Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

potenziale virus preso su google e yahoo

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

potenziale virus preso su google e yahoo

Postdi OVERBURNING » 30/10/06 19:15

Da circa un paio di settimane se provo a cercare su google o yahoo qualcosa,le prime risposte che ricevo sono le stesse e cioè mi rimandano ad altri motori di ricerca sconosciuti,secondo me la cosa mi puzza così mi sono deciso ed ho fatto una scansione con HijackThis v1.99.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\io\1029113047.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [bikini] bikini.exe
O4 - HKLM\..\Run: [ukph1.exe] C:\WINDOWS\TEMP\ukph1.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Free Download Manager] C:\Programmi\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - Startup: Reboot.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/230?d7ddffeed1ac416a81e3123b9d77f62
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/229?d7ddffeed1ac416a81e3123b9d77f62
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/in ... er_gmn.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/269d89eba09 ... 601_it.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energy-factor.com/diale ... 245_it.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3858A7CA-0B39-4B4E-BF3F-9554E0C03EC3}: NameServer = 213.205.32.70 213.205.36.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{3858A7CA-0B39-4B4E-BF3F-9554E0C03EC3}: NameServer = 213.205.32.70 213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
OVERBURNING
Utente Junior
 
Post: 36
Iscritto il: 05/10/05 20:33

Sponsor
 

Postdi BilloKenobi » 30/10/06 19:26

abbiamo un gran brutto log qui...

io lo suddividerei in due sezioni:

1) Elementi da fixare con hijackthis

O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O4 - HKLM\..\Run: [bikini] bikini.exe
O4 - Startup: Reboot.exe
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energy-factor.com/diale ... 245_it.exe

poi scarica Killbox (dalla mia firma) ed elimina

C:\Windows\System32\bikini.exe
C:\Windows\System32\Reboot.exe

2) LinkOptimizer e Clicker

hai il LinkOptimizer: prova a far girare questo tool

http://www.mytempdir.com/1012500

oppure quest'altro

http://www.mytempdir.com/1010789

posta i log che rilasciano, rispettivamente

C:\gromozon_removal.log

e

C:\FixLinkOpt.log
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi muller » 30/10/06 19:26

Si ne hai diversi lexbces.exe è uno di questi è un trojan , analizza on-line il *log : http://hijackthis.de/it , e fixa le voci malefiche , ciao. :cry:
Se mi conosci non mi eviti....anzi mi offri da bere.
Avatar utente
muller
Utente Senior
 
Post: 300
Iscritto il: 08/05/04 07:22
Località: Castelmassa (RO)

Postdi BilloKenobi » 30/10/06 19:30

ciao muller

non è consigliabile indirizzare gli utenti infetti a quel sito, primo perchè il sito è un valido supporto in mani esperte, poichè spesso indica voci sane come maligne e viceversa; secondo perchè così l'utilità di un forum come questo si perde del tutto
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi OVERBURNING » 30/10/06 21:16

Ho fatto girare il tool e sono usciti fuori due file strani,un trojan eun ddl.Non te li ho postati perchè cromozon mi dava il trojan oramai innocuo cioè non c'era più,quindi l'ho rifatto partire e adesso non mi risulta più niente nel sistema di infettato.Devo ancora provare se google e yahoo mi danno ancora dei problemi,adesso faccio una prova...
OVERBURNING
Utente Junior
 
Post: 36
Iscritto il: 05/10/05 20:33

Postdi OVERBURNING » 30/10/06 21:26

Non mi è cambiato niente a livello di motore di ricerca e poi volevo anche dire che sia usando Killbox sia usando" Trova", non sono riuscito a trovare i file bikini.exe e Reboot.exe...
OVERBURNING
Utente Junior
 
Post: 36
Iscritto il: 05/10/05 20:33

Postdi BilloKenobi » 30/10/06 21:40

vediamo... con un pò di fortuna...

scarica GMER

http://www.gmer.net/files.php

poi posta il log della sezione "Autostart"...
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi OVERBURNING » 30/10/06 22:11

non riesco a postare il log.mi dice che il testo è stato copiato sul clipboard,cosa vuol dire?
OVERBURNING
Utente Junior
 
Post: 36
Iscritto il: 05/10/05 20:33


Torna a Sicurezza e Privacy


Topic correlati a "potenziale virus preso su google e yahoo":


Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti

cron