (si cancelleranno eventuali files infetti nei punti di ripristino) diablo

adesso Avvia VundoFix
 
Clicca Scan for Vundo.

Al termine della scansione, clicca Remove Vundo.

Ti chiederà se vuoi rimuovere i files, clicca YES

Il desktop diventerà nero (sta lavorando il programma di rimozione).

Al termine ti verrà chiesto di riavviare il pc, clicca ok

Può darsi che non riesca ad eliminare subito tutti i files infetti e l'operazione verrà completata al riavvio del pc.

Posta qui il risultato dell'operazione, che troverai nel file C:\vundofix.txt.

è probabile che in seguito si renderà necessario ripulire anche  il registro da eventuali chiavi infette,ma x adesso non toccarlo



ecco il log ( ho dato solo un rapido sguardo,  nulla di approfondito)



RIAVVIA IL PC IN MODALITà PROVVISORIA

ri esegui la scansione con hijack seleziona le voci che seguiranno e quando le avrai selezionate TUTTE  eliminale con il tasto Fix cheked


O2 - BHO: (no name) - {3AEC3373-C823-4853-97D4-5B5549833BC3} - C:\WINDOWS\system32\byxutqq.dll (file missing)


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


O4 - HKLM\..\RunOnce: [SpybotDeletingA105] command /c del "C:\WINDOWS\system32\libeay32.dll_old"


O4 - HKLM\..\RunOnce: [SpybotDeletingC2168] cmd /c del "C:\WINDOWS\system32\libeay32.dll_old"


O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ?


O4 - Global Startup: Reg.lnk = ?


O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)


O20 - Winlogon Notify: byxutqq - byxutqq.dll (file missing)



adesso chiudi hiack,  riavvia in mod normale e puliscxi con ccleaner

dopo che avrai pulito lancia VUNDOFIX


Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.06.21, on 05/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\Power Translator 11\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programmi\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3AEC3373-C823-4853-97D4-5B5549833BC3} - C:\WINDOWS\system32\byxutqq.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator 11\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [THotkey] C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA105] command /c del "C:\WINDOWS\system32\libeay32.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2168] cmd /c del "C:\WINDOWS\system32\libeay32.dll_old"
O4 - HKCU\..\Run: [toscdspd] TOSCDSPD.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Utilità controllo supporti di Picture Motion Browser.lnk = C:\Programmi\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ?
O4 - Global Startup: Reg.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://claudiomancuso.spaces.live.com/PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{138F03A4-A51C-4EC8-8F15-2475159BFE72}: NameServer = 85.37.17.39 85.38.28.71
O17 - HKLM\System\CCS\Services\Tcpip\..\{F77D8B5C-E88B-463C-A2BF-26221094A7C0}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: byxutqq - byxutqq.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator 11\LogoMedia TranslateDotNet Server.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programmi\Toshiba\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 9750 bytes


« Ultima modifica: 05 Febbraio 2008, 12:55:42 da scrambler_900 » Loggato

« Risposta #9 il: 05 Febbraio 2008, 13:03:12 »
fandango2031 Offline
Hero Member

*****
Sesso: Maschile
Posts: 661



Ci sono degli errori...vai qui http://www.hijackthis.de/ e copia il testo all'interno del riquadro dopodiche analizza e scopri dove sono i problemi da risolvere...
Loggato

Pentium 2 dual core E6750-4gb Ram 800 Mhz-Asus P5W DH Deluxe-GForce 8800GTS-2 HardDisk 250 Western Digital-1 HardDisk 74gb Raptor Western Digital-Plextor PX 716A-Plextor PX 800A-mast.Lg 18x-Windows Xp Pro
« Risposta #10 il: 05 Febbraio 2008, 21:25:51 »
no avatar rgb Offline
Newbie

*
Posts: 24



Per rispondere a scrambler_900 per quanto riguarda hijack mi ha ridato un file in formato .log che nel forum non riesco a caricare perchè non riconosce il file anche se a me lo apre un normale blocco note.

Così ho copiato il contenuto in un  file di testo .txt e l'ho postato..comunque domani mattina proverò la procedura sperando di risolvere.
Loggato
« Risposta #11 il: 06 Febbraio 2008, 07:32:05 »
no avatar rgb Offline
Newbie

*
Posts: 24



Ho seguito la procedura iniziando dall'eliminazione dei file di hijack in modalità provvisoria...poi ho riavviato ed avviato VUNDOFIX il quale mi ha dato il seguente file log.
Mentre gli date un'occhiata io controllo se il problema si è risolto navigando su internet...

* VundoFix.txt (0.35 KB - scaricato 44 volte.)
Loggato
« Risposta #12 il: 06 Febbraio 2008, 07:53:00 »
scrambler_900 Offline
Hero Member

WWW
*****
Sesso: Maschile
Posts: 4029




Ciao rgb

si è vero,  il log di hijack si apre con un qualsiasi  editor di testo, nessun problema mi aveva solo incuriosito il formato in html  sarcastic


comunque:  come ti avevo già detto dopo la rimozione di Virtumonde

è necessario andare a cercare ed eventualmente ripulire in modo manuale alcune chiavi che ha aggiunto l'ADAWARE


DETTAGLI SU VIRTUMONDE

Aggiornamento: Febbraio 13, 2007 113604::

Tipo: Adware

Rischio Impatto: Basso

Questo adware secondo quanto pubblicato stato rilevare come

 %WindirWindowsUpd1.exe%\ o sysupd.exe,  ( WindowsUpd     sysupd   )


però,  prima di procedere, sarebbe importante che facessi il BACKUP  del  registro ,non si sà mai



procedi cosi


Start > esegui > adesso Scrivi regedit >

Dal menù File seleziona > Esporta

Scegli la cartella di destinazione,  cartella a cui metterai il nome x esempio  (Backup di Registro)
conferma con il comando salva

IMPORTANTE:  assicurati  che all'interno della finestra, " intervallo di esportazione" sia selezionata la voce " TUTTO " conferma e termina il backup


adesso potrai tranquillamente eliminare le eventuali  chiavi infette


RIMOZIONE CHIAVI INFETTE


clic su start  clic su  esegui  e scrivi regedit  clic si ok

si aprirà il registro

Naviga fino alla chiave

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun\\\\\

cancella il valore:

"WindowsUpd" che corrisponde a  "[ADWARE  VIRTUMONDE]"

Naviga fino alla chiave :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun\\\\\

cancellare il valore:

"SysUpd" che corrisponde a  "[ADWARE VIRTUMONDE]"



cerca ed elimina le seguenti chiavi, (  elimina quelle che trovi ,non è detto che ci siano ancora e che ci siano  tutte )

chiavi da eliminare


HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDCA21E6FA\\\\{-41D9-4F05-9650-8B3FBE72124Dscan}

HKEY_LOCAL_MACHINESOFTWAREClassesIEpl.IEpl\\\

HKEY_LOCAL_MACHINESOFTWAREClassesIEpl.IEPl.1\\\

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser\\\\\\ Aiuto ObjectsCA21E6FA\{-41D9-4F05-9650-8B3FBE72124D}

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows\\\ NTCurrentVersionWinlogonNotifytdev\\\\

HKEY_USERSS\-1-5-21-1887652994-1477516851-2064603551-500SoftwareMicrosoft\\
\WindowsCurrentVersionExtStatsCA21E6FA\\\\{-41D9-4F05-9650-8B3FBE72124D}

HKEY_LOCAL_MACHINESOFTWARETargetSoft\\

HKEY_CLASSES_ROOTCLSIDFDA4DFFB\\{-2C3D-4730-8D7E-28523C7F2F67}

HKEY_CLASSES_ROOTDosSpecFolder.DosSpecFolder\

HKEY_CLASSES_ROOTDosSpecFolder.DosSpecFolder.1\

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats\\\\\\
\{FDA4DFFB-2C3D-4730-8D7E-28523C7F2F67}

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser\\\\\\ Aiuto ObjectsFDA4DFFB\{-2C3D-4730-8D7E-28523C7F2F67}

esci dal registro .e riavvia
Loggato

« Risposta #13 il: 06 Febbraio 2008, 08:10:43 »
scrambler_900 Offline
Hero Member

WWW
*****
Sesso: Maschile
Posts: 4029



Sorry  era  scaduto il tempo x modificare il post



Virtumonde aveva compagnia  sarcastic

vundofix ha fatto il suo lavoro ,   great   ha rimosso una variante dell'adaware vundo

wvwuv.dll = Vundo variant adware


ho messo accanto la traduzione,

VundoFix V6.7.7

Checking Java version...       
Sun Java not detected     

Scan started at 11.33.45 06/02/2008         scansione partita etc etc


Listing files found while scanning....  file trovati durante la scansione 

C:\WINDOWS\system32\wvwuv.dll

Beginning removal...   inizio rimozione

 Attempting to delete C:\WINDOWS\system32\wvwuv.dll         sto x eliminare il seguente file

C:\WINDOWS\system32\wvwuv.dll Has been deleted!             il file è stato eliminato

Performing Repairs to the registry.              Esecuzione di riparazione al Registro di sistema. Terminata
Done!


x Virtumonde dovresti cercare quelle chiavi che ti ho indicato

dimenticavo,  la procedura di pulizia l'ho presa dalla SYMANTEC la trovi a questo link in  eng

http://www.symantec.com/security_response/writeup.jsp?docid=2003-120914-4108-99&tabid=3
Loggato

« Risposta #14 il: 06 Febbraio 2008, 12:40:47 »
no avatar rgb Offline
Newbie

*
Posts: 24



Non riesco a trovare neanche una chiave di quelle che mi hai consigliato di eliminare, forse perchè non sono praticissimo ad impelagarmi nel registro.
Ho pensato di ricercarle col comando cerca ma non succede nulla....per favore potresti darmi un consiglio su come ricercare queste chiavi.

Ad esempio nella chiave
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser\\\\\\ Aiuto ObjectsCA21E6FA\{-41D9-4F05-9650-8B3FBE72124D}

non mi spunta browser, ma Browser Helper Objects dove all'interno non c'è il valore ricercato..
Quando scrivi \\\\\\ cosa vuol dire?

Comunque quella maledetta pagina internet continua ad aprirsi!!!!!!!!!!!!!!
Loggato
Tags: Virtumonde risolto 
Pagine: [1] 2   Vai Su
Aggiungi segnalibro Stampa
Salta a:  

© 2006 - 2008 Assistenza free - Forum
hbSkins | Powered by SMF 1.1.8 | SMF © 2006-2007, Simple Machines LLC
Seo4Smf v0.2 © Webmaster's Talks

Sitemap
Google ha visitato per ultimo questa pagina 11 Maggio 2017, 23:38:26