Reindirizzamento a pagine sconosciute

[Inoki2]

Sono per conto di un mio amico, mi ha detto che ha questo problema:

"molto spesso quando sto su google e devo entrare dentro una pagina ci clicco e mi reindirizza automaticamente ad una pagina che non centra nulla passando da questo sito..."searchmirror, lo fa con quasi tutti i siti"

Io ho dato un'occhiata con l'analisi del log online di hijackthis ho visto che ci sono delle anomalie....più di una...

GLi ho fatto fare uno scan totale con "scansystem" (ho notato che dentro c'è anche il log di hijackthis quindi non lo posto a parte visto che è già compreso)

Sa riuscite ad aiutarmi

ecco il log:

http://www.savefile.com/files/2063404

grazie mille

[Inoki2]

nessuno ?

[amvinfe]

Scarica questo file di HOSTS, il tuo è stato modificato per non poter accedere ad alcuni siti come sarc.com cert.org clamav.net update.microsoft.com free-av.com f-prot.com kaspersky-labs.com avgate.net ca.com

http://freefilehosting.net/download/46ebe

lo useremo dopo.

========

scarica Avenger http://swandog46.geekstogo.com/avenger2/download.php

========

disconnettiti da internet, disattiva l'antivirus.

========

- decomprimi sul desktop l'archivio che contiene Avenger
- esegui avenger.exe
- ora devi assicurarti che la voce "Scan for rootkits" sia abilitata e che invece non lo sia "Automatically disable any rootkits found"
- in "input script here:" copia / incolla il seguente script:

Files to delete:
C:\WINDOWS\eiunin21.exe
C:\WINDOWS\ss3unstl.exe
C:\WINDOWS\system32\C:\WINDOWS\system32\svchostes. exe
C:\WINDOWS\system32\svchostes.exe
C:\WINDOWS\system32\pfuoji.exe
C:\WINDOWS\system32\tpyifa.exe
C:\WINDOWS\system32\dyjezinm.exe
C:\Documents and Settings\Amministratore\Dati applicazioni\i??sin.exe
C:\WINDOWS\system32\windir32.exe
c:\windows\temp\adware\fsg_4104.exe
C:\WINDOWS\system32\brastk.exe

- clicca su "execute".
- rispondi Sì alle successive domande
- il pc si riavvierà
========

sempre NON connesso e con l'antivirus disattivato:

apri il Blocco note ed inserisci al suo interno questo script:

Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\brastk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FAT32 BIT]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows DLL Services Configuration]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Oaca]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetApp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start Upping]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trickler]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Compliant]
;

Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva il file sul desktop.

- doppio click sul file fix.reg
- accetta le modifiche
- riavvia.

=========

Ora sostituiamo il file di HOST:

- decomprimi sul desktop il file che avevi scaricato all'inizio (http://freefilehosting.net/download/46ebe)

- click di dx sul file seleziona "Taglia"
- portati ora in:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC

- apri la cartella ETC
- click di dx ed incolla il file HOSTS
- accetta le modifiche
- riavvia

=========

Esegui un nuovo SystemScan

posta l'URL per poter scaricare il report.

[Inoki2]

eccomi, è stato fatto tutto il procedimento.

Allora, prima ti posto il log di avenger che è venuto fuori dopo lo script, ho notato che non ci sono però tutti i file.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\eiunin21.exe" deleted successfully.
File "C:\WINDOWS\ss3unstl.exe" deleted successfully.

Error: could not open file "C:\WINDOWS\system32\C:\WINDOWS\system32\svchostes .exe"
Deletion of file "C:\WINDOWS\system32\C:\WINDOWS\system32\svchostes .exe" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: file "C:\WINDOWS\system32\svchostes.exe" not found!
Deletion of file "C:\WINDOWS\system32\svchostes.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\pfuoji.exe" not found!
Deletion of file "C:\WINDOWS\system32\pfuoji.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\tpyifa.exe" not found!
Deletion of file "C:\WINDOWS\system32\tpyifa.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\dyjezinm.exe" not found!
Deletion of file "C:\WINDOWS\system32\dyjezinm.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "C:\Documents and Settings\Amministratore\Dati applicazioni\i??sin.exe"
Deletion of file "C:\Documents and Settings\Amministratore\Dati applicazioni\i??sin.exe" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: file "C:\WINDOWS\system32\windir32.exe" not found!
Deletion of file "C:\WINDOWS\system32\windir32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "c:\windows\temp\adware\fsg_4104.exe"
Deletion of file "c:\windows\temp\adware\fsg_4104.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: file "C:\WINDOWS\system32\brastk.exe" not found!
Deletion of file "C:\WINDOWS\system32\brastk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

ed eccoti il log con scansystem fatto alla fine di tutto, SENZA però queste voci:

5 Autoplay settings (autorun .inf)
10 alternata data streams
12 hidden objects

perchè il mio amico mi ha detto che ogni volta che provava a farlo, mettendo una di queste 3 voci, apapriva su scansystem una schermata bianca e dopo un pò l'applicazione non rispondeva più. La prima volta andava tutto. Spero basti questo log.

eccolo:

http://www.savefile.com/files/2064656

aspetto istruzioni grazie !

[amvinfe]

apri il Blocco note ed inserisci al suo interno questo script:

Windows Registry Editor Version 5.00
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\F AT32 BIT]
;

Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva il file sul desktop.

- doppio click sul file fix.reg
- accetta le modifiche
- riavvia.
=========

Scarica, installa ed aggiorna
http://www.ilsoftware.it/dl.asp?id=1078

esegui una scansione completa del disco, rimuovi i valori trovati infetti.
Posta il log della scansione.

=========

[Inoki2]

bene gliel'ho detto. dopo mi posterà il log.

nel frattempo mi ha detto che se cerca su google, mettendo ad esempio banca d'italia, ancora gli compare::

****://www99.searchmirror.***/xtr_new?q=banca+d%27italia&sid=1988573865&sa=4&p=5


Comunque ora vediamo cosa trova.

Ah nel frattempo spulciando un pò sul suo log, ho visto che nella parte relativa al log di hijackthis dentro al log di system scan, c'è questa voce

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Samy/IMPOST~1/Temp/msohtml1/01/clip_image001.jpg

è una voce normale ? mi sembra un pò anomala o sbaglio ? intanto imparo qualcosina

A fra poco con il log !

[amvinfe]

SmitFraud sfrutta quella chiave del registro ( HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components ) ma non è il caso del tuo amico.
Quel valore è sicuro.

Apri HijackThis, fai la scansione, metti la spunta al fianco dei valori che riporterò più sotto, clicca su "Fix checked"
riavvia

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll (file missing)
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\Toolbar\ctbr.dll (file missing)

NB
fatti dire se questa cartella è stata creata dal tuo amico
C:\Programmi\hlxxqlf

Grazie

[Inoki2]

fra un'oretta mi ha detto che dovrebbe darmi i log, nel frattempo mi ha detto che quella cartella non l'ha creata lui

[amvinfe]

mi interessa capire se la libreria all'interno di quella cartella è infetta, sempre che sia ancora presente.

Fagli analizzare il file su www.virustotal.com
C:\Programmi\hlxxqlf\MonGen.dll

in caso d'infezione rimuoviamo la cartella ed i valori nel registro ancora presenti

HKCR\CLSID\{1CDD8836-008C-7FEC-7768-0478F50C93BA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\MonGen

aspetto il rapporto generato da VirusTotal

ciao

[Inoki2]

k glielo dico, prima però ti posto il log di malware e systemscan giusto ??