PDA

Visualizza versione completa : ..mistero.. dylandiscs . com



p060477
08-06-10, 17: 49
ciao!

..qualcuno mi sa spiegare perche' questo sito:

www.dylandiscs.com

ha come risposta:NT24

mentre se lo scrivo:

http://dylandiscs.com

ottengo questa immagine:
http://dylandiscs.com/mario.jpg

..se io scrivo www.ebay.com oppure http://ebay.com ottengo sempre ebay..

..allora perche' nel caso che vi segnalo no..??!!

cosa sbaglio..??

..c'e' mica qualche malware di mezzo..??!!

grazie in anticipo!!

luca

Asterix
08-06-10, 18: 34
A mio avviso non c'è alcun mistero ma una configurazione voluta

con il www viene visualizzato NT24 mentre senza viene richiamata la pagina con l'immagine di mario.

Il sito di ebay come ct e molti altri hanno una configurazione tale da far andare sempre nel www o il contrario al fine di evitare problematiche di coockies (controlla i link)

:bai

p060477
08-06-10, 21: 53
ciao e grazie mille!

..perdona la mia max ignoranza..ma..cosa significa quando scrivi:
"(controlla i link)"...??
forse in un modo il sito cerca di instaurare del malaware sul pc..??..
hai mica controllato se tali link sono "puliti"..o se invece sono fatti apposta per installare magari trojan o keylogger etcc..sul pc..??
io dopo lì'accesso ho fatto una scan con antivir ed il mio pc mi pare pulito..ma non si sa mai..!!
grazie..anche della pazienza!!
luca

Asterix
09-06-10, 08: 04
Per controlla il link intendo vai al sito http://ebay.it e poi guarda l'indirizzo web a pagina caricata e vedrai che è www

Le pagine che hai linkato non mi hanno segnalato alcun pericolo almeno ad una prima analisi.

:bai

p060477
09-06-10, 08: 45
ciao e grazie!!

..anche per il sito linkato accade cio' che scrivi per ebay..??

..sei proprio sicuro che non ci sia dentro,al linkato..,un marchingegno..tipo java script e cosi' via..atto a carpire dei dati
"sensibili"..??

grazie..anche per la pazienza!!

luca

Asterix
09-06-10, 08: 51
L'addon di firefox noscritp non segnala script attivi nei link da te riportati.

:bai

p060477
09-06-10, 09: 34
ciao ed ancora grazie!
..quindi mi assicurate che non c'e' modo alcuno di "infettarsi" accedendo a tale link..??..
..e non c'e' modo che ti carpiscano dati tipo ip address e cosi' via..??
grazie..anche della pazienza!
luca

Asterix
09-06-10, 09: 40
L'ip e altri dati si possono recuperare dai log di accesso non è necessario avere uno script

:bai

p060477
09-06-10, 10: 01
ciao e grazie!!

..quindi mi confermi che il solo accedere a tale link non espone il pc a rischi di malaware o carpimento di dati tipo ip address et simila..??

mille grazie!!

luca

Andy86
09-06-10, 19: 27
Ma se ti preoccupa tanto perché ci vai? Tanto non c'è nulla da farci, secondo me è un sito in costruzione, il codice contenuto in quelle pagine, infatti, è limitato a ciò che si vede, non c'è nulla di anomalo o nascosto.

:bai

p060477
10-06-10, 09: 26
ciao e grazie!

..non ci "vado"..ci sono stato "mandato"..in un modo che non mi e' piaciuto..per questo,per il "modo",ero quasi stra-sicuro che dietro ci fosse del malaweare tipo trojain o keylogger o carpimento di ip add etcc..
luca

Thund3r
12-06-10, 02: 16
Ciao

Bastava fare qualche ricerca nel web per trovare la risposta.
Ti quoto una parte "strappata" da un blog pubblico presente nel web:


C'è anche una questione che interesserà ai SEO. Nel caso il sito (lo stesso) sia raggiungibile sia con che senza www, è necessario fare in modo che ci sia un redirect permanente (301) da uno verso l'altro, altrimenti i motori di ricerca li tratteranno come due siti differenti, che nell'ottica SEO non è il massimo.

Nel tuo caso, per scoprire se ci sono giochetti in java basta controllare il codice sorgente della pagina.

p060477
12-06-10, 12: 48
ciao e grazie mille!
..e' proprio cio' che vi volevo chiedere..anche se data la mia max incapacita' ed inesperienza sicuramente mi ero spiegato male..e me ne scuso con voi tutti..

caro thund3r gia' che hai fatto 99 potresti fare 100..??!!..cioe' mi potresti vedere se in tali pagine che ho linkato qua ci sia cio' che anche tu chiami :"giochetti in java"..??..in sostanza potresti controllarne il codice sorgente delle pagine..??..abbi pazienza ma io sono cosi' imbranato che di me non mi fido assolutamente..!!

ancora mille grazie..anche della pazienza!!

luca

Andy86
12-06-10, 12: 55
potresti controllarne il codice sorgente delle pagine..??

Che avevo detto prima? :m:


il codice contenuto in quelle pagine, infatti, è limitato a ciò che si vede, non c'è nulla di anomalo o nascosto.

:bai

p060477
12-06-10, 13: 02
ciao e grazie!

..alla mia modestissima esperienza invece sono MOLTO diversi..:

uno ha come sorgente NT24

e l'altro invece:


Only registered members can view HTML code.

..mi pare che la differenza salti agli occhi..nel secondo,quello di http://..etcc.. ci sono moltissime info..tra cui dei rimandi a siti di viagra etcc..etcc..

ma ora aspetto il vs parere di sicuro molto piu' esperto del mio..
ma comunque sono ancor piu' convinto che il secondo,http://dylandiscs.com contenga di sicuro qualche scherzetto..se non virus o malaweare di sicuro qualche modo per carpire le info dei pc che si collegano..

grazie di tutto..anche della pazienza!!

luca

Thund3r
12-06-10, 13: 13
Io mi baso sui codici html postati da te.
Del primo sito hai fornito solo la scritta NT24 senza codice quindi, nisba.
Del secondo hai fornito il codice html completo, spero.
Si evince un link scr di un immagine "mario.jpg" che non rimanda a nessun altro url esterno. In più in una tabella "table" ci sono delle scritte "Order cheap" "low price" "female-pink-viagra" "drug store.". Alcune di queste sono linkate a siti esterni i quali, probabilmente, contengono qualche scherzetto simpatico.
Dal codice da te quotato non si evince nessun javascript e/o similari.

Andy86
12-06-10, 13: 24
Only registered members can view HTML code.Questo in html è un commento, ed in inglese "ad" è abbreviazione di "adversing" che si traduce "pubblicità". :lol:

Quindi quella parte del codice, che in effetti l'altro giorno non c'era, non è altro che ciò. :sisi

Il codice dell'altra pagina è in effetti solo la scritta, che ad un analisi più approfondita equivale a:


Only registered members can view HTML code.Ma la sostanza non cambia... :sisi

p060477
12-06-10, 13: 29
ciao e grazie!

..perdona ma sono veramente assai imbranato..per cui della tua risposta ho compreso ben poco..
..forse mi spiego male io..
cerco di essere meno confusionario..:

se apro il sito:www.dylandiscs.com ottengo una pagina bianca con la scritta NT24...e se su tale pagina clicco con ds e apro le "visualizza info sorgente pagina",come ho capito dal tuo post che dovevo fare..,ottengo:NT24

se invece faccio la medesima operazione sul sito http://dylandiscs.com ottengo:


Only registered members can view HTML code.

a questo punto chiedo a voi un parere ed una analisi..a mio modesto parere si evince cio' che ho sostenuto sin dall'inizio di questo 3d,
cioe' che il secondo:http//dylandiscs.com contiene sicuramente del malaweare o script che come minimo carpiscono dei tuoi dati personali del tuo pc..

e a questo punto mi ha un poco sorpreso la prima risposta di asterix che invece non vi ha ravvisato nulla di che..

luca

Thund3r
12-06-10, 13: 41
Non ha ravvisato nulla perchè nulla c'è da ravvisare.
La pagina in sé (la seconda) contiene solo un ad, cioè uno spazio pubblicitario per siti terzi i quali, potrebbero e dico potrebbero contenere malaweare.
Il codice della pagina non contiene nulla di malvagio.

Andy86
12-06-10, 13: 42
Allora... Questa parte di codice carica l'immagine visibile:


Only registered members can view HTML code.Mentre questa:


Only registered members can view HTML code.Compresa tra i commenti ad il cui significato ho spiegato prima, dovrebbe visualizzare una tabella pubblicitaria, un po' come quella che vedi sotto il primo post.

Per quanto ne so, i link potrebbero anche essere stati inseriti da google ad o servizio equivalente. Comunque fanno solo pubblicità, non vedo attivazioni automatiche.

:bai

p060477
12-06-10, 14: 38
ciao!
innanzitutto grazie di cuore..anche della pazienza!

1)andy tu scrivi:"un po' come quella che vedi sotto il primo post."..:..mi diresti o indicheresti quale..??..abbi pazienza ma sono imbranatissimo e non la troverei..

2)vi chiedo:ma se inizialmente tali "ad" pubblicitari non c'erano,forse anche da qui la risposta assicurativa di asterix iniziale..,poi perche' sono stati inseriti..??..a quale scopo..??..e da chi..??

3)che senso hanno quelle "tabelle pubblicitarie"..??..se non sono visibili ma lo e' solo la jpg di mario.jpg come mai sono inserite..??

..insomma a me tutto cio' sa di sospetto..ma forse dipende dalla mia profonda ignoranza..

..per questo vi chiedo la pazienza di spiegarmi tutto questo in modo molto "terra terra"..cioe' al mio bassissimo livello..!!

ancora grazie di cuore..anche per la pazienza!!

luca

Thund3r
12-06-10, 14: 45
Personalmente non credo che quella pubblicità sia di google.
Io ho adoperato adsense e non mira a pubblicità del genere, in più ne conosco il codice.

Luca il tutto è molto semplice.
I siti con www, anche se con stesso dominio, sono totalmente differenti da quelli senza www a meno che, come detto prima, non si abbia un redirect.
Ora non capisco una cosa: a che ti serve andare su quel sito? o.O
Tornando in tema: quella pagina web ha dei link su pubblicità poco attendibili, secondo me. Di per sé non carica nessuno script malevolo ma quelle pubblicità, se accedute potrebbero contenere script malevoli.

Andy86
12-06-10, 14: 49
1) la tabella di cui parlo nell'esempio è questa: (spero di non violare il regolamento).

377

2) Sono stati inseriti da chi sta costruendo il sito, allo scopo di sostenere le spese di gestione.

3)Non so. Lavoro poco con html. Ma il sito non è completo, è probabile che tra un po' sistemino. Prendi superMario come un cartello di lavori in corso.

Thund3r
12-06-10, 15: 12
Penso che grazie all'aiuto di Andy siam riusciti a tirare una conclusione no?
Facci sapere Luca :)

p060477
12-06-10, 15: 16
ciao ed ancora grazie!

per thund3r:

1)..forse non hai letto tutti i miei posts..perche' ho scritto che non ci sono "voluto andare"..ma mi ci "hanno mandato"..da qui il mio chiedermi e quindi chiedervi,dato che io non ne ho le competenze,se il tutto abbia avuto uno scopo malevolo,che sia installare trojan sul mio pc oppure carpirne dati tipo ip address e cosi' via..

2)a che serve mettere tali "pubblicita'" in una parte non visibile del sito..??..per definizione una pubblicita' dovrebbe essere visibile per raggiungere il suo scopo..ripeto che non ci vedo chiaro..e non credo che il tutto sia innocuo

per andy:
il tuo allegato 376 non mi porta da nessuna parte..come mai..??..perche' dici che forse violi il regolamento..??..ho capito male o parlavi di una pubblicita' legata al primo post..??..quindi se e' li' non violeberre nulla..il fatto e' che io non la trovo..me lo spiegheresti allora a parole..??

2)..ma come ci sostiene le spese se e' in una parte "non visibile"..??!!..ce le sostengono solo se tutto cio' avverra' ad insaputa di chi li visita..come e' accaduto al sottoscritto..ed allora si torna alla mia tesi iniziale:c'e perforza del malawaere sotto..

grazie ..anche della pazienza..

luca

Thund3r
12-06-10, 15: 20
Grazie.
Ora mi è tutto più chiaro.

La pubblicità è visibile. Se vado sulla pagina html la vedo ma sicuramente non è lì per coprire spese :\

p060477
12-06-10, 15: 44
Grazie.
Ora mi è tutto più chiaro.

La pubblicità è visibile. Se vado sulla pagina html la vedo ma sicuramente non è lì per coprire spese :\


ciao..perdona la mia ignoranza..ma..mi vorreste far capire anche a me..in fondo il 3d con il dubbio l'ho lanciato io..!!

in soldoni cosa ti e' chiaro..??
..perche' dici che e' visibile se di visibile c'e' solo il mario.jpg..??
..e se non e' li per le spese..come mai e' li''..??!!

..vi prego di darmi una spiegazione semplic e e terra terra..perche' vedo che voi siete ad un altro livello e tra voi vi intendete bene..ma pensate anche ad un povero incapace ed ignorante come il sottoscritto..
grazie!!

luca

Thund3r
12-06-10, 15: 48
E' visibile perchè io la vedo, forse grazie a degli addon di firefox ma la vedo.
Non è lì per guadagno perchè pubblicità che mirano a viagra, nel 905 dei casi, alludono a siti pornografici con virus annessi.
Non conosco l'origine di quel sito e del dominio che hai menzionato ma mi viene da pensare che sia una pagina html messa lì con lo scopo di infettare qualche utente malandrino in cerca della pillola del sesso :P

Asterix
12-06-10, 16: 03
Salve

vorrei fare due precisazioni:

1) la pagina quando il sottoscritto l'ha valutata non risultava essere pericolosa, come ora. ok ci sono dei link ma questi non vengono richiamati in modo automatico tramite script quindi la pagina non risulta pericolosa.
2) non vedo il motivo da parte mia valutare una cosa non pericolosa quando lo è, mi pare un comportamento scorretto e se ho dei dubbi sinceramente in questi casi cerco di evitare di rispondere certo posso commettere degli errori ma sulla sicurezza preferisco stare zitto o essere prudente più che permissivo e bonista.

Ora le pagine non rimango costanti in quanto l'autore le puo' variare col tempo, ascolta ora vorrei capire come mai il tuo amico ti ha rimandato a quelle pagine? qual'era il contesto della discussione per il rimando? è solo per capire cosa passa per la testa alla gente.

:bai


PS. anche il sottoscritto non vede quei link se non nel sorgente

p060477
12-06-10, 16: 07
ciao thund3r!
ancora grazie!
ti prego di avere ancora un poco di pazienza con me..!

1)quindi tu se vai al link:http://dylandiscs.com oltre a vedere la immagine di mario,mario.jpg vedi anche chiaramente sul tuo pc la pubblicita'..??
..come mai la vedi solo tu ed asterix o andy no..??!!..oltre a me ovvio..!!..anche con ie ti confermo che di visibile c'e' solo la mario.jpg..

2)anche tu convieni che non e' per pubblicita' ma per cercare di infettare la gente..come ho sempre sostenuto io..ma la domanda e':come fa ad arrivare al suo scopo se tale pubblicita' non e' visibile ne con ie,browser piu' usato,ne con ff in configurazione normale..??..e' difficile che arrivi al suo scopo solo se visibile a pochi come ad es a te che hai un ff configurato in modo particolare..o sbaglio..??!!

3)..ripeto la mia domanda iniziale,che e' lo scopo del mio 3d..:il fatto di aver cliccato sul link:http://dylandiscs.com puo' aver infettato il pc,o carpito sue info personali..??..ripeto il solo click su tale link,che ha poi aperto la pagina su cui a me e' visibile solo la mario.jpg..e basta..senza aver poi cliccato su altre pagine html che al sottoscritto non sono visibili e della cui esistenza ho scoperto solo facendo tasto ds e info sorgente pagina come da voi insegnatomi..

grazie mille di cuore!!

luca

Thund3r
12-06-10, 16: 14
ciao thund3r!
ancora grazie!
ti prego di avere ancora un poco di pazienza con me..!

1)quindi tu se vai al link:http://dylandiscs.com oltre a vedere la immagine di mario,mario.jpg vedi anche chiaramente sul tuo pc la pubblicita'..??
..come mai la vedi solo tu ed asterix o andy no..??!!..oltre a me ovvio..!!..anche con ie ti confermo che di visibile c'e' solo la mario.jpg..

2)anche tu convieni che non e' per pubblicita' ma per cercare di infettare la gente..come ho sempre sostenuto io..ma la domanda e':come fa ad arrivare al suo scopo se tale pubblicita' non e' visibile ne con ie,browser piu' usato,ne con ff in configurazione normale..??..e' difficile che arrivi al suo scopo solo se visibile a pochi come ad es a te che hai un ff configurato in modo particolare..o sbaglio..??!!

3)..ripeto la mia domanda iniziale,che e' lo scopo del mio 3d..:il fatto di aver cliccato sul link:http://dylandiscs.com puo' aver infettato il pc,o carpito sue info personali..??..ripeto il solo click su tale link,che ha poi aperto la pagina su cui a me e' visibile solo la mario.jpg..e basta..senza aver poi cliccato su altre pagine html che al sottoscritto non sono visibili e della cui esistenza ho scoperto solo facendo tasto ds e info sorgente pagina come da voi insegnatomi..

grazie mille di cuore!!

luca

1) io vedo i link alla pubblicità, sì;
2) convengo ma sinceramente non mi interessa il come faccia o il perchè lo faccia;
3) assolutamente no. solo l'apertura della pagina non comporta particolari script di traccia, quindi, sei pulito e non hanno carpito nulla di tuo, tranne l'IP.

Prego :)

p060477
12-06-10, 16: 24
per asterix:
..non e' assolutamente "un amico"..altrimenti non avrei avuto subito i dubbi che ho esposto piu' volte qua..
il fatto,in sintesi,e' che io ho frequentato il sito quello con le tre w,www.dylandiscs.com che vendeva dischi di dylan,il problema e' che poi ,dopo l'acquisto,ho scoperto ,mentre loro ritardavano con scuse la spedizione,che in google era gia' accaduto che o non spedivano affatto oppure mandavano cd r copie..allora prima che mi confermassero la spedizione ho annullato l'ordine e grazie a paypal sono riuscito ad essere rimborsato per merce mai ricevuta..
poco tempo fa ho visto che tale sito era chiuso,infatti dava il famoso NT24..poi su un google groups ho visto che il suo admin aveva detto che non era stato chiuso..bensi' era ancora attivo all'indirizzo http://dylandiscs.com
io ho cliccato per sbaglio credendo,nella mia ignoranza,ed anche rafforzato da chi sul google groups sosteneva che www o http era lo stesso,e mi e' apparsa tale immagine mario.jpg..
da li i miei dubbi..che ora sono sempre piu' forti..
spero di aver spiegato alla meno peggio il tutto..
luca

---Post unito in modo automatico ---

per thund3d:

scrivi.."tranne che l'ip"..:quindi mi confermi che anche il semplice cliccare su tale link ha permesso a chi ha costruito tale link di avere il mio ip..??!!..e' quello che,nella mia max ignoranza..,ho sempre sostenuto qua..

grazie

luca

Asterix
12-06-10, 16: 32
Grazie per la spiegazione, a questo punto sono propenso nel pensare che il tutto rientri nella fascia di pagine temporanee quindi non mi stupirei se in futuro il codice cambiasse nuovamente.

Ora dopo tre pagine abbiamo confermato quanto detto in precedenza:

1) la pagina non è pericolosa
2) non ci sono script pericolosi e non hanno installato nulla nel tuo pc
3) le informazioni che possono recuperare sono quelle del log server (ip - sistema operativo - browser)

:bai


.e' quello che,nella mia max ignoranza..,ho sempre sostenuto qua..

ed è quello che ti è stato anche risposto nel post nr. 8 di questa discussione

p060477
12-06-10, 16: 41
grazie asterix!

se io faccio un ipconfig /all sul pc ottengo dei dati tra cui l'indirizzo ip.
..se metto tale ip nel sito whoisip mi viene fuori che il mio ip e' degli usa..??..come mai..??
eppure e' il mio ..di fatti l'ho messo anche nel nat server del router per aprire le porte di emule e torrent..

la cosa strana e' che se mi collego a forum dove poi viene evidenziato il mio ip io vedo che l'ip evidenziato e' diverso..e di fatti se metto quello nell'whoisip viene fuori correttamente che il mio pc e' italiano e viene anche la citta' su il cui server io sono collegato..
quindi le domande sono:

1)perche' l'ipconfig /all da un altro ip..che pero' e' quello giusto per le impo del router,(ndr:ho ip dinamico..ma cambia sempre solo l'ultima cifra quando mi ricollego)

2)quel benedetto link di questo 3d quale ip ha carpito..quello giusto effettivo ,quindi italia,oppure quello dell'ipconfig /all cioe' usa..??

grazie mille!!

luca

Asterix
12-06-10, 17: 43
Ciao

con ipconfig vedi l'indirizzo ip assegnato alla scheda di rete di solito inizia per 192.168.XXX.XXX (se fai dei controlli tipo dnsstuff figura che è della IANA usa) e non corrisponde a quello di navigazione, l'ip con cui vieni identificato nella rete web lo puoi vedere visitando pagine tipo www.mioip.it, nei server viene registrato quello reale e non quello della rete privata (192).

:bai

Thund3r
12-06-10, 18: 07
Un paio di postille :)


ed anche rafforzato da chi sul google groups sosteneva che www o http era lo stesso se nei google groups girano certe voci, siam messi bene :\

con ipconfig vedi l'indirizzo ip assegnato alla scheda di rete di solito inizia per 192.168.XXX.XXX verissimo. ora non uso più windows quindi son un po' arrugginito ma mi pare che, nella schermata che richiama si visualizzi anche l'IP esterno, quello identificativo nel web.

2)quel benedetto link di questo 3d quale ip ha carpito..quello giusto effettivo ,quindi italia,oppure quello dell'ipconfig /all cioe' usa..?? quel "benedetto link" è una pagina di semplicissimo e scarno html che, di per sé, non cattura nessun IP. L'IP l'ha catturato, sniffato, il server su cui gira quella pagina html e quindi è visibile nei log. Inoltre, l'IP sniffato è quello esterno, quello visibile ed identificativo nel web non l'indirizzo di rete 192.168.XXX.XXX

Infine,
Luca per non cadere più in tranelli come la mancata spedizione del materiale, esistono siti appositi ove si raccolgono informazioni su siti terzi di compra/vendita che ne autentificano o meno la serietà e valenza.

p060477
12-06-10, 18: 28
ciao e grazie di cuore a tutti!

1)..gia' al mio post n.7 avevo il sentore che tale link avesse carpito il mio ip..ed ora asterix me lo conferma..

2)per thund3r:ti confermo che ipconfig non da assolutamente lip con cui si naviga effettivo ma solo quello che inizia con 192...

3)"quel "benedetto link" è una pagina di semplicissimo e scarno html che, di per sé, non cattura nessun IP. L'IP l'ha catturato, sniffato, il server su cui gira quella pagina html e quindi è visibile nei log"..:

..la sostanza e' che solo cliccando su tale link http://dylandiscs.com avviene la cattura dell'ip del proprio pc..

ora vi chiederete come mai mi interessi tanto la questione del'ip..ve lo spiego in sintesi:

io sono stato "salvato" da una fregatura certa proprio dal "popolo" di google groups che ha cominciato a postare 3ds in cui si scriveva che tale sito era un fake..io oramai avevo fatto l'ordine e pagato con paypal ma grazie a tali news ho chiesto il refund a paypal prima della spedizione,vera o presunta che sarebbe stata..

..ora dato che ero stato aiutato dai groups e dai posts ho voluto testimoniare anche io la mia disavventura..ma c'e' un piccolo problema:il venditore ha il tuo indirizzo "di casa"..per cui al mio post con cui confermavo i rumours su tale sito mi e' arrivata una valanga di minaccie del venditore che in soldoni mi diceva che se non pubblicavo una smentita "mi sarebbe venuto a trovare a casa.."..

io ho risposto che avevo conservato tutte le sue minaccie e che se avesse messo in atto il suo piano avrei messo il tutto nelle mani della ns polizia locale
e non ho fatto smentite..

il tiizio,molto abile "informaticamente" ha prima hackerato il mio indirizzo email,poi il mio id su google group,ed ha quindi postato,come se fossi io,un post di rettifica e di scuse assolutamente falso

tra le more ha pure tentato di hackerare il account su paypal,che mi ha avvisato in tempo ed ho dovuto cambiare i codici di accesso e la prepagata che avevo sopra..

per ristabilire la verita' dopo un po di tempo mediante xb browser che usa tor volevo rettificare la sua rettifica..in sostanza ho postato su google groups la mia nuova testimonianza sempre di warning contro tale venditore..
l'ho fatto ripeto sempre perche' credo che il web debba servire di testimonianza ed aiuto..e per rendere l'aiuto che mi era stato dato..

ma con quel trucco del link in cui io sono caduto in navigazione normale,non con xb browser..,
ha capito di sicuro che ero io dall'italia,tramite l'ip..,ed e' tornato alla carica con le sue minaccie..

ora sapete la storia intera..
ed anche perche' io sin dall'inizio ho subodorato che c'era del marcio..

grazie di tutto..anche della pazienza

luca

Thund3r
12-06-10, 18: 41
Figurati è stato un piacere poterti aiutare, in qualche modo.
Mi dispiace per la grama esperienza che hai vissuto ma il web è piano di malintenzionati ed i forum come questo servono, appunto, alle persone per non abboccare al loro amo :P

p060477
16-06-10, 17: 55
Vi ringrazio di cuore!
..e gia' che siete stati cosi' gentili ed utili..mi potreste vedere se anche questi due siti sono puliti..??..:

http://garywoodhouse.com

http://www.facebook.com/bobsboots?v=info

il primo come info sorgente mi darebbe semplicemente:

Hi I'm Gary.

ed il secondo invece:


Only registered members can view HTML code.


..c'e' mica del malaware..trojian..zeus botnet etcc..??

..carpiscono comunque l'ip di chi le visita..??

grazie in anticipo!!

luca

---Post unito in modo automatico ---

urgentissimo..:
se andate ora al sito di inizio 3d:
http://dylandiscs.com

vi accorgete che c'e' questa scritta:

1) la pagina non è pericolosa
2) non ci sono script pericolosi e non hanno installato nulla nel tuo pc
3) le informazioni che possono recuperare sono quelle del log server (ip - sistema operativo - browser)



4) Luca is CRAZY!

e' stata modificata,la pagina,il 12.6 alle ore 17.20..ed e' pari pari la risposta data qua da asterix ,12/6 ore 16.32..

cosa ne deducete..??..che il tizio sta spiandoci TUTTI..??!!..

..cosa mi consigliate di fare..??!!

ecco la info sorgente..:


Only registered members can view HTML code.


vi prego di darmi una mano..

grazie!!

luca

Asterix
16-06-10, 19: 21
Ciao Luca

il primo link rimanda ad una pagina pulita tipo la NT24 di prima, il secondo link rimanda ad un profilo di facebook quindi non penso che ci siano possibilità di manomissioni esterne. Gli stessi script dovresti trovarli analizzando la pagina del tuo profilo.

Per il famoso link, le pagine html sono in costante modifica e dal codice non vedo nuovamente nulla di pericoloso.
Il fatto che l'autore della pagina abbia riportato parte del mio post significa:

che il nostro sito è ben indicizzato :eye o che ti segue hai fatto colpo :eye ; se tu ricerchi quel dominio con google questa discussione figura in seconda posizione :oo2
che l'autore ha letto questa discussione



..cosa mi consigliate di fare..??!!

L'unica cosa veramente al limite del regolare in quella pagina è l'uso di "IS CRASY" ma sinceramente sai quanti luca ci sono nel web quindi penso sia dura percorrere questa strada.

Ti consiglio:
a seguito questa tua affermazione

il tizio,molto abile "informaticamente" ha prima hackerato il mio indirizzo email di controllare anche il tuo account qui e di cambiare spesso la passoword di tutti i tuoi account.
da un punto di vista azioni legali non posso aiutarti in quanto non ho le nozioni quindi mi dispiace.
se le cose non vanno oltre e non riscontri gli estremi per procedere in altre sedi es. Polizia postale, ti consiglio di ignorare quel sito e i siti ad esso collegati


:bai

p060477
16-06-10, 21: 43
ciao asterix!
innanzitutto mille grazie di cuore!

1)quindi pensi che il tizio abbia riportato la tua risposta solo perche' l'ha trovata in google..?? ..sei quindi sicuro che invece non mi sia entrato "dentro" il pc..??..ultimamente ho letto articoli su un certo zeus bootnet etcc..e non sono per nulla tranquillo..

2)cosa posso fare per essere sicuro che non si e' impossessato del mio pc e vede tutto cio' che faccio..??

3)mi dici di controllare il mio account qui..in sostanza cosa dovrei fare..??..mi guideresti passo passo..??

4)il tizio opera dall'inghilterra,ho il suo indirizzo postale preciso perche' ha pure minacciato un altro che aveva comprato i cd da lui e vistosi recapitare delle cd r copie al posto di cd originali glieli ha rispediti indietro e poi mi ha avvertito di non comprare nulla da lui perche' vendeva cd r copie false,e mi ha pure gentilmente,sai nel web ci si aiuta soprattutto quando si e' vittime comuni di minaccie et simila..,fornito l'indirizzo preciso del tizio
per cui io,ad ogni buon conto,ho conservato tutte le sue email di minaccie,anche pesanti,di venirmi a trovare a casa,sia tutti i suoi dati,indirizzo postale piu' varie traccie che ha lasciato sul web,tipo il suo account su facebook e su youtube ed anche tutti i links ai gruppi di google dove ha pesantemente minacciato altri sempre con lo stesso metodo..sono tutti dati che saranno utilissimi alla polizia se il tizio si facesse veramente vivo come ha piu' volte minacciato

5)per cui l'unica cosa di cui sono davvero preoccupato riguarda il mio pc..per questo vorrei che tu mi chiarissi nel modo piu' dettagliato e semplice le domande 1),2) e 39 che ti ho posto..

mille grazie ancora..per l'aiuto importantissimo..e per la pazienza

luca

Asterix
17-06-10, 07: 30
Ciao


1)quindi pensi che il tizio abbia riportato la tua risposta solo perche' l'ha trovata in google..?? ..sei quindi sicuro che invece non mi sia entrato "dentro" il pc..??

in queste cose non si è mai sicuri di nulla, io ho semplicemente fatto una serie di ricerche e ho notato che questa discussione è sempre tra le prime posizioni.


2)cosa posso fare per essere sicuro che non si e' impossessato del mio pc e vede tutto cio' che faccio..??

Onestamente, potrei consigliarti di provare svariate scansioni (da quelle online a combofix) e riportare qui i log di programmi tipo (combofix e hijackthis), ma vista la situazione e visto il tuo stato d'animo sono sicuro che non riusciremo mai a tranquillizzarti al 100%.
Dopo quanto detto in precedenza, se hai le nozioni e il ripristino del tuo pc comporta una perdita di tempo da parte tua non superiore alle 3/4 ore (tempo che di norma il sottoscritto impiega per eseguire il backup dei dati e l'installazione) l'unica soluzione a mio avviso è quella di non andare certo per il sottile, ti consiglierei il format e subito dopo aver installato tutte le sicurezze procedere con il cambio di tutte le tue password sparse per il web.

Attenzione sono consapevole che il format è drastica come soluzione e di norma prima di arrivare a tale situazione le faccio provare tutte, in quanto molto spesso ci si dimentica di salvare qualche cosa, ma nel tuo caso forse è l'unica che ti fornisce una certa sicurezza, anche se in questo momento potresti non essere infetto.

Se vuoi provare con la scansione di combofix e di hijackthis riportaci i log qui (allega due file txt per i log in modo da tenere ordinata la discussione)


3)mi dici di controllare il mio account qui..in sostanza cosa dovrei fare..??..mi guideresti passo passo..??

Verifica l'email di registrazione, cambia la password e verifica se ci sono post non scritti da te.

Se procedi con il format ricordati di salvare tutte le informazioni dette tuo punto 4.

Attendo un tuo riscontro

:bai

p060477
17-06-10, 10: 27
ciao asterix!
ancora grazie!

1)vorrei esperire la strada di combofix ed hijackthis e scan on line..

2)cosa faccio del punto di ripristino sistema di win..lo disabilito prima di tutto cio' 1)..?

3)tempo fa usai il combo fix..e mi cambio' l'mbr cioe' come mi si avvia allo start up il mio win..ecco io ,dopo molte peripezie sono riuscito a riavere il mio mbr originale..per cui ora non vorrei usando il combo che riaccadesse..cosa devo fare affinche' il combo non me lo modifichi di nuovo..?..

4)leggendo una guida al combo,http://www.bleepingcomputer.com/combofix/it/come-usare-combofix

vedo che ad un certo punto parla della console ripristino di win..forse e' li' che se si dice si dopo ha l'mbr di win cambiato..??

5)quali sono le scan on line piu' adatte per scovare questo tipo specifico di malaware..??

6)un malaware tipo questo di cui ho sentore io si impadronisce della tua area "internet"..cioe' scopre se fai dei log in con password etcc..oppure ha pieno accesso anche al tuo pc intendo ad es alla tua cartella dei documenti..e magari legge se stai scrivendo un testo in word..e magari te lo puo' cambiare..o ti puo' cancellare dei files etcc..??

mille grazie di cuore!!

luca

Asterix
17-06-10, 10: 49
Ciao

sinceramente io non ho mai riscontrato problemi con combofix sia confermando che negando la console, quindi posso solo presumere che in quella occasione sia stata una cocomitanza di fattori

per le altre domande non posso risponderti in quanto non sappiamo la reale situazione, scansione online Trend (http://housecall.trendmicro.com/it/?id=trendcloud) e postaci il log di hijackthis.

:bai

p060477
17-06-10, 11: 14
ciao e grazie!!

..riguardo al punto ripristino di win cosa faccio..??..lo disabilito..??..se si quando..?
..prima o dopo la scan di trend e i combo ed hijackthis..??

e in quale ordine e' piu' logico fare..??..cioe' prima la scan on line poi combo e poi hijackthis oppure in altro ordine..??

mille grazie..anche della gentile pazienza!

ps:mi sono scordato di evidenziare che ho un pc con un router cui ho settato il mac address che accetti connessioni solo dai mac address dei pc presenti nella mia abitazione..
ho sperimentato che chiunque tenti con altro pc,non messo da me in tale lista del router, nella mia abitazione non si connette ad internet..neppure gente super-esperta..
quindi a livello di firewall etcc..dovrei essere supercoperto..o no..??!!

luca

LadyHawke
17-06-10, 14: 17
1) I punti di ripristino li elimini dopo le scansioni
2) HJT-->Combofix-->Online

Combofix non modifica l'MBR, avvisa solo se gli risulta già modificato, e attraverso l'installazione e l'uso della Console di Ripristino permette eventualmente di ripristinarlo

Se non sarai ancora tranquillo dopo le verifiche procederemo con il format; onestamente non posso pronunciarmi sull'effettiva necessità di formattare finchè non vedo i log, anche se sono perfettamente d'accordo sul fatto che quelle pagine non sono nocive: potrei darti :tong2 tre o quattro link di siti che utilizzo per i test di varie piattaforme web nei quali troveresti ben strane pagine, codici, script.... perchè appunto sono siti di prova e variano a seconda di quel che devo testare, così come ogni sito "work in progress"

:bai

p060477
17-06-10, 15: 30
ciao Ladyhawke!
mille grazie!

..puo' darsi che l'altra volta che usai il combo nel momento che ho detto si al ripristino della console questo abbia modificato il mio mbr..??..perche' allo start up il caricamento era diverso..per cui dovetti ripristinare poi il mio mbr originario..

comunque,per tagliare la testa al toro..se mi esce il messaggio di installare la console ripristino ed io dico di no..cosa accade..??..ai fini del combo penso nulla..ed anche del pc..se sono sempre andato avanti cosi'..inoltre io ho il cd originale di xp ..per cui al limite posso sempre usare quello..o sbaglio..??

grazie..anche della pazienza!

luca

Asterix
17-06-10, 15: 53
Ai fini del combofix non cambia nulla.

:bai

p060477
17-06-10, 19: 07
ciao asterix e ladyhawk!

..finalmente ho finito tutto..!!..
solo la scan on line ha preso 180 minuti..

1)la cosa strana e' che il combo continuava a dirmi che antivir era attivo..ma io l'avevo disattivato..difatti l'ombrello nella sys tray era chiuso..ho pure attivato e riattivato antivir per essere piu' sicuro e poi ad ombrello chiuso ho fatto andare avanti il combo..ma lui insisteva che era attivo antivir..come mai..??

2)una cosa strana di antivir,ho la desktop free vers..e' che c'e' scritto che scade il 1.7.2010 e che circa 4 settimane prima si deve rinnovare automaticamente..ma a me non si e' rinnovato..perche'..??

3)comunque veniamo alle scan:il log di hijakthis l'ho allegato come da voi indicato..ma quello del combo e' troppo grande..per cui non lo allega..devo copia-incollarlo per forza qui..
e la scan on line di trend mi ha confermato che sono pulito..ho solo qualche spyware in cartelle create molto tempo fa,2008 circa..,
..molto prima che iniziasse questa brutta avventura con il tizio di cui ho la sensazione che mi sia entrato nel pc

ora attendo una vs risposta illuminante in merito..!
in sostanza sapete qual'e' la mia preoccupazione:il mio pc e' mica caduto in altre mani..magari controllato da remoto..??
..ancora mille grazie di cuore..anche per la pazienza!!

ps:mi sono scordato di evidenziare che ho un pc con un router cui ho settato il mac address che accetti connessioni solo dai mac address dei pc presenti nella mia abitazione..
ho sperimentato che chiunque tenti con altro pc,non messo da me in tale lista del router, nella mia abitazione non si connette ad internet..neppure gente super-esperta..
quindi a livello di firewall etcc..dovrei essere supercoperto..o no..??!!


luca



ComboFix 10-06-16.03 - Administrator 17/06/2010 15.40.43.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1370 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {0012EE0C-E2C8-7C98-30EE-120028EE1200}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {0012EE1C-EE8C-0012-58EF-120000000000}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
.

c:\documents and settings\Administrator\Dati applicazioni\Desktopicon
c:\documents and settings\Administrator\Dati applicazioni\Desktopicon\eBay.ico
c:\documents and settings\Administrator\Dati applicazioni\Desktopicon\uninst.exe
c:\windows\system32\win.com

.
((((((((((((((((((((((((( Files Creati Da 2010-05-17 al 2010-06-17 )))))))))))))))))))))))))))))))))))
.

2010-06-17 13:31 . 2010-06-17 13:31 388096 ----a-r- c:\documents and settings\Administrator\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-06-15 05:34 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2010-06-15 05:34 . 1998-08-05 06:45 122128 ----a-w- c:\windows\system32\VB6IT.DLL
2010-06-15 05:34 . 1998-08-05 06:45 150528 ----a-w- c:\windows\system32\MSCMCIT.DLL
2010-06-15 05:34 . 1998-08-05 06:45 63488 ----a-w- c:\windows\system32\MSCC2IT.DLL
2010-06-15 05:34 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2010-06-15 05:34 . 2010-06-15 05:34 -------- d-----w- c:\programmi\PDFCreator
2010-06-11 20:33 . 2010-06-11 20:33 -------- d-----w- c:\programmi\Secunia
2010-06-11 20:26 . 2010-06-11 20:26 53632 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\aira ppinstaller.exe
2010-06-09 03:50 . 2010-05-06 10:32 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-06-05 15:31 . 2010-06-05 15:31 56765 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\DivXPlusShortcuts\Uninstaller.ex e
2010-06-05 15:31 . 2010-06-05 15:31 56997 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\WebPlayer\Uninstaller.exe
2010-06-05 15:31 . 2010-06-05 15:31 53600 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\Update\Uninstaller.exe
2010-06-05 15:31 . 2010-06-05 15:31 57715 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\Player\Uninstaller.exe
2010-06-05 15:31 . 2010-06-05 15:31 54153 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\DFXPlugin\Uninstaller.exe
2010-06-05 15:31 . 2010-06-05 15:31 54128 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\Converter\Uninstaller.exe
2010-06-05 15:31 . 2010-06-05 15:31 54644 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\TranscodeEngine\Uninstaller.exe
2010-06-05 15:31 . 2010-06-05 15:31 54101 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\MPEG2Plugin\Uninstaller.exe
2010-06-05 07:02 . 2010-06-05 07:02 -------- d-----w- c:\programmi\JRE
2010-06-04 05:47 . 2010-06-04 05:47 -------- d-sh--w- c:\documents and settings\Default User\IETldCache
2010-05-28 11:04 . 2010-05-28 11:04 14896 ----a-w- c:\windows\system32\drivers\psi_mf.sys
2010-05-27 16:18 . 2010-05-27 16:18 57409 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\ControlPanel\Uninstaller.exe
2010-05-27 15:56 . 2010-05-28 16:18 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\MyGuitar
2010-05-27 15:55 . 2010-05-27 15:55 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\SkinJack
2010-05-27 15:54 . 2010-05-27 15:54 -------- d-----w- c:\programmi\MyGuitarShow

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2010-06-17 13:45 . 2009-12-25 09:10 -------- d-----w- c:\programmi\isposure
2010-06-17 13:41 . 2008-01-17 16:38 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\uTorrent
2010-06-17 13:10 . 2009-08-06 11:42 -------- d-----w- c:\programmi\Crawler
2010-06-17 12:51 . 2008-10-16 21:07 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spyware Terminator
2010-06-17 05:30 . 2009-12-25 09:10 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Epitiro
2010-06-16 14:55 . 2008-10-16 21:07 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\Spyware Terminator
2010-06-15 16:00 . 2010-02-01 06:42 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\vlc
2010-06-15 14:09 . 2008-01-20 16:52 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\Media Player Classic
2010-06-15 13:13 . 2008-05-01 11:10 -------- d-----w- c:\programmi\Kantaris
2010-06-14 16:01 . 2010-01-28 20:17 -------- d-----w- c:\windows\system32\config\systemprofile\Dati applicazioni\Nitro PDF
2010-06-13 09:56 . 2008-01-16 17:55 -------- d-----w- c:\programmi\SpeedFan
2010-06-11 20:26 . 2008-11-24 22:34 -------- d-----w- c:\programmi\File comuni\Adobe AIR
2010-06-10 20:12 . 2010-03-15 14:58 -------- d-----w- c:\programmi\WMR14.1
2010-06-09 05:04 . 2004-08-19 12:00 79862 ----a-w- c:\windows\system32\perfc010.dat
2010-06-09 05:04 . 2004-08-19 12:00 479512 ----a-w- c:\windows\system32\perfh010.dat
2010-06-07 18:58 . 2010-04-26 20:42 -------- d-----w- c:\programmi\Speccy
2010-06-05 15:32 . 2010-04-16 16:27 57344 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-06-05 15:32 . 2010-03-23 17:42 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\DivX
2010-06-05 15:31 . 2009-03-15 00:04 -------- d-----w- c:\programmi\File comuni\DivX Shared
2010-06-05 15:31 . 2008-01-21 21:18 -------- d-----w- c:\programmi\DivX
2010-06-05 15:30 . 2010-04-16 16:26 144696 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-06-05 15:30 . 2010-03-23 17:44 1062184 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\Setup\Resource.dll
2010-06-05 09:04 . 2008-01-16 21:46 90688 ----a-w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-06-05 07:04 . 2008-10-14 11:58 1 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\OpenOffice.org\3\user\uno_packages\ca che\stamp.sys
2010-06-05 07:02 . 2008-10-14 11:54 -------- d-----w- c:\programmi\OpenOffice.org 3
2010-06-04 12:48 . 2008-09-10 15:30 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-06-03 01:04 . 2010-03-23 17:44 895256 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\Setup\DivXSetup.exe
2010-06-02 14:06 . 2008-01-16 11:00 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-06-02 12:43 . 2008-03-02 21:27 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-06-02 12:43 . 2008-01-17 23:34 -------- d-----w- c:\programmi\SpywareBlaster
2010-05-31 15:15 . 2008-01-16 22:47 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\Orbit
2010-05-31 15:14 . 2008-06-08 16:22 -------- d-----w- c:\programmi\Orbitdownloader
2010-05-31 05:42 . 2008-01-24 06:39 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\dvdcss
2010-05-27 16:14 . 2008-01-21 22:19 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\DivX
2010-05-27 15:54 . 2009-08-02 13:49 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\AppSoft
2010-05-26 20:30 . 2008-10-16 21:07 -------- d-----w- c:\programmi\Spyware Terminator
2010-05-26 20:21 . 2008-01-16 19:02 -------- d-----w- c:\programmi\CCleaner
2010-05-25 05:43 . 2008-01-19 16:31 -------- d-----w- c:\programmi\ClamWin
2010-05-24 15:58 . 2009-10-24 21:45 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\DVD Flick
2010-05-24 15:26 . 2008-01-17 16:46 -------- d-----w- c:\programmi\uTorrent
2010-05-13 14:25 . 2009-10-14 21:48 -------- d-----w- c:\programmi\Windows Live
2010-05-12 14:30 . 2010-04-15 21:12 -------- d-----w- c:\programmi\VS Revo Group
2010-05-08 20:44 . 2010-04-24 11:08 -------- d-----w- c:\programmi\Free PDF to Word Converter
2010-05-06 14:30 . 2010-03-26 06:44 45056 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\T hinShims\rpnpshimwmp.dll
2010-05-06 14:30 . 2010-03-26 06:44 45056 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\T hinShims\rpnpshimswf.dll
2010-05-06 14:30 . 2010-03-26 06:44 45056 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\T hinShims\rpnpshimrp.dll
2010-05-06 14:30 . 2010-03-26 06:44 45056 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\T hinShims\rpnpshimqt.dll
2010-05-06 14:30 . 2010-03-26 06:44 49152 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\F irefox\Ext\Components\nprpffbrowserrecordext.dll
2010-05-06 14:30 . 2010-03-26 06:44 308808 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\C ommon\rpmainbrowserrecordplugin.dll
2010-05-06 14:30 . 2010-03-26 06:44 14848 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\M ozillaPlugins\nprphtml5videoshim.dll
2010-05-06 14:30 . 2010-03-26 06:44 40960 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\C hrome\Hook\rpchromebrowserrecordhelper.dll
2010-05-06 14:30 . 2010-02-19 22:57 341600 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\I E\rpbrowserrecordplugin.dll
2010-05-06 14:30 . 2008-01-18 22:25 -------- d-----w- c:\programmi\File comuni\Real
2010-05-06 14:30 . 2009-03-12 13:50 -------- d-----w- c:\programmi\Real
2010-05-06 14:30 . 2010-05-06 14:30 -------- d-----w- c:\programmi\File comuni\xing shared
2010-05-06 10:32 . 2004-08-19 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-05 14:05 . 2009-06-29 15:39 -------- d-----w- c:\programmi\Replay Music 3
2010-05-05 13:56 . 2008-10-17 10:09 323584 ----a-w- c:\windows\system32\AUDIOGENIE2.DLL
2010-05-03 05:42 . 2009-02-09 21:13 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-05-02 08:06 . 2004-08-19 12:00 1851264 ----a-w- c:\windows\system32\win32k.sys
2010-04-29 13:39 . 2009-02-09 21:13 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-02-09 21:13 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 18:15 . 2008-04-07 13:14 -------- d-----w- c:\programmi\SIW
2010-04-28 16:01 . 2010-04-28 16:01 -------- d-----w- c:\programmi\CPUID
2010-04-26 15:17 . 2010-02-03 17:08 -------- d-----w- c:\programmi\Paint.NET
2010-04-25 14:53 . 2010-04-25 14:53 323624 ----a-w- c:\windows\system32\wiaaut.dll
2010-04-24 11:08 . 2010-04-24 11:08 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Smart Soft
2010-04-21 18:20 . 2010-04-21 18:20 -------- d-----w- c:\programmi\Trend Micro
2010-04-20 05:30 . 2004-08-19 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 22:04 . 2010-04-16 22:04 306032 ----a-w- c:\windows\WLXPGSS.SCR
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-04-16 16:27 . 2010-04-16 16:27 84040 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\TransferWizard\Uninstaller.exe
2010-04-16 16:27 . 2010-04-16 16:27 54166 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\DSAVCDecoder\Uninstaller.exe
2010-04-16 16:27 . 2010-04-16 16:27 57532 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\DSASPDecoder\Uninstaller.exe
2010-04-15 19:34 . 2010-04-15 19:35 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-15 19:32 . 2010-04-15 19:32 79488 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\jre1.6.0_20\gtapi.dll
2010-04-15 19:32 . 2010-04-15 19:32 152576 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\jre1.6.0_20\lzma.dll
2010-04-08 15:37 . 2008-10-17 10:09 237568 ----a-w- c:\windows\system32\rmc_rtspdl.dll
2010-04-08 15:37 . 2008-10-17 10:09 156672 ----a-w- c:\windows\system32\rmc_fixasf.exe
2010-04-01 18:00 . 2009-09-16 20:20 1282425 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\FAILSAVE\aescript.dll
2010-04-01 18:00 . 2009-09-16 20:20 242039 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\FAILSAVE\aehelp.dll
2010-04-01 18:00 . 2009-09-16 20:20 373108 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\FAILSAVE\aegen.dll
2010-04-01 18:00 . 2009-09-16 20:20 188790 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\FAILSAVE\aecore.dll
2010-03-31 13:36 . 2010-03-31 13:36 503808 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\5 4\1a209876-67aac8d9-n\msvcp71.dll
2010-03-31 13:36 . 2010-03-31 13:36 499712 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\5 4\1a209876-67aac8d9-n\jmc.dll
2010-03-31 13:36 . 2010-03-31 13:36 348160 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\5 4\1a209876-67aac8d9-n\msvcr71.dll
2010-03-31 13:36 . 2010-03-31 13:36 61440 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\1 7\6d0ad391-6d433536-n\decora-sse.dll
2010-03-31 13:36 . 2010-03-31 13:36 12800 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\1 7\6d0ad391-6d433536-n\decora-d3d.dll
2010-03-31 13:34 . 2010-03-31 13:34 79488 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\jre1.6.0_19\gtapi.dll
2010-03-31 13:34 . 2010-03-31 13:34 152576 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\jre1.6.0_19\lzma.dll
2010-03-29 05:35 . 2009-09-16 20:20 2503031 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\FAILSAVE\aeheur.dll
2010-03-23 17:43 . 2010-03-23 17:43 57054 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\DSDesktopComponents\Uninstaller. exe
2010-03-23 17:43 . 2010-03-23 17:43 56458 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\DivXDecoderShortcut\Uninstaller. exe
2010-03-23 17:43 . 2010-03-23 17:43 54174 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\DSAACDecoder\Uninstaller.exe
2010-03-23 17:43 . 2010-03-23 17:43 52963 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-03-23 17:42 . 2010-03-23 17:42 54073 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\Qt4.5\Uninstaller.exe
2010-03-23 17:42 . 2010-03-23 17:42 56969 ----a-w- c:\documents and settings\All Users\Dati applicazioni\DivX\ASPEncoder\Uninstaller.exe
2010-03-19 19:00 . 2009-09-16 20:20 426358 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\FAILSAVE\aepack.dll
2004-10-01 14:00 . 2008-01-16 10:59 40960 ----a-w- c:\programmi\Uninstall_CDS.exe
2008-01-21 20:53 . 2008-01-21 20:53 5 --sha-w- c:\windows\system32\ccacb6_d.dll
2009-10-28 06:44 . 2009-10-28 06:44 23 --sha-w- c:\windows\system32\edacded0.dat
2009-03-17 18:07 . 2009-03-17 18:07 23 --sha-w- c:\windows\system32\edacded0_x.dat
2006-05-03 10:06 . 2010-02-12 17:41 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-02-12 17:41 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-02-12 17:41 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"DW6"="c:\programmi\The Weather Channel FW\Desktop\DesktopWeather.exe" [2009-11-10 818288]
"uTorrent"="c:\programmi\uTorrent\uTorrent.exe" [2010-05-24 322352]
"SpywareTerminatorUpdate"="c:\programmi\Spyware Terminator\SpywareTerminatorUpdate.exe" [2009-12-09 3037696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SpywareTerminator"="c:\programmi\Spyware Terminator\SpywareTerminatorShield.exe" [2010-03-30 2176512]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "c:\programmi\DVD Region+CSS Free\DVDShell.dll" [2004-10-09 49152]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programmi\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programmi\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programmi\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
"c:\\Programmi\\isposure\\IsposureAgent.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"38188:TCP"= 38188:TCP:*:Disabled:utorrent
"38188:UDP"= 38188:UDP:*:Disabled:utorrent
"45871:TCP"= 45871:TCP:emule
"53794:UDP"= 53794:UDP:emule

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [16/10/2008 23.07.59 142592]
R2 isposure_svc;IsposureAgent;c:\programmi\isposure\I sposureAgent.exe [18/06/2009 17.52.46 761856]
R2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpoo l;c:\programmi\Nitro PDF\Professional\NitroPDFDriverService.exe [16/12/2009 11.09.04 188736]
R2 nlsX86cc;NLS Service;c:\windows\system32\NLSSRV32.EXE [16/12/2009 11.11.06 65856]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20/10/2009 20.19.44 50704]
R2 RVIEGVST;VSC VST Engine;c:\programmi\Roland\Virtual Sound Canvas VST\RVIEg01VST.sys [10/07/2009 13.16.24 188276]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMo n.sys --> c:\windows\system32\drivers\TfFsMon.sys [?]
S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSy sMon.sys --> c:\windows\system32\drivers\TfSysMon.sys [?]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [28/05/2010 13.04.52 14896]
S3 TfNetMon;TfNetMon;\??\c:\windows\system32\drivers\ TfNetMon.sys --> c:\windows\system32\drivers\TfNetMon.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenuto della cartella 'Scheduled Tasks'

2010-05-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-06-17 c:\windows\Tasks\emule.job
- c:\programmi\eMule\emule.exe [2008-01-17 13:00]

2010-06-17 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-436374069-616249376-725345543-500.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-06-17 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-436374069-616249376-725345543-500.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.yahoo.it/
IE: &Download by Orbit - c:\programmi\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programmi\Orbitdownloader\orbitmxt.dll/204
IE: Crawler Search - tbr:iemenu
IE: Do&wnload selected by Orbit - c:\programmi\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programmi\Orbitdownloader\orbitmxt.dll/202
IE: E&sporta in Microsoft Excel
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\programmi\Crawler\ctbr.dll
FF - ProfilePath - c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\primo profilo 3.0\
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.it
FF - prefs.js: keyword.enabled - false
FF - component: c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\F irefox\Ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\primo profilo 3.0\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\M ozillaPlugins\nprphtml5videoshim.dll
FF - plugin: c:\programmi\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programmi\Java\jre6\bin\new_plugin\npdeployJava 1.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npagent.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\programmi\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - plugin: c:\programmi\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - truec:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere_ _temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

BHO-{B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
Toolbar-{B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
AddRemove-eBay Icon - c:\documents and settings\Administrator\Dati applicazioni\Desktopicon\uninst.exe
AddRemove-MidiNotate - c:\programmi\Notation Software



************************************************** ************************
scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti:

************************************************** ************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-436374069-616249376-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e5,6b,5d ,c9,0a,98,3d,49,80,22,fa,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,21,1a,22 ,77,0f,2e,ca,4d,9e,e9,28,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e5,6b,5d ,c9,0a,98,3d,49,80,22,fa,\

[HKEY_LOCAL_MACHINE\software\ATI Technologies Inc.\Driver ATI]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Classes\Applications\A croRd32.exe\shell]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil 10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil1 0h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ UIPlugins\{292AE934-4F49-40bb-9E7E-6F6398ED9C31}]
@DACL=(02 0000)
"FriendlyName"="Nero Fast CD-Burning Plug-in"
"Description"="Scrivere CD"
"Capabilities"=dword:40000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Updates\Wind ows XP OOB\SP10\KB835221WXP\Filelist]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Setup\OOBE\CKPT]
@DACL=(02 0000)
"0"=dword:00000001
"TOS"=dword:00000002
"1"=dword:0000000a

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Setup\OOBE\Status]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\Plugins\SP\NeroBurnPlugin]
@DACL=(02 0000)
"ProgID"="MDNeroBurnPlugin.MDNeroBurnPlugin"

[HKEY_LOCAL_MACHINE\software\REALTEK Semiconductor Corporation\REALTEK Gigabit and Fast Ethernet NIC Driver]
@DACL=(02 0000)
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(876)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2010-06-17 15:48:06
ComboFix-quarantined-files.txt 2010-06-17 13:48

Pre-Run: 32.391.168.000 byte disponibili
Post-Run: 32.413.995.008 byte disponibili

- - End Of File - - C518AA1E2488774B077F3030D937D861

LadyHawke
18-06-10, 01: 32
Nei log non vedo nulla di particolare, comunque approfittiamo per dare una ripulita:

- Fixa intanto queste voci:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: (no name) - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - (no file)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O3 - Toolbar: (no name) - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - (no file)
O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - (no file)

- Disinstallerei (da Installazione Applicazioni) quella Crawler Toolbar se non è stata una tua precisa scelta, dopo di che rilancia HJT e verifica che queste voci non siano più presenti:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\ctbr.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\ctbr.dll
O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\ctbr.dll
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\ctbr.dll

- Sempre da Installazione Applicazioni disinstalla WinPcap e la JRE che molto vecchia (elimina anche la cartella in C:\programmi): scarica quella aggiornata da qui (http://javadl.sun.com/webapps/download/AutoDL?BundleId=39494).

- Dai infine una ripulita con ATF-Cleaner (http://www.atribune.org/ccount/click.php?id=1)



la cosa strana e' che il combo continuava a dirmi che antivir era attivo Anche disabilitando gli antivirus alcuni servizi rimangono attivi: è una loro logica protezione

Ora, onestamente non vedo neppure lontanamente lo scenario per pensare ad una formattazione, ma la scelta deve essere tua

:bai

p060477
18-06-10, 09: 09
ciao ladyhawk!
ancora mille grazie per tutto!

1)la crawler toolbar fa parte di spyware terminator..se voglio la sua protezione "completa e totale" anche in real time richiede la presenza di tale toolbar,almeno su ie8,perche' su ff l'ho disabilitata dalle estensioni..per cui cosa mi consiglieresti di fare..??..spyware terminator mi pare un buon prog..

2)wincap e' parte di wm recorder,un prog per catturare i video in streaming molto utile ..l'unico che cattura praticamente tutto..per cui se lo levo non mi funziona piu' il wm recorder..cosa mi consigli..?

3)il java,jre,dovrebbe essere l'ultimo aggiornato..pensa che ho anche i secunia psi che mi dice tutti i prog da aggiornare..ed il java sul pc me lo darebbe aggiornato..come mai..??..comunque ci metto un attimo a mettere quello che mi hai gentilissimamente linkato!

4)l'antivir nel log combo parte come disabled..eppoi vedo 3 scritte enabled..eppure ripeto che l'ombrello era ben chiuso..!!
pensi che sia piu' utile che rifaccia il combo e magari o un mod provvisoria,oppure addirittura disistallando prima antivir..?
..se pensi che cosi' il combo sia piu' efficace lo faccio

5)come mai antivir mi dice che scade il 1.7.2010,e se ci passo il mouse sopra tale scritta dichiara che entro 4 settimane si rinnova automaticamente..ma siamo al 18.6 e non lo ha ancora fatto..??..ti risulta sia regolare..??

6)ho fixato le voci in hijackthis..ma queste:

O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)

O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)

O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)

..non c'erano piu' quando l'ho rilanciato..come mai..??..forse il combo o la scan di trend le avevano cancellate..??

7)pensi che sia quindi "altamente improbabile",cioe' abbastanza sicuro per quanto lo si possa essere nel mondo informatico..,che qualcuno si sia impossessato del controllo del mio pc..magari da remoto..??..tale cosa sarebbe dovuta uscire fuori da tali log di hijack e combo..o no..??

grazie mille di cuore..anche della pazienza!!

luca

LadyHawke
18-06-10, 16: 27
1) la Crawler Toolbar propone una serie di servizi aggiuntivi gestiti appunto da Crawler.com e non è necessaria a Spyware Terminator: il solo fatto di non indicare chiaramente il funzionamento (se non andando a leggere l'EULA) e la poco chiara modalità di scelta nell'installazione non me la fanno stare davvero simpatica e rimango estremamente dubbiosa.

2) ok per Winpcap se volutamente installato

3) Dal log di HJT la java pare essere la 1.6...

4) come ti ho detto, alcuni servizi di base rimangono attivi: non è necessario comunque utilizzare combofix in provvisoria, ne disinstallare antivir

5) non saprei, utilizzo la versione Pro quindi devi aspettare la risposta di chi ha la free e può fare qualche verifica sul suo pc

6) probabilmente lo scan di Trend Micro: combofix si vede chiaramente cosa elimina

7) si, penso che sia altamente probabile che tu sia al sicuro :hap

:bai

p060477
18-06-10, 16: 51
ciao Ladyhawk!
ancora grazie di cuore!

..ho seguito il tuo consiglio e disinstallato la crawler toolbar..ed ho pure fatto ora un nuovo hijackthis che allego..mi daresti un'occhiata per vedere se ora e' tutto ok..??!!

..alla mia poca esperienza pero' pare che due chiavi:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076

..siano comunque rimaste..perche'..??..cosa faccio..le fixo..??

..anche per la domanda 4)..io ho scaricato l'ultima jre che mi hai linkato..ora come ti sembra dal mio hijackthis..??..sembra sempre la vecchia 1.6..??..se si come mai..??!!

ancora mille grazie di tutto!!

luca

LadyHawke
18-06-10, 22: 23
Le due voci rimaste della Crawler fixale pure, per la jre scusa ma ho preso un'abbaglio io: ho visto un 1.6 (di un'altra cosa) e l'ho automaticamente associato, invece è tutto a posto... evidentemente l'inattività comincia a prendermi la mano :triste


:bai

p060477
19-06-10, 00: 43
ciao LadyHawke!
ancora grazie !
..dovrei aver fixato tutto..
..ho quindi rilanciato l'hijackthis..come ti sembra ora la situazione del mio pc..??!!
..dovrei stare abbastanza tranquillo..??!!

grazie di cuore..anche della pazienza!!

luca