Ciao a tutti
Da qualche giorno come descritto nel titolo subisco dei reindirizzamenti delle pagine web o aperture di finestre indesiderate ed impossibilita' sia con ie7 che con mozzilla a navigare liberamente. Ho gia' letto nel forum che altri come me hanno grazie a voi risolto il problema,potete guidare anche me cortesemente??
Per i moderatori:
Grazie per il lavoro che svolgete.
Posta il log di HijackThis e vediamo che possiamo fare..
Grazie
Scusami anticipatamente se no ti rispondo subito ma mi tocca scrivere con il pc portatile e copiare tutto dal mio pc fisso visto che non mi fa navigare in internet.
Non preoccuparti...
Eccomi !!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.47.02, on 19/05/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\McAfee\Common Framework\FrameworkService.exe
C:\Programmi\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programmi\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\atiptaxxx.exe
C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
C:\Programmi\McAfee\Common Framework\McTray.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools Lite\daemon.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\VPro500.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [atiptaxxx] C:\WINDOWS\system32\atiptaxxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [DNS7reminder] "C:\Programmi\Nuance\NaturallySpeaking9\Program\er eg.exe" -r "C:\Programmi\Nuance\NaturallySpeaking9\Program\er eg.ini"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [BMbb4b4b4b] Rundll32.exe "C:\WINDOWS\system32\fidmnjev.dll",s
O4 - HKLM\..\Run: [b87878d7] rundll32.exe "C:\WINDOWS\system32\xegaffro.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPro500.lnk = C:\WINDOWS\VPro500.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase9563.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1211022603656
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5...ndows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programmi\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programmi\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programmi\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
--
End of file - 8235 bytes
Il tempo che analizzo il log e ti dirò come procedere...
Volevo darti qualche ulteriore info riguardo alle cose strane che mi sono succedono da quando ho preso questo virus : mi ha disattivato gli aggiornamenti aut.di Microsoft e non c'e' verso di riabilitarli, se vado in ripristino config. di sistema non mi da punti di ripristino.
Di dubbia provenienza:
************************************************** **********
O4 - HKLM\..\Run: [b87878d7] rundll32.exe "C:\WINDOWS\system32\xegaffro.dll",b
O4 - HKLM\..\Run: [BMbb4b4b4b] Rundll32.exe "C:\WINDOWS\system32\fidmnjev.dll",s
************************************************** **********
Alta probabilità di infezione da spyware da questo modulo:
************************************************** **********
O4 - Global Startup: VPro500.lnk = C:\WINDOWS\VPro500.exe
************************************************** **********
per l file sopra proposti agisci nel seguende modo:
**
vai su virustotal.com e fai analizzare questi file :
C:\WINDOWS\system32\xegaffro.dll
C:\WINDOWS\system32\fidmnjev.dll
C:\WINDOWS\VPro500.exe
Non vedo altre voci malevole...
Fai una scansione con virustotal (sul sito) e posta di nuovo il log ottenuto a termine della scansione..
Il comportamento sembra essere quello di Bagle..Originariamente inviato da MGNFBA72
Volevo darti qualche ulteriore info riguardo alle cose strane che mi sono succedono da quando ho preso questo virus : mi ha disattivato gli aggiornamenti aut.di Microsoft e non c'e' verso di riabilitarli, se vado in ripristino config. di sistema non mi da punti di ripristino.
Procedi come ti ho detto prima e DOPO averlo fatto (postato log etc...) scarica elibagla e fai una scansione..altrimenti dovremo provare altri metodi che richiedono l'uso di altri tools..
Intanto prova come ti ho detto..
scansione di Xegaffro.dll Ti posto subto dopo gli altri
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.5.20.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.19 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.19 Win32:Vundo@dll
AVG 7.5.0.516 2008.05.19 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.19 -
eSafe 7.0.15.0 2008.05.19 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.19 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.19 Vundo.gen179
Fortinet 3.14.0.0 2008.05.19 -
GData 2.0.7306.1023 2008.05.19 Win32:Vundo
Ikarus T3.1.1.26.0 2008.05.19 Trojan.Win32.Vundo.H
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5298 2008.05.19 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3110 2008.05.19 -
Norman 5.80.02 2008.05.19 Vundo.gen179
Panda 9.0.0.4 2008.05.19 Suspicious file
Prevx1 V2 2008.05.19 Cloaked Malware
Rising 20.45.02.00 2008.05.19 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.19 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.19 -
VirusBuster 4.3.26:9 2008.05.19 -
Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen!80 (suspicious)
Informazioni addizionali
File size: 114688 bytes
MD5...: 5b0870018fc14d93f33efe3c573ab96a
SHA1..: a8b82d4042990bfdea8f7588a4567fe79b0ad50d
SHA256: 660a842430e781f151ce53ff7c503f834c9ad3ff528bdd5980 e4bd300b342e89
SHA512: 5865b3728d61f1c117ec24569640d3dab861f07d713ed4d3f5 69ac9462d575be
76443c891895bdbddf10a8496873878cb8f4f2b80154053f45 4baf146450f2e9
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10001046
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x86a4 0x8800 7.18 19ddb2e1244d95d2baa97a1a53e1f4ec
.rdata 0xa000 0x9948 0x9a00 7.98 51797593e92025e6038f36a2e3c50b54
.data 0x14000 0x12f61 0x9a00 7.98 ddcb131e94e3b3d0e45b4eff880f717a
( 2 imports )
> user32.dll: DialogBoxParamA, DestroyIcon, DestroyCursor, DestroyCaret, DeleteMenu, CreateMenu, CreateIconFromResourceEx, CreateIconFromResource, CreateCursor, CreateAcceleratorTableA, CloseWindow, ChangeMenuA, BeginPaint
> kernel32.dll: GetLastError, lstrlenA, lstrcpynA, lstrcpyA, WriteFile, VirtualFree, TlsSetValue, TlsGetValue, TlsAlloc, SleepEx, SetLastError, SetEndOfFile, ReadFile, MapViewOfFile, EnumResourceLanguagesA, EnumResourceTypesA, GetCommandLineA, GetFileSize, GetStartupInfoA, GetTimeFormatA, GetVersion, LoadLibraryA
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...69AF00A49AB786
Permessi di invio
Rispondi quotando