here4search maledetto virus

[melinda]

ciao,
come prima cosa volevo dire che malgrado ho già fatto la ricerca e ho letto di threads con problemi simili dove la pagina iniziale viene modificata, e ho provato a seguire qualche suggerimento, non sono riuscita a togliere questo trojan, perchè mi sembra che sia di questo che si tratta, all'avvio di internet mi si apre questo indirizzo http://here4search.com/enter.htm?id=9 che non riesco in alcun modo a eliminare e spero che qualcuno mi aiuti a farlo!

grazie.

[amvinfe]

http://forum.html.it/forum/showthrea...hreadid=769694

[melinda]

lo avevo già letto
grazie lo stesso per la disponibilità

[amvinfe]

se hai provato tutto, da AdAware a SpyBot ed alla scansione con l'antivirus, posta il log di HijackThis. L'URL per scaricarlo ed il tutorial per poterlo utilizzare al meglio li trovi in Rilievo -links utili-

[melinda]

Si ho già provato con Ad-Aware e con SpyBot ma non è servito a niente..questo è il log ma non ci capisco niente..


Logfile of HijackThis v1.98.2
Scan saved at 22.20.39, on 14/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\mgabg.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\id0cm11zhfrrthd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HJThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/alice01.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\SHZ2XS~1.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\id0cm11zhfrrthd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra button: Umail - {F03EC3E8-363D-4EFA-A9B6-786FD0C1835C} - http://gw.virgilio.it/b2c01.umail (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/alice01.home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {A9CE3954-E2EB-4128-AA6D-7DB33017A6E7} (SatorAppLaucher Class) - http://www.fargames.com/it/Games/SatorLaucher.cab.php
O17 - HKLM\System\CCS\Services\Tcpip\..\{2457E7AC-A5F5-4C22-A226-31268464839A}: NameServer = 81.74.229.227 151.99.125.1
O20 - AppInit_DLLs: vel676vsposmjml.dll.dll.dll.dll.dll.dll.dll.dll.dl l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

[Delmak_O]

in attesa di risposte più complete,
comincia a togliere i valori id0cm11zhfrrthd.exe ripetuto per due volte (tra i 'running processes' e quindi nel riquadro di mezzo cod. 04) e il BHO - 02 SHZXS1.DLL
non ho HijackThis, ma dovresti spuntare a fianco di questi valori, cliccare su 'fix checked' e quindi riavviare

leggi prima questo tutorial:
http://www.alground.com/sicurezza/articolo.php?page=16

[amvinfe]

scaricati la versione 1.99.0, quella che hai è vecchia, posta un nuovo log.

[melinda]

ecco il nuovo log

Logfile of HijackThis v1.99.0
Scan saved at 10.41.01, on 15/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\mgabg.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\id0cm11zhfrrthd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HJThisnew\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/alice01.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\SHZ2XS~1.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\id0cm11zhfrrthd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra button: Umail - {F03EC3E8-363D-4EFA-A9B6-786FD0C1835C} - http://gw.virgilio.it/b2c01.umail (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/alice01.home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {A9CE3954-E2EB-4128-AA6D-7DB33017A6E7} (SatorAppLaucher Class) - http://www.fargames.com/it/Games/SatorLaucher.cab.php
O17 - HKLM\System\CCS\Services\Tcpip\..\{2457E7AC-A5F5-4C22-A226-31268464839A}: NameServer = 81.74.229.227 151.99.125.1
O20 - AppInit_DLLs: cit8ffc828967ul.dll.dll.dll.dll.dll.dll.dll.dll.dl l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl l.dll.dll.dll.dll.dll.dll.dll.dll.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

[Ramk0]

molte volte basta fare una scansione con ad-aware ed eliminare tutta la roba che ti trova, mi è capitato molte volte di beccarmi delle toolbar di explorer e altre rumente... prova, al massimo rimane tutto come prima... ma non credo... ah ovviamente aggiorna il database del programma...

[melinda]

Originariamente inviato da Ramk0
molte volte basta fare una scansione con ad-aware ed eliminare tutta la roba che ti trova, mi è capitato molte volte di beccarmi delle toolbar di explorer e altre rumente... prova, al massimo rimane tutto come prima... ma non credo... ah ovviamente aggiorna il database del programma...

è stata la prima cosa che ho fatto
ad-aware
spybot
cwshredder
hijackthis

ho fatto una scansione dal sito http://housecall.trendmicro.com/hous...start_corp.asp
e mi ha rilevato il virus TROY KREPPER.AE

ho cancellato la cartella temp dalla modalità provvisoria ma non i file temporanei, sporadicamente il mio antivirus mi dice:

Tipo scansione: Protezione in tempo reale Scansione
Evento: Trovato virus!
Nome virus: Trojan.StartPage
File: C:\Documents and Settings\_\Impostazioni locali\Temporary Internet Files\Content.IE5\TPEXJJU7\zona02[1].exe
Posizione: C:\Documents and Settings\_\Impostazioni locali\Temporary Internet Files\Content.IE5\TPEXJJU7
Computer: Utente: _
Azione intrapresa: Ripulisci non riuscito : Quarantena non riuscito : Accesso negato
Data rilevazione: domenica 16 gennaio 2005 9.41.49

inoltre:
ho scoperto che la riga 020 del log di HiJThis prende il nome dalle dll che si rigenerano, se le cancello si rigenerano con altri nomi, e di conseguenza cambia anche la riga 020
se non le cancello, si moltiplica l'estensione all'infinito dll.dll.dll.dll.dll ....................
cancellando le righe di hijthis non risolvo niente.