| Autore |
 Discussione  |
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 03/01/2004 : 02:30:10
|
Salve ragazzi, sono nuovo del forum e sono approdato qua dopo aver indagato a fondo nel mio sistema.
C'è questo maledetto adware di cui non riesco a reperire informazioni...
Sembra sia italiano e l'unico fastidiosissimo problema che mi da è un link sulle pagine web che navigo.
Spesso mi esce la scritta [AD] linkata all'indirizzo htt*://ad.pro-advertising[.com] (è consigliabile non guardare il link), altre volte mi esce un'immagine.
E' una bastardissima agenzia di viaggi e turismo che mi ha veramente fracassato i cosiddetti...
Qualcuno sa niente di questo AdWare??
Grazie infinite comunque...
|
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 03/01/2004 : 02:56:51
|
Quell'infame aggiunge quest'html dove trova spazio:
|
 |
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 03/01/2004 : 02:59:17
|
cacchio scusate...non sapevo che fossero abilitati i tag html...
Chiedo gentilmente agli amministratori di cancellare il reply precedente a questo..
|
|
|
|
Daitan3
Advanced Member
425 Messaggi |
Inserito il - 03/01/2004 : 16:38:28
|
htt*://security.kolla.de/news.php?lang=it
e' la versione italiana del sito da cui puoi scaricare spybot search & destroy .
Io ho dato un'occhiata nell'advanced-mode ( mi sto riferendo all'ultima versione esistente del prodotto gia' dibattuta sul forum ) ma non ho trovato il nome esatto da te citato. Secondo me e' uno spy che "fa capo" ad un sito e funge da Hijacker.
Comunque scaricati spybot (e' gratuito), utilizza le funzioni dell'advanced mode attivabili dall'iconcina sulla Systray del tuo pc. Attiva la funzione autoprotect , attiva l'esclusioni della listi di siti e host che sono soliti avere comportamenti scorretti. Ovviamente fai pure una bella scansione. Lingua italiana selezionabile .
Edited by - Daitan3 on 03/01/2004 16:50:16 |
|
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 03/01/2004 : 19:52:43
|
Thx per la tua risposta ma ho gia fatto la scansione con spybot ed AD-Aware 6.0
Niente...
L'intruso chiede di installare un active-x quando si clicca sul link che compare sulle pagine web dal nome "NETVISION" ed ho sbagliato anche a postare il link...
Quello esatto è questo:
htt*://ad.pro-advertising[.com]/NWSA/AD.SALTO?User=102885&Banner=C&Mercante=103050&246303
Che non fa altro che fare un redirect a questo:
htt*://aroundtheworld.hostance[.com]/
Inoltre visto che è nascosto da qualche parte, ogni tanto (mentre navigo) mi compare la finestra di download di questo file:
htt*://deposito.hostance.net/dialer/507167.exe
che ovviamente sarà il programma di dial-up
Io più che mettere programmi per monitorare vorrei beccare la key che sto bastardo ha messo nel regedit...
Thx
|
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 04/01/2004 : 01:19:00
|
installa hijackthis 1.97, esegui uno scan e posta il risultato.
Ps. installa un firewall.
erreale
La verità è che la verità cambia.
htt*://erreale.altervista.org |
|
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 04/01/2004 : 01:26:02
|
il firewall lo tengo gia...infatti ho notato che richiede informazioni in uscita sulla porta 80...
Proverò con lo scan...e vi farò sapere.
thx 
|
|
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 04/01/2004 : 01:52:39
|
ora che ho rivisto il programma ti posso dire che avevo usato anche quello ma non ho visto cose rilevanti...forse voi scoprite qualche voce strana.
In ogni caso il log è questo:
Logfile of HijackThis v1.97.7
Scan saved at 1.57.53, on 04/01/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\WtmPan.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\program files\rage3dtweak\gameutil.exe
C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
D:\norton\Norton Utilities\NPROTECT.EXE
C:\Programmi\Promise\Utility\MsgAgt.exe
D:\norton\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
E:\eMule0.26d-LSD4b-Bin\emule.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\DavCData.exe
E:\showdown\mirc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Macromedia\Dreamweaver MX\Dreamweaver.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Michele\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.207.79.251:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = htt*://windowsupdate.microsoft[.com]/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programmi\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [WtmPan] WtmPan.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
|
|
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 04/01/2004 : 01:53:20
|
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Gestione servizi.lnk = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O16 - DPF: ConferenceRoom Java Client - htt*://irc.net36[.com]:8080/java/cr .cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - htt*://messenger.zone.msn[.com]/binary/msgrchkr .cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - htt*://security.symantec[.com]/sscv6/SharedContent/vc/bin/AvSniff .cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - htt*://messenger.zone.msn[.com]/binary/MessengerStatsClient .cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - htt*://v4.windowsupdate.microsoft[.com]/CAB/x86/unicode/iuctl .cab?37685.4120138889
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - htt*://security.symantec[.com]/SSC/SharedContent/common/bin/cabsa .cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - htt*://download.macromedia[.com]/pub/shockwave/cabs/flash/swflash .cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - htt*://216.65.38.226/crack .cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F686C07-7D18-4DA4-8BA3-AFFB55AF2C20}: NameServer = 192.168.0.1
|
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 04/01/2004 : 08:10:32
|
in effetti nel log non vedo cose particolari, vedo però che usi outpost e quindi ti suggerisco di bloccare la "cosa" con quello.
Vai in Active Content (ovviamente il plug-in deve essere enable) e inserisci sotto la voce "Web pages" questi tre indirizzi:
htt*://ad.pro-advertising[.com]
htt*://aroundtheworld.hostance[.com]
htt*://deposito.hostance.net
e per ciascuno blocca (disable)l'esecuzione di: activeX control, cookies,java and VB script,popup windows, java applets.
Poi procurati (se non lo usi già) il plug-in Blockpost (lo trovi sul sito agnitum). Una volta installato il plug-in blocca gli IP di questi tre siti in questo modo:
ad.pro-advertising[.com]#various
207.44.210.86/255.255.255.255,aroundtheworld.hostance[.com]#various
207.44.210.86/255.255.255.255,deposito.hostance.net#various
Fammi sapere se così funziona.
ciao
erreale
La verità è che la verità cambia.
htt*://erreale.altervista.org |
|
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 05/01/2004 : 02:33:46
|
Si erreale...ho messo anche il plug in.
Viene bloccato l'accesso ma mi ritarda di molto l'apertura della pagina che contiene lo spy...
Così facendo comprometto la mia navigazione e magari chiudo un sito che apparentemente sembra non aprirsi.
Possibile che non c'è il modo di beccare la key che ha messo?!
|
|
|
|
bondurant
Advanced Member
386 Messaggi |
Inserito il - 05/01/2004 : 09:52:51
|
..dico una caxxata, ma una bella, lunga e pallosa ricerca manuale nel registro per OGNI termine affine a quei links l'hai gia fatta?
boNds
|
|
|
|
fusionman
Starting Member
9 Messaggi |
Inserito il - 05/01/2004 : 13:07:42
|
sisi...ho cercato di tutto nel registro...
E' la prima volta che non riesco a togliere uno spy!
|
|
|
| |
Discussione |
|
ad.pro-advertising[.com]
Forum Bloccato
