Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 16
  1. #1
    Utente di HTML.it L'avatar di pcg4m3s
    Registrato dal
    Aug 2007
    Messaggi
    244

    Mi si cambia sempre la pagina iniziale di Mozilla Firefox

    Su firefox mi si imposta sempre come pagina inziale questa: http://eninicio.com/en/index.html

    Ho fatto una scansione con malwarebyte's e mi ha rilevato e cancellato 9 minacce.
    Ho fatto una scansione con spybot search e destroy e niente.

    Eccovi il log di Hijackthis:
    codice:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17.52.04, on 11/02/2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
    C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
    C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
    C:\PROGRA~1\CACHEM~1\CachemanXP.exe
    C:\Programmi\FileZilla Server\FileZilla Server.exe
    C:\Programmi\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
    C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
    C:\Programmi\ASUS\Wireless Console\wcourier.exe
    C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
    C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
    C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
    C:\Documents and Settings\Francesco\Dati applicazioni\Dropbox\bin\Dropbox.exe
    C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Documents and Settings\Francesco\Desktop\eMule0.50a\emule.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\Programmi\Mozilla Firefox\plugin-container.exe
    C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://iniredi.in
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
    O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
    O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
    O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
    O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
    O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Francesco\Dati applicazioni\Dropbox\bin\Dropbox.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
    O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1258228147875
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: CachemanXP (CachemanXPService) - Outertech - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
    O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programmi\FileZilla Server\FileZilla Server.exe
    O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe
    O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
    O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
    O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programmi\WinPcap\rpcapd.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
    
    --
    End of file - 7842 bytes

  2. #2
    Utente di HTML.it L'avatar di SkinBonno
    Registrato dal
    Dec 2007
    residenza
    Bologna
    Messaggi
    1,139
    Ciao, da hijack non risulta nulla di anomalo..proviamo una scansione per vedere se c'è qualcosa.
    Scarica Combofix usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
    Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
    Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend e riporta sul forum il link che otterrai.

    N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

    "%userprofile%\desktop\abc.exe" /killall

    La scansione dovrebbe partire in automatico.
    La vita è fatta a scale, c'è chi scende e c'è chi cade.

    Se avrei studiato, avessi imparato. [Cit. Leone di Lernia ]

  3. #3
    Utente di HTML.it L'avatar di pcg4m3s
    Registrato dal
    Aug 2007
    Messaggi
    244
    Originariamente inviato da SkinBonno
    Ciao, da hijack non risulta nulla di anomalo..proviamo una scansione per vedere se c'è qualcosa.
    Scarica Combofix usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
    Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
    Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend e riporta sul forum il link che otterrai.

    N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

    "%userprofile%\desktop\abc.exe" /killall

    La scansione dovrebbe partire in automatico.
    ComboFix.txt

    mi dice che c'era antivir attivo quando io invece ho avast come antivirus e l'ho disattivato.

    una curiosità: perchè mi hai fatto rinominare l'eseguibile in abc.exe?

  4. #4
    Utente di HTML.it L'avatar di SkinBonno
    Registrato dal
    Dec 2007
    residenza
    Bologna
    Messaggi
    1,139
    L'eseguibile te l'ho fatto rinominare perchè molti virus bloccano combofix, rinominando l'eseguibile si può ingannare il virus se presente.
    comunque oltre il file eliminato non mi sembra di vedere altro..hai ancora il report di malwarebytes?
    La vita è fatta a scale, c'è chi scende e c'è chi cade.

    Se avrei studiato, avessi imparato. [Cit. Leone di Lernia ]

  5. #5
    Utente di HTML.it L'avatar di pcg4m3s
    Registrato dal
    Aug 2007
    Messaggi
    244
    Originariamente inviato da SkinBonno
    L'eseguibile te l'ho fatto rinominare perchè molti virus bloccano combofix, rinominando l'eseguibile si può ingannare il virus se presente.
    comunque oltre il file eliminato non mi sembra di vedere altro..hai ancora il report di malwarebytes?
    no purtroppo non ho più il report di malwarebyte's.
    fatto sta che non ho risolto ancora nulla.
    imposto google come pagina iniziale di firefox e se non chiudo il browser e clicco sulla home mi riporta correttamente alla pagina iniziale impostata. se però chiudo firefox e lo riapro allora la pagina iniziale diventa http://eninicio.com/en/index.html

    inoltre secondo te perchè combofix mi rilevava antivir attivo quando invece antivir non ce l'ho più installato ed ho avast (che ho disattivato al momento della scansione con combofix)?

  6. #6
    Utente di HTML.it L'avatar di SkinBonno
    Registrato dal
    Dec 2007
    residenza
    Bologna
    Messaggi
    1,139
    Originariamente inviato da pcg4m3s
    .... perchè combofix mi rilevava antivir attivo quando invece antivir non ce l'ho più installato ed ho avast (che ho disattivato al momento della scansione con combofix)?
    sinceramente non saprei dirti, non è la prima volta che mi capita che combofix si comporti in questa maniera, e ancora non ho trovato risposta alla tua domanda, anche se penso sia relativo al fatto di qualche residuo lasciato da avira sul pc (se l'avevi in passato) che combofix rileva..
    in questo momento devo uscire, non riesco a controllare più accuratamente combofix, scusa. in serata o al più tardi domani riesco a guardarlo meglio.
    intanto fai un'altra scansione completa con malwarebytes, e nel caso rilevi qualcosa di infetto posta il log.
    La vita è fatta a scale, c'è chi scende e c'è chi cade.

    Se avrei studiato, avessi imparato. [Cit. Leone di Lernia ]

  7. #7
    Utente di HTML.it L'avatar di SkinBonno
    Registrato dal
    Dec 2007
    residenza
    Bologna
    Messaggi
    1,139
    Ciao, volevo dirti che sono riuscito a dare un'occhiata al log, e non mi sembra presenti nulla di particolare. Esegui una nuova scansione completa con Malwarebytes (aggiornalo prima di eseguirla) e posta il log generato.
    La vita è fatta a scale, c'è chi scende e c'è chi cade.

    Se avrei studiato, avessi imparato. [Cit. Leone di Lernia ]

  8. #8
    Utente di HTML.it L'avatar di pcg4m3s
    Registrato dal
    Aug 2007
    Messaggi
    244
    ho cercato meglio ed ho trovato il log di quando malwarebyte's ha rilevato le minacce.
    eccoti il risultato:

    codice:
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org
    
    Versione database: 5709
    
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702
    
    08/02/2011 14.00.03
    mbam-log-2011-02-08 (14-00-03).txt
    
    Tipo di scansione: Scansione completa (C:\|)
    Elementi esaminati: 332196
    Tempo trascorso: 2 ore, 6 minuti, 10 secondi
    
    Processi infetti in memoria: 1
    Moduli di memoria infetti: 0
    Chiavi di registro infette: 4
    Valori di registro infetti: 1
    Voci infette nei dati di registro: 0
    Cartelle infette: 0
    File infetti: 3
    
    Processi infetti in memoria:
    c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> 2752 -> Unloaded process successfully.
    
    Moduli di memoria infetti:
    (Non sono stati rilevati elementi nocivi)
    
    Chiavi di registro infette:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
    
    Valori di registro infetti:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\InstallShield Update Service (Backdoor.Bot) -> Value: InstallShield Update Service -> Quarantined and deleted successfully.
    
    Voci infette nei dati di registro:
    (Non sono stati rilevati elementi nocivi)
    
    Cartelle infette:
    (Non sono stati rilevati elementi nocivi)
    
    File infetti:
    c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> Delete on reboot.
    c:\WINDOWS\qpservice.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{c2af9b5b-f0c7-4421-9281-3e2256a8df7b}\RP293\A0107994.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

  9. #9
    Utente di HTML.it L'avatar di SkinBonno
    Registrato dal
    Dec 2007
    residenza
    Bologna
    Messaggi
    1,139
    Aggiorna Malwarebytes (siamo alla versione 5753 del database) e riesegui una scansione completa, se rileva qualcosa di infetto posta il log.

    Per il resto non saprei, prova una scansione online con Eset a vedere se trova qualcos'altro.
    La vita è fatta a scale, c'è chi scende e c'è chi cade.

    Se avrei studiato, avessi imparato. [Cit. Leone di Lernia ]

  10. #10
    Utente di HTML.it L'avatar di pcg4m3s
    Registrato dal
    Aug 2007
    Messaggi
    244
    ho aggiornato malwarebytes e fatto una scansione veloce.
    è stato trovato 1 elemento infetto.
    eccoti il log:
    codice:
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org
    
    Versione database: 5758
    
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702
    
    14/02/2011 11.34.37
    mbam-log-2011-02-14 (11-34-37).txt
    
    Tipo di scansione: Scansione veloce
    Elementi esaminati: 147120
    Tempo trascorso: 12 minuti, 22 secondi
    
    Processi infetti in memoria: 0
    Moduli di memoria infetti: 0
    Chiavi di registro infette: 0
    Valori di registro infetti: 0
    Voci infette nei dati di registro: 1
    Cartelle infette: 0
    File infetti: 0
    
    Processi infetti in memoria:
    (Non sono stati rilevati elementi nocivi)
    
    Moduli di memoria infetti:
    (Non sono stati rilevati elementi nocivi)
    
    Chiavi di registro infette:
    (Non sono stati rilevati elementi nocivi)
    
    Valori di registro infetti:
    (Non sono stati rilevati elementi nocivi)
    
    Voci infette nei dati di registro:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://iniredi.in) Good: (http://www.google.com) -> Quarantined and deleted successfully.
    
    Cartelle infette:
    (Non sono stati rilevati elementi nocivi)
    
    File infetti:
    (Non sono stati rilevati elementi nocivi)

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.