HELP : Malaware

[Berlicche]

Salve a tutti. Volevo chiedere il vostro aiuto per quanto riguarda un malfunzionamento di internet Explore mi apre sempre una finestra "antivirus" e mi cambia il link della homepahe scrivendomi about:blank. Ho provato con Ad-ware e con Spybot ma niente da fare..Quindi sono passata a HJT ed ecco il risultato:



Cosa devo eliminare???



Logfile of HijackThis v1.99.0
Scan saved at 11.51.20, on 27/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\A\Impostazioni locali\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\A\IMPOST~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\A\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {E7AFFF3A-BD9E-4657-8024-078AB8858CD9} - C:\WINDOWS\System32\iipn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\A\IMPOST~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Filter: text/html - {1B16565B-A82A-4A97-8392-F3F1AF884935} - C:\WINDOWS\System32\iipn.dll
O18 - Filter: text/plain - {1B16565B-A82A-4A97-8392-F3F1AF884935} - C:\WINDOWS\System32\iipn.dll


Grazie mille a tutti.

[Habanero]

Ti ricordo che per un corretto uso HijackThis deve essere salvato in una cartella tutta sua (sul desktop per es)

Vai in modalità provvisoria ed elimina questi:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\A\IMPOST~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\A\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\A\IMPOST~1\Temp\se.dll,DllInstall

Elimina poi fisicamente il file se.dll come da percorso indicato.

Questi altri invece non so cosa siano e non ho trovato informazioni a riguardo. Non so se hai dei programmi particolari installati sul tuo pc (toolbar programmi che interagiscono col browser e la rete). Così a occhio però non mi piacciono per niente e personalmente li eliminerei.

O2 - BHO: (no name) - {E7AFFF3A-BD9E-4657-8024-078AB8858CD9} - C:\WINDOWS\System32\iipn.dll
O18 - Filter: text/html - {1B16565B-A82A-4A97-8392-F3F1AF884935} - C:\WINDOWS\System32\iipn.dll
O18 - Filter: text/plain - {1B16565B-A82A-4A97-8392-F3F1AF884935} - C:\WINDOWS\System32\iipn.dll

Se hai verificato che con l'eliminazione di queste voci tutto è a posto anche in questo caso puoi provvedere ad elimiare il file iipn.dll



A proposito... l'uso di un antivirus non sarebbe una cosa da dispezzare....


.

[Berlicche]

Grazie mille Haba ma non riesco a togliere il file se.dll mi da impossibile perchè il file è in uso.......
Continua ad aprirmi la finestra del virus....................
Come posso fare?

P.s Modalità provvisoria io ho xp home non so come andare in modalità prov.

Grazie ancora.

[antares11]

penso di farti cosa gradita reindirizzandoti a questo link
http://www.dslreports.com/forum/security,1

dove cliccando sulla prima frase scritta in rosso (da meditare, tra l’altro) arrivi qua
http://www.dslreports.com/faq/8428

Security» 1. General Questions
Sicurezza – Domande di carattere generico

Q: I think my computer is infected or hijacked. What should I do? (#8428)
[Domanda: penso di aver il pc infettato o reindirizzato (da malware). Cosa devo fare?


chiedo umilmente scusa al mod se mi ‘intrometto’ ma il desiderio di indicare la strada maestra a chi si ritiene infettato dal malware e ignora cosa & come fare prima di postare un log di HiJackThis mi consiglia di farlo

un tanto per ricordare a chi ancora non lo sapesse che detto log (tra l’altro utile ma non necessario per risolvere alcun problema) è l’ultima spiaggia cui arrivare solo dopo aver tutte le altre classiche e possibili vie da percorrere

questa è la via maestra
Q: I think my computer is infected or hijacked. What should I do? (#8428)
[Domanda: penso di aver il pc infettato o reindirizzato (da malware). Cosa devo fare?

fatene buon uso, mi si consenta
sì, perchè è oltretutto illogico abusare senza senso della pazienza di chi vorrebbe aiutare sì ma senza dover essere costretto in casi del genere a ripetere quanto riportato nel link indicato, chiamiamolo pure passaggio obbligato per l'individuazione/eliminazione del malware


bacio le mani



______________________________________
il sottotitolo da "pronto soccorso" è emblematico e inserito di proposito ad uso generalizzato anche in ottica futura

[Habanero]

dalla modalità provvisoria lo elimini sicuramente:
pagina 2 di questo articolo:
http://sicurezza.html.it/articoli/ar...&idarticoli=23

[Berlicche]

Grazie mille sei stato molto gentile Haba, ti farò sapere sull'esito.

[Berlicche]

Habanero grazie mille mi sei stato di grandissimo aiuto!!!!!
Ho risolto e imparato qualcosa in più
Ancora grazie

[antares11]

Originariamente inviato da Berlicche
.............
Ho .......... imparato qualcosa in più .........

anch'io