Problema con desktop

[kioto]

Salve a tutti ho un problema da un paio di giorni sul un pc.
Praticamente all'avvio del browser mi ritrovo una pagina di un motore di ricerca staniero con una lista di siti osceni e puntualmente sto cercando di capire da dove parte questo porgramma perche' anche cancellando la cache del browser entrando nella cartelle dell'utente non riesco e per di piu' questo programma mi inserisce tra i preferiti una lista di siti porno.
Questo e' un computer che viene utlizzato di solito solo da alcuni grafici pero' non mi risulta che questi siano nevigatori inesperti
da aver scaricato chi sa cosa, cmq non riesco a capire dove risiede il programma.
Chi di voi sa darmi qualche indicazione?

[amvinfe]

Da questa sezione vai in -links utili- è in rilievo e comincia con lo scaricarti CWShredder, chiudi tutti i programmi internet compreso apri il programma appena scaricato e clicca su Fix, a fine procedura riavvia.
Se il problema si ripresenta, sempre dalla stessa sezione, scaricati HijackThis, chiudi tutti i programmi, internet compreso, apri il programma e clicca su Scan, salva il Log in formato .txt e copialo qui nel 3d.

[kioto]

il primo dei programmi non l'ho trovato tra i link il secondo l'ho scaricato e lo stavo provando ho dovuto fare prima una scansione
e mi dati una serie di processi ma il file di log con quali opzioni di scelta lo devo creare?
poi un altra cosa quando faccio la scansione devo spuntare tutte le caselle con i processi per creare il file di log?

[amvinfe]

CWShredder lo trovi qui
http://www.spywareinfo.com/~merijn/files/cwshredder.zip


Con l'altro programma, HijackThis NON devi spuntare nulla per il momento. Devi fare lo Scan, salvare il log e nominarlo con estensione .txt nel posto più comodo (di solito il desktop)
di seguito le tre immagini per farti capire meglio

[amvinfe]

II^ immagine

[amvinfe]

III^ immagine

[kioto]

Questo e' il file di log risultante dalla scansione:


Logfile of HijackThis v1.97.7
Scan saved at 8.20.45, on 13/03/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\SVCHOST.EXE
C:\mysql\bin\winmysqladmin.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\kyoto\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://klounada.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://klounada.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://klounada.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://klounada.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://klounada.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\SVCHOST.EXE
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

I processi maligni sono :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://klounada.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://klounada.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://klounada.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://klounada.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://klounada.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
Li ho trovati anche nel registro di sistema che dici li elimino direttamente?

[amvinfe]

Oltre a quelli citati da te metti la spunta a cnhe a questo valore
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\SVCHOST.EXE
Clicca su Fix checked
riavvia in modalità provvisoria (tasto F8 al caricamento del sistema) e sempre da questa modalità elimina il file SVCHOST.EXE presente nella directory C:\WINDOWS\
Riavvia e fai un nuovo log


N.B.1
Il processo SVCHOST.EXE è legittimo solo se la sua directory è C:\Windows\System32 (sistemi XP)
C:\Winnt\System32 (sistemi NT 2000)
N.B.2
Il processo C:\WINDOWS\SVCHOST.EXE è probabile che sia stato installato dalla bckd.Sdbot

Fai una scansione con un antivirus aggiornato.

[kioto]

Prima che rispondessi al mio post sono andato nel registro di sistema
a cancellare le voci che c'erano solo quelle che facevano riferimento a quella risorsa http://klounad bla bla bla.
Tutto ok quando passate duo o tre ore e' tornato all'attacco no me lo spiego ma e' cosi'.
Volevo sapere una cosa ma con fix checked elimina i processi che ho segnalato?
E poi cosa volevi dire col fatto che svchost.exe sia stato installato
dal bckd.Sdbot mi sto preoccupando perche' ancor prima di fare quello che mi hai raccomandato su questa macchina c'e' parecchio lavoro da salvare.

[amvinfe]

Allora, come prima cosa installa un antivirus ed aggiornalo; fai tutti gli aggiornamenti servendoti del WindowsUpdate.
Una volta fatto questo, fai nuovamente lo scan co HiajckThis e se presenti rimuovi nuovamente mettendo la spunta al fianco delle rispettive voci e cliccando su Fix checked, riavvia.

Fai nuovamente lo scan, metti la spunta al fianco della voce

O4 - HKCU\..\Run: [svchost] C:\WINDOWS\SVCHOST.EXE
clicca su Fix checked, riavvia in modalità provvisoria cerca ed elimina dalla directory C:\WINDOWS il file SVCHOST.EXE
ricordo ancora che il file SVCHOST.EXE è leggittimo solo se nella directory C:\WINDOWS\SYSTEM32 (XP)
riavvia la macchina e fai una scansione del disco con l'antivirus.

Dimenticavo:
klounada.com è un tipo di hijacker nuovo scoperto solo pochi giorni fa, io ho trovato comunque delle utili informazioni, le trovi all'url
http://forums.net-integration.net/in...71&hl=klounada