|
|
|
| pcg4m3s |
Su firefox mi si imposta sempre come pagina inziale questa:
http://eninicio.com/en/index.html
Ho fatto una scansione con malwarebyte's e mi ha rilevato e cancellato 9
minacce.
Ho fatto una scansione con spybot search e destroy e niente.
Eccovi il log di Hijackthis:
codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.52.04, on 11/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Programmi\FileZilla Server\FileZilla Server.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\Programmi\ASUS\Wireless Console\wcourier.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Documents and Settings\Francesco\Dati applicazioni\Dropbox\bin\Dropbox.exe
C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Documents and Settings\Francesco\Desktop\eMule0.50a\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://iniredi.in
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -
C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} -
C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft
Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} -
C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9}
- C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -
C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless
Console\wcourier.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control
Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
/tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'Default user')
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Francesco\Dati
applicazioni\Dropbox\bin\Dropbox.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} -
C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler Options -
{5C106A59-CC3C-4caa-81A4-6D909B5ACE23} -
C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://www.update.microsoft.com/mic...b?1258228147875
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
[url]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url
]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\Alwil
Software\Avast5\AvastSvc.exe
O23 - Service: CachemanXP (CachemanXPService) - Outertech -
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: EvtEng - Intel Corporation -
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla
Project - C:\Programmi\FileZilla Server\FileZilla Server.exe
O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file
missing)
O23 - Service: NMSAccessU - Unknown owner -
C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: OwnershipProtocol - Intel Corporation -
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation -
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE
Technologies, Inc. - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation -
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
--
End of file - 7842 bytes
|
| SkinBonno |
Ciao, da hijack non risulta nulla di anomalo..proviamo una scansione per vedere
se c'è qualcosa.
Scarica
Combofix
usando Internet Explorer e salvalo sul desktop. Quando lo salvi,
rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus.
Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere
nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un
rapporto Combofix.txt. Carica questo rapporto su
Wikisend e riporta sul forum il link che
otterrai.
N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia
e incolla questa riga di comando comprese le virgolette e dai invio:
"%userprofile%\desktop\abc.exe" /killall
La scansione dovrebbe partire in automatico. |
| pcg4m3s |
Citazione: Originariamente inviato da SkinBonno
Ciao, da hijack non risulta nulla di anomalo..proviamo una scansione per vedere
se c'è qualcosa.
Scarica
Combofix
usando Internet Explorer e salvalo sul desktop. Quando lo salvi,
rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus.
Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere
nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un
rapporto Combofix.txt. Carica questo rapporto su
Wikisend e riporta sul forum il link che
otterrai.
N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia
e incolla questa riga di comando comprese le virgolette e dai invio:
"%userprofile%\desktop\abc.exe" /killall
La scansione dovrebbe partire in automatico.
ComboFix.txt
mi dice che c'era antivir attivo quando io invece ho avast come antivirus e l'ho
disattivato.
una curiosità: perchè mi hai fatto rinominare l'eseguibile in abc.exe? |
|
|
|
|
| SkinBonno |
L'eseguibile te l'ho fatto rinominare perchè molti virus bloccano combofix,
rinominando l'eseguibile si può ingannare il virus se presente.
comunque oltre il file eliminato non mi sembra di vedere altro..hai ancora il
report di malwarebytes? |
|
|
|
|
| pcg4m3s |
Citazione: Originariamente inviato da SkinBonno
L'eseguibile te l'ho fatto rinominare perchè molti virus bloccano combofix,
rinominando l'eseguibile si può ingannare il virus se presente.
comunque oltre il file eliminato non mi sembra di vedere altro..hai ancora il
report di malwarebytes?
no purtroppo non ho più il report di malwarebyte's.
fatto sta che non ho risolto ancora nulla.
imposto google come pagina iniziale di firefox e se non chiudo il browser e
clicco sulla home mi riporta correttamente alla pagina iniziale impostata. se
però chiudo firefox e lo riapro allora la pagina iniziale diventa
http://eninicio.com/en/index.html
inoltre secondo te perchè combofix mi rilevava antivir attivo quando invece
antivir non ce l'ho più installato ed ho avast (che ho disattivato al momento
della scansione con combofix)? |
|
|
|
|
| SkinBonno |
Citazione: Originariamente inviato da pcg4m3s
.... perchè combofix mi rilevava antivir attivo quando invece antivir non ce
l'ho più installato ed ho avast (che ho disattivato al momento della scansione
con combofix)?
sinceramente non saprei dirti, non è la prima volta che mi capita che combofix
si comporti in questa maniera, e ancora non ho trovato risposta alla tua
domanda, anche se penso sia relativo al fatto di qualche residuo lasciato da
avira sul pc (se l'avevi in passato) che combofix rileva..
in questo momento devo uscire, non riesco a controllare più accuratamente
combofix, scusa. in serata o al più tardi domani riesco a guardarlo meglio.
intanto fai un'altra scansione completa con malwarebytes, e nel caso rilevi
qualcosa di infetto posta il log. |
|
|
|
|
| SkinBonno |
Ciao, volevo dirti che sono riuscito a dare un'occhiata al log, e non mi sembra
presenti nulla di particolare. Esegui una nuova scansione completa con
Malwarebytes (aggiornalo prima di eseguirla) e posta il log generato. |
|
|
|
|
| pcg4m3s |
ho cercato meglio ed ho trovato il log di quando malwarebyte's ha rilevato le
minacce.
eccoti il risultato:
codice:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Versione database: 5709
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
08/02/2011 14.00.03
mbam-log-2011-02-08 (14-00-03).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 332196
Tempo trascorso: 2 ore, 6 minuti, 10 secondi
Processi infetti in memoria: 1
Moduli di memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 1
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 3
Processi infetti in memoria:
c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> 2752 -> Unloaded process
successfully.
Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)
Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B
87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted
successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-
61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted
successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E31276
4E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted
successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-
7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted
successfully.
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\InstallShield
Update Service (Backdoor.Bot) -> Value: InstallShield Update Service ->
Quarantined and deleted successfully.
Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)
Cartelle infette:
(Non sono stati rilevati elementi nocivi)
File infetti:
c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> Delete on reboot.
c:\WINDOWS\qpservice.exe (Backdoor.Bot) -> Quarantined and deleted
successfully.
c:\system volume
information\_restore{c2af9b5b-f0c7-4421-9281-3e2256a8df7b}\RP293\A0107994.exe
(Backdoor.Bot) -> Quarantined and deleted successfully.
|
|
|
|
|
| SkinBonno |
Aggiorna Malwarebytes (siamo alla versione 5753 del database) e riesegui una
scansione completa, se rileva qualcosa di infetto posta il log.
Per il resto non saprei, prova una scansione online con
Eset a vedere se trova
qualcos'altro. |
|
|
|
|
| pcg4m3s |
ho aggiornato malwarebytes e fatto una scansione veloce.
è stato trovato 1 elemento infetto.
eccoti il log:
codice:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Versione database: 5758
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
14/02/2011 11.34.37
mbam-log-2011-02-14 (11-34-37).txt
Tipo di scansione: Scansione veloce
Elementi esaminati: 147120
Tempo trascorso: 12 minuti, 22 secondi
Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 0
Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)
Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)
Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)
Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)
Voci infette nei dati di registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
(Hijack.StartPage) -> Bad: (http://iniredi.in) Good:
(http://www.google.com) -> Quarantined and deleted successfully.
Cartelle infette:
(Non sono stati rilevati elementi nocivi)
File infetti:
(Non sono stati rilevati elementi nocivi)
|
|
|
|
|
| SkinBonno |
Ciao, scusa il ritardo, quello che ti rileva malwarebytes è l'homepage cambiata,
ma non si riesce a individuare che cosa la cambi..hai provato la scansione
online? |
|
|
|
|
| pcg4m3s |
Citazione: Originariamente inviato da SkinBonno
Ciao, scusa il ritardo, quello che ti rileva malwarebytes è l'homepage cambiata,
ma non si riesce a individuare che cosa la cambi..hai provato la scansione
online?
si ho provato la scansione online di Eset come mi hai indicato tu ma non rileva
nulla |
|
|
|
|
| SkinBonno |
Uhm...a questo punto sinceramente sono un po' a corto di idee...vediamo se c'è
qualcun altro che ti da lo spunto giusto per risolvere il problema, io non
saprei che altro farti fare... :confused: :confused: |
|
|
|
|
| SkinBonno |
che versione hai di firefox? lo vedi da aiuto-->informazioni su mozilla
firefox.
l'ultima è la 3.6.13, se non hai quella, prova ad aggiornare firefox e vedi se
ti da ancora il problema. |
|
|
|
|
Home
Registrati
Logout