home page dirottata!!

[piolo800]

ciao ragazzi ho un problema che non riesco a risolvere :cry: :help: . ogni volta che avvio IE la home page non è quella da me impostata ma www.skymasters.biz, che si alterna come per incanto a http://dowload.capitan-trash.com/destop/myhomepage.exe :mad: Ho provato in diversi modi di risolvere il problema; come prima cosa ho scaricato "sysclean package" creandogli un file nel disco fisso; poi ho eseguito "Bhodemon", ma non ha individuato nessuna .dll sospetta; poi ho eseguito "Cw shredder". Dopo tutto, niente, come prima. Allora ho scaricato ed eseguito il tool "Unrealcw.zip e anche "sphjfix.exe, non prima di aver fatto una copia del registro di sistema. Ho agito sempre in modalita provvisoria. Aggiungete a tutto ciò, una finestra che mi appare ogni tanto sul desktop dal nome "internet private zone" :mad: :grrr: :cry: , e che mi dirotta poi su un sito che si chiama www.sexiporno. qualcosa ecc. Ho provato ad eliminare anche alcune voci nel registro relative a skymasters, ma ad ogni riavvio del pc la home page è sempre la. qualcuni mi aiuta perpiacere? Come antivirus ho avast home edition 4.6 che mi ha avvisato solo per quel maledetto :shutup: :mad: :grrr: sito cioè capitan- trash ecc. un grazie immenso a chi mi vorrà dare la dritta. Saluti

 

[Inuyasha]

Credo che si tratti di un Trojan :shutup:
Prova a scaricare Tauscan della Agnitum e fai una scansione completa www.agnitum.com

 

[enonva]

fai una scansione anche con hijackthis e posta il log qui: http://www.hijackthis.de/it

 

[iLLiDaN]

fai una scansione anche con hijackthis e posta il log qui: http://www.hijackthis.de/it

quoto...penso sia la soluzione giusta.. :nod:

 

[Inuyasha]

Una buona alternativa sarebbe quella di passare a Mozilla Firefox al posto del "solito" IE :nod:

 

[iLLiDaN]

Una buona alternativa sarebbe quella di passare a Mozilla Firefox al posto del "solito" IE :nod:

:nod: .. :chupachup

 

[piolo800]

home page dirottata 2!!!

ciao ragazzi grazie per le vostre dritte!!! ho fatto tutto quello che mi avete detto ma non ho risolto niente. ho scaricato tauscan, ha fatto il controllo e ha trovato sul pc un trojan, e un malware. quando venivano trovati da tauscan, avast antivirus mi avvisava; a quel punto ho messo i virus nel cestino poi gli ho eliminati, ma niente come se non avessi fatto nulla!!! :nunu: poi ho fatto il lavoretto con hijackthis, ho salvato il file e ho fatto il controllo in linea, ed effettivamente mi ha detto ciò che dovevo togliere; l'ho fatto, ma al riavvio come sempre, tutto era li, niente! :cry: come sempre la home page è www.skymasters.biz, poi ho sempre sta maledetta finestrella internet private zone che mi si apre, ed in più www.sexiporno.com che ogni tanto si apre. Detto questo, aiuto :help:!!! il lavoro con hijackthis l'ho fatto non in modalità provvisoria, lo stesso con tauscan. Secondo voi dovrei fare un avvio parziale come ho letto da qualche parte? anche se non ho capito molto bene a cosa dovrebbe servire. ah, ho sempre inattivo la configurazione di sistema. aiuto!!!!! :help:

 

[jerrynew]

puoi allegare il log di hijack per farmelo vedere fallo ora non quello che hai già pulito ?se hai xp poi quando hai scansionato con l'antiviruus hai disabilitato il ripristino confuigurazione di sistema?

 

[Fragolino]

ciao ragazzi grazie per le vostre dritte!!! ho fatto tutto quello che mi avete detto ma non ho risolto niente. ho scaricato tauscan, ha fatto il controllo e ha trovato sul pc un trojan, e un malware. quando venivano trovati da tauscan, avast antivirus mi avvisava; a quel punto ho messo i virus nel cestino poi gli ho eliminati, ma niente come se non avessi fatto nulla!!! :nunu: poi ho fatto il lavoretto con hijackthis, ho salvato il file e ho fatto il controllo in linea, ed effettivamente mi ha detto ciò che dovevo togliere; l'ho fatto, ma al riavvio come sempre, tutto era li, niente! :cry: come sempre la home page è www.skymasters.biz, poi ho sempre sta maledetta finestrella internet private zone che mi si apre, ed in più www.sexiporno.com che ogni tanto si apre. Detto questo, aiuto :help:!!! il lavoro con hijackthis l'ho fatto non in modalità provvisoria, lo stesso con tauscan. Secondo voi dovrei fare un avvio parziale come ho letto da qualche parte? anche se non ho capito molto bene a cosa dovrebbe servire. ah, ho sempre inattivo la configurazione di sistema. aiuto!!!!! :help:

Le stesse operazioni falle in modalità provvisoria dopo aver disabilitato il ripristino di sistema ... :nod: e per eliminare lo startpage prova ad usare CWShredder ... :ghigno2:

 

[piolo800]

per jerry new!!

grazie jerry new ti invio il file!!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\mHotkey.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\sysmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\PAOLETTO\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhomepage.capitan-trash.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhomepage.capitan-trash.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\PAOLETTO\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\sysmon.exe
O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programmi\BHODemon 2\BHODemon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/it/techsupp/activedata/ActiveData.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Programmi\Internet Sweeper Pro\autocomp.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe

 

[jerrynew]

ti anticipo che visto che non hai incollato la prima parte spero tu abbia service pack 2 e sistema operativo aggironato, e che tu abbia usato la versione 1.99.1 di hijack per scansionarre

 

[Fragolino]

Il file log invece di postarlo qui sul 3d invialo direttamente a questo indirizzo http://www.hijackthis.de/it e avrai l' analisi direttamente ... :nod:

 

[jerrynew]

da fixare
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\PAOLETTO\Dati applicazioni\sgrunt\IE4321.exe <---spy
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\sysmon.exe <--- worm come spiegato qui http://www.nod32.it/pedia/b/bizex-a.htm
gli 09

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

 

[piolo800]

ciao jerry ti ringrazio credo di avere risolto i miei problemi. ho eliminato le chiavi che mi hai indicato ma ora non mi funziona piu avast antivirus. infatti mi dice questo: avast:"il sottosistema AAVM ha trovato un errore RPC. CHE è STA ROBA? COME FACCIO? grazie ancora e scusa se rompo...

 

[jerrynew]

prova a reinstallarlo