[hijackthis]? Sospetto virus Win XP

[hugodesign]

Salve a tutti, scrivo sul forum di HTML per avere parere di qualcuno che si intenda di hijackthis o simili.

Ho un vecchio PC desktop con WIN XP (che ho regalato da poco ad un amico) e al momento ho riscontrato un problema mai visto fino ad ora sia con chrome che firefox.

Aprendo siti sicuri tipo libero, tiscali, fastweb, google etc...ho sempre la notifica di sito potenzialmente pericoloso a video.

Con una verifica completa di C: con Antivr e Malwarebytes non ho riscontrato infezioni.

Se non ho capito male il neo proprietario del PC ha installato una webcam trust dopodiché ha riscontrato delle schermate blu continue che apparivano a o.s. ormai caricato o in fase di caricamento...

Così ho recuperato il pc per intervenire e vedere di risolvere e spostandolo fisicamente da casa a casa il problema si è risolto da solo e non ho più avuto schermate blu. (Forse qualche piastra male inserita? mah...)

Conviene disinstallare il software di Trust per la webcam?

Il pc è in ordine, ha spazio du dischi, deframmentato, temporanei puliti e pochi programmi installati.

Altro cosa anomala che ho rilevato e che io non avevo installato quando il pc era mio è Imesh...che non so nemmeno cosa sia ma ho visto che interagisce anche con firefox perchè appare nelle barre del programma ma non trovo traccia dell' applicazione in questione, anche usando un software apposito per disinstallare programmi (RevoUnistaller)

Pensavo quindi a fare ad una scansione con hijackthis o simile per fare verifica della situazione....ma non saprei leggere i log risultanti! Grazie!

[menatwork]

ciao hugodesign il problema potrebbe essere causato proprio da Imesh prova a fare questa scansione di sola lettura, non elimina niente

Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend,

[hugodesign]

ok grazie, il pc è tornato dal nuovo proprietario, domani in pausa pranzo spero di riuscire a fare quanto indicato e passare il log, grazie!

[hugodesign]

Eccomi qua, allora oggi per prima cosa ho fatto una scansione con OTL con i settaggi da te indicati ho ottenuto i due file che dici e che trovi qui:
A.zip

Poi ho dato una controllata al pc in questione , così per curiosità...e mi sono accorto di un piccolo dettaglio che non avevo colto: sia in FF che Chrome l'indirizzo impostato per la pagina iniziale di navigazione era http://search.imesh.net/ Eliminato quello tutti i siti con https funzionano ora correttamente su entrambi i browser.

Così , per sicurezza ho reinstallato per intero imesh, disinstallandolo subito dopo con revo unistaller per pulire il più possibile qui e la dll e chiavi registro.

Fatto ciò ho eliminato definitivamente http://search.imesh.net/ come pagina iniziale e verificato che non ci fossero tracce di toolbar/addon installate nei browser da imesh.

Poi ho rifatto verifica con OTL e settaggi indicati, però stavolta ho avuto solo un file per risultato! Ho ripetuto la cosa altre 2 volte ma niente...no EXTRAS.TXT solo OTL.txt!

vedi
B.zip

Grazie!

[menatwork]

hugodesign dopo tutti questi passaggi d a te fatti adesso a me servirebbe una scansione fresca fresca con otl, altrimenti finiamo col non capirci piu' niente

prima di eseguirla scarica adwcleaner clicca su delete e allega il log poi esegui otl e allega i due log, se non trovi extras va bene lo stesso

[hugodesign]

Ciao in realtà nel post precedente era già scaricabile un log generato dopo mio intevento (B.zip), cmq ho seguito stavolta tue indicazioni alla lettera e fatto le due verifiche. Eccoti i nuovi log, anche stavolta OTL non mi ha generato il file extras.txt, Grazie!

logs.zip

ps. ho usato dropbox perchè da diverse ore wikisend mi da errore di upload

[menatwork]

nel report ho notato questo = > Wincert >>> C:\Documents and Settings\All Users\Dati applicazioni\Wincert sembra sospetto

adesso esegui queste operazioni accuratamente

apri otl e copia questo codice

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.12.5.17700
CHR - homepage: http://search.imesh.net
CHR - homepage: http://search.imesh.net
@Alternate Data Stream - 111 bytes -> C:\Documents and Settings\All Users\Dati applicazioni\TEMP:5C321E34

:Files
ipconfig /flushdns /c

:commands
[purity]
[Reboot]

clicca su run fix e allega il report generato

poi

scarica virit da qui > http://www.tgsoft.it/italy/home_ita.asp

disattiva il tuo antivirus, installalo ed esegui una scansione completa del sistema

allega i due log, virit e otl

[hugodesign]

ok, devo trovare il tempo di andare a casa del proprietario del pc, spero in settimana di riuscire...ti aggiorno appena fatto, buona giornata

[hugodesign]

Ciao menatwork finalmente ho trovato il tempo per seguire tue indicazioni ecco i risultati, in effettic'erano due infezioni non rilevate fino ad ora ne da Avira ne da Malwarebyte...

Almomento riscontro ancora un'anomalia se nella barra degli indirizzi di firefox inserisco una parola anzichè darnmi risultati di google (motre di ricerca di default) mi trovo risultati di http://www1.search-results.com

Ecco i log aggiornati di OTL e Virit

OTL+Virit.zip

[menatwork]

fai come prima, apri otl e copia questo codice

:OTL
IE - HKU\S-1-5-21-1801674531-343818398-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?cl...080&src=crm&q={searchTerms}&locale=&apn_ptnrs=JM&apn_dtid=YYYYYY YYIT&apn_uid=26441b81-2b84-47ec-887a-b19f34dd9447&apn_sauid=635E223C-3EBC-44A2-BC94-14AC261C9AF8
IE - HKU\S-1-5-21-1801674531-343818398-725345543-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll (Ask)
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.defaultengine: ""
FF - prefs.js..browser.search.order.1: "Search Results"
[2002/01/02 04.57.26 | 000,002,406 | ---- | M] () -- C:\Documents and Settings\jacky\Dati applicazioni\Mozilla\Firefox\Profiles\oehu4j2b.def ault\searchplugins\askcom.xml
CHR - homepage: http://search.imesh.net
CHR - homepage: http://search.imesh.net
[2013/01/13 17.23.28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dati applicazioni\boost_interprocess
[2013/01/13 17.23.28 | 000,000,000 | ---D | C] -- C:\Programmi\Ask.com
[2013/01/13 17.23.28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\boost_interprocess
[2013/01/13 18.40.46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\Wincert

:Files
ipconfig /flushdns /c

:commands
[purity]
[Reboot]

premi run fix e allega il log che genera, lo trovi nella cartella di otl

se questa cartella non la conosci eliminala

C:\Documents and Settings\jacky\Dati applicazioni\shareazatoolbarguid


hai Fastweb per connetterti?