virus vari, trojan & cambio home page..

[amvinfe]

Originariamente inviato da blekm
perche zippato?

mah, chissà perchè

[blekm]

mi hanno detto da un altra parte di provare a postare il log di hijack this.. che dici,potrebbe essere un idea? ho il log qua sotto mano..

[blekm]

Logfile of HijackThis v1.99.1
Scan saved at 15.12.12, on 01/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0411/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.exe /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Programmi\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Acrobat Assistant.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.216.112.222

cosa eliminereste? io solo la prima voce.. attendo qualche parere più affidabile..

[amvinfe]

ho unito le discussioni, diversamente non si capiva del perchè del tuo log

sì,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0411/
è logicamente collegata al trojan.
Eliminala, poi scaricati il file
SilentRunners
con alcuni antivirus risulta essere uno script dannoso, ma è un falso positivo.
Metti il file all'interno di una nuova cartella, lancia l'eseguibile dopo alcuni secondi viene mostrato un messaggio che avverte la directory dove è stato salvato il file di testo, copia il risultato qui in questo 3d

[blekm]

Originariamente inviato da amvinfe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0411/
è logicamente collegata al trojan.
Eliminala, poi scaricati il file

ok, oggi pomeriggio farò queste due cose. mi hanno detto che non riescono ad eliminare la prima voce, R0!
non riescono a fixarla... cosa potrebbe essere?
..oggi faccio un salto e vedo!

Originariamente inviato da amvinfe
Eliminala, poi scaricati il file
SilentRunners
con alcuni antivirus risulta essere uno script dannoso, ma è un falso positivo.
Metti il file all'interno di una nuova cartella, lancia l'eseguibile dopo alcuni secondi viene mostrato un messaggio che avverte la directory dove è stato salvato il file di testo, copia il risultato qui in questo 3d

cos'è questo file? funziona questa cosa con win98,vero?

[blekm]

devo eseguire lo script in modalità provvisoria?

[amvinfe]

SilentRunners va usato in modalità normale (lo script va inserito all'interno di una nuova cartella), c'è inoltre da dire che su sistemi ME/2000/XP questo script non ha bisogno di ulteriori componenti Windows per funzionare, diversamente su sistemi come la macchina che dovrai controllare (Win98SE) per default durante l'installazione (in origine) del sistema operativo, non viene installata la componente WMI (Windows Management Instrumentation), questa componente serve principalmente per:
avere informazioni fondamentali sull'hardware, software, servizi...

N.B.
quando eseguirai lo script, si aprirà una finestra che ti avvisa della mancanza di questa componente, non dovrai fare altro che seguire le istruzioni, verrai rimandato in automatico sulla pagina Microsoft dove è possibile scaricare la WMI.

[blekm]

io non so se questo pc si può connettere ad internet. Nel caso potesse, in questo ufficio hanno l'isdn, ed è parecchio lenta..
la WMI è pesante? quanto è grande il file da scaricare?
eventualmente, lo posso scaricare da un altra parte, portarlo la e installarlo?

[amvinfe]

il file pesa 2,95MB, sì lo puoi scaricare ed installarlo da cd.

[amvinfe]

ovviamente prima verifica (lanciando SilentRunners) che la WMI non sia già presente

[blekm]

http://www.microsoft.com/downloads/d...displaylang=en

http://www.microsoft.com/downloads/d...B-FBF236E0E875

quale dei due?

[amvinfe]

questo
http://www.microsoft.com/downloads/d...displaylang=en

una volta scaricato verifica le proprietà della versione del file
1.50.1085.0005

[blekm]

la versione era quella.
Ti do una notizia triste.. hanno già risolto il problema, hanno chiamato un tecnico.. però non so i dettagli, in quanto la ragazza che mi ha detto che hanno risolto di computer capisce quasi nulla..

grazie lo stesso per la pazienza!

[amvinfe]

meglio così, anche se non credo abbiano voglia di darteli tutti i dettagli qualora glieli chiedessi, soprattutto per quanto riguarda la.....parcella

[blekm]

Originariamente inviato da amvinfe
meglio così, anche se non credo abbiano voglia di darteli tutti i dettagli qualora glieli chiedessi, soprattutto per quanto riguarda la.....parcella

la parcella non mi interessa... più che altro curiosità di sapere cosa ha fatto... vabbè, speriamo che abbiano imparato la lezione! e che non vadano più su "certi siti"...