Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 16

Discussione: Browser Hijack

  1. 29-07-2004, 09:50 #1
    Makino
    Makino non è in linea
    Utente di HTML.it
    Registrato dal
    Mar 2002
    Messaggi
    54

    Browser Hijack

    Salve....mi rivolgo a Voi per un dilemma che da un paio di settimane mi perseguita.
    Mi sono beccato un Browser Hijack che non se ne vuole più andare nemmeno dopo varie scansioni con ADAware e Spy Bot S&D.
    Sembra che si appoggi ad una dll di Winzozz dal nome remin.dll che tra le altre cose ho provato a rinominare per evitare che venisse utilizzata ma evidentemente quel "qualcosa" l'ha ripristinata.
    Riesco ad aprire la mia pagina iniziale solo con l'utilizzo di un softwarino che mi segnala tutte le volte che c'è un tentativo di Browser Hijacking.
    Ho provato anche con Hijack this ma non ho risolto il problema.
    Qualcuno mi dà una mano?
    Grazie infinite!
    Rispondi quotando Rispondi quotando
  2. 29-07-2004, 11:06 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    posta il log di HJT
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 30-07-2004, 21:32 #3
    Makino
    Makino non è in linea
    Utente di HTML.it
    Registrato dal
    Mar 2002
    Messaggi
    54
    Scusa il ritardo ma solo ora ho potuto ......
    Eccolo.
    Logfile of HijackThis v1.97.7
    Scan saved at 20.51.17, on 30/07/2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
    C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\winde.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    C:\WINDOWS\System32\GSICON.EXE
    C:\WINDOWS\System32\DSLAGENT.EXE
    C:\Programmi\File comuni\Real\Update_OB\realsched.exe
    C:\Programmi\Ahead\InCD\InCD.exe
    C:\WINDOWS\system32\crxb.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\Programmi\Browser Hijack Blaster\bhblaster.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Programmi\WinMX\WinMX.exe
    C:\Programmi\totalcmd\TOTALCMD.EXE
    E:\Scaricati\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <none>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://remin.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\remin.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://remin.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\remin.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: (no name) - {76262037-1236-D9CA-785D-06289CAADCDE} - C:\WINDOWS\system32\netat32.dll
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [crxb.exe] C:\WINDOWS\system32\crxb.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKLM\..\RunOnce: [winde.exe] C:\WINDOWS\winde.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...137.5153240741
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E5B6EFAE-AA32-495F-9ABC-D242FEA65F45}: NameServer = 213.234.128.211 213.234.132.130


    Ho volutamente mantenuto le righe di questo maledetto che mi fa ormai dannare da giorni....quelle dove vedi il file "remin.dll"
    Rispondi quotando Rispondi quotando
  4. 30-07-2004, 23:57 #4
    antares11
    antares11 non è in linea
    Utente di HTML.it L'avatar di antares11
    Registrato dal
    Aug 2001
    Messaggi
    2,358
    riposta il log usando l'ultima versione 1.98 di Hijackthis
    cerca l'url adatto fra questi
    http://forum.html.it/forum/showthrea...hreadid=235578
    Rispondi quotando Rispondi quotando
  5. 31-07-2004, 11:43 #5
    olly
    olly non è in linea
    Utente bannato
    Registrato dal
    Mar 2002
    Messaggi
    1,768
    http://sicurezza.html.it/articoli.as...i=54&npagina=3

    In fondo a questa pagina troverai alcuni link utili per capire che tipo di processi ti partono in automatico e i vari bho maligni.

    Ciao ciao.
    Rispondi quotando Rispondi quotando
  6. 31-07-2004, 11:48 #6
    Bilancino
    Bilancino non è in linea
    Utente di HTML.it L'avatar di Bilancino
    Registrato dal
    Oct 2002
    Messaggi
    525
    Invia un messaggio tramite ICQ a Bilancino
    C:\WINDOWS\winde.exe This is a nasty process! You should fix it and try to delete it manually!

    C:\WINDOWS\system32\crxb.exe This is a unknown process.

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://remin.dll/index.html#96676
    Nasty This entry should be fixed by HijackThis! This entry should be fixed by HijackThis!
    -------------------
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\remin.dll/sp.html
    Nasty Entries with this kind of homepages should always be fixed. This entry should be fixed by HijackThis!
    -------------------
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://remin.dll/index.html#96
    Nasty Entries with this kind of homepages should always be fixed. This entry should be fixed by HijackThis!
    -------------------
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\remin.dll/
    Nasty Entries with this kind of homepages should always be fixed. This entry should be fixed by HijackThis!

    --------------------
    O4 - HKLM\..\RunOnce: [winde.exe] C:\WINDOWS\winde.exe
    Nasty The entered application winde.exe was identified: Winde. Hit rate: 73,57 % (result) Must be fixed!

    ---------------------

    O17 - HKLM\System\CCS\Services\Tcpip\..\{E5B6EFAE-AA32-495F-9ABC-D242FEA65F45}: NameServer = 213.234
    Possibly nasty If this Domain does not belong to your ISP, or your firms network, these entries should be fixed. 'SearchList' entries should be fixed too. Do you know the IP or Domain '213.234.128.211 213.234.132.13

    Qui ci sono le voci che andrebbero corrette. Il risultato è stabilito da :
    http://hijackthis.de/index.php?langselect=english

    utile per vedere cosa non va........

    Ciao
    Home Page:Sicurezza in rete
    Antivirus - Firewall - Antispam
    Rispondi quotando Rispondi quotando
  7. 31-07-2004, 12:04 #7
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    la conoscevo anch'io questa utility, ma lascia sempre qualche dubbio sull'esito, quindi io andrei con i piedi di piombo. Questo valore, sicuramente da rimuovere
    O2 - BHO: (no name) - {76262037-1236-D9CA-785D-06289CAADCDE} - C:\WINDOWS\system32\netat32.dll
    lo dà come valore sconosciuto, metiamoci nei panni di uno che ne sa poco o nulla, come si comporterebbe. Nel dubbio lascerebbe nella macchina il valore, anche se è un valore da eliminare.
    Anche questo
    C:\Programmi\WinMX\WinMX.exe indipendentemente tu lo inserisca come C:\Programmi o
    C:\Program files
    lo da sempre come processo sconosciuto

    per carità, utile come scansione...ma non affidabile
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  8. 31-07-2004, 12:07 #8
    Bilancino
    Bilancino non è in linea
    Utente di HTML.it L'avatar di Bilancino
    Registrato dal
    Oct 2002
    Messaggi
    525
    Invia un messaggio tramite ICQ a Bilancino
    Originariamente inviato da amvinfe

    utile come scansione...ma non affidabile
    Sicuramente.........

    Ciao
    Home Page:Sicurezza in rete
    Antivirus - Firewall - Antispam
    Rispondi quotando Rispondi quotando
  9. 31-07-2004, 12:15 #9
    olly
    olly non è in linea
    Utente bannato
    Registrato dal
    Mar 2002
    Messaggi
    1,768
    O2 - BHO: (no name) - {76262037-1236-D9CA-785D-06289CAADCDE} - C:\WINDOWS\system32\netat32.dll
    L'hai riconosciuto dal fatto che c'è scritto (no name) anche????

    Poi ricercando quel tipo di libreria nn esce nessun risultato, ti indica la libreria corretta presente in windows....
    Rispondi quotando Rispondi quotando
  10. 31-07-2004, 14:08 #10
    antares11
    antares11 non è in linea
    Utente di HTML.it L'avatar di antares11
    Registrato dal
    Aug 2001
    Messaggi
    2,358
    Originariamente inviato da amvinfe
    la conoscevo anch'io questa utility, ma lascia sempre qualche dubbio sull'esito, quindi io andrei con i piedi di piombo. Questo valore, sicuramente da rimuovere
    ........
    per carità, utile come scansione...ma non affidabile

    non conoscevo http://hijackthis.de/index.php?langselect=english e l'ho provata: mi sembra utile per chi non sa distinguere le voci potenzialmente dannose, quantomeno per farsi un'idea di come potrebbe essere messo
    detto questo, confermo le riserve di amvinfe

    scansito il mio log
    - ha trovato 'sospetta' la pagina iniziale predefinita settata su questo forum (a meno che io non la conoscessi già.... aggiunge)
    - mi ha dato altre 2 voci 'sospette' circa 'system mechanic' collaudato pulitore di sistema che uso e del quale sono sicuro che è ok

    conclusione: ci si può anche divertire ad eliminare voci selettivamente e controllando con criterio ma garantiti da un backup per non parlare di formattazione
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.