Visitato sito attaccato da hacker

[zeila71]

Purtroppo ieri sera sono entrata nel sito italiano dell'ordine dei giornalisti (http://www.odg.it) e, una volta dentro, mi sono accorta che il sito era oggetto per l'ennesima volta di un attacco da hacker.
Domanda: posso essermi infettata in qualche modo oppure il problema è solo esclusivamente del sito?
Ho fatto scansione con panda, spybot e tracciato un logfile con HijackThis: sembrerebbe tutto pulito.
Qualche suggerimento per ulteriori verifiche?

[edo_aol]

RIPOSTA IL LOG

[zeila71]

Ecco il log:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programmi\TRUST\AMI MOUSE 140T WEB SCROLL\LWBWHEEL.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\monica ravasio\Impostazioni locali\Temporary Internet Files\Content.IE5\SG9KZIJ7\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.soldissimi.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\TRUST\AMI MOUSE 140T WEB SCROLL\LWBWHEEL.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O9 - Extra button: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll
O9 - Extra 'Tools' menuitem: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/Acti ... ontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E475FBEE-F31B-4B2E-8BF2-6063AB7035A5}: NameServer = 85.37.17.40 85.38.28.85
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Unknown owner - C:\Programmi\Canon\CAL\CALMAIN.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

[Mikele46]

il log è pulito...se hai dubbi fai qualche scansione con anti-virus o anti-spyware (spybot o ad-aware) comunque la prossima volta inserisci il log intero....

[edo_aol]

sono d'accordo.il log e pulito prova a postarlo qui http://www.hijackthis.it/de e vedi quelli che dicono.fai scansioni in mod.provvisoria con antispyware.

[edo_aol]

il link non e disponibile.aspetta o fai una ricerca su google.

[edo_aol]

ecco il link http://www.hijackthis.de

[gunter]

Bastava copiarlo dalla firma di Mikele46...

[zeila71]

Grazie per le vostre risposte, ma come avevo scritto nel post iniziale avevo già verificato il logfile di HijackThis e fatto scansione con PandaActivescan, Spybot e Adware, senza trovare nulla di pericoloso.
La mia richiesta era relativa al suggerimento di altri controlli necessari a detta di voi esperti.

[edo_aol]

allora se hai il pc che ti funziona e va bene non e detto che ti sei beccato l'hacker.visto le scansioni danno risultato positivo e anche il log allora stai a posto.

[hydra]

non e detto che ti sei beccato l'hacker.

L'hacker è una persona....

[Mikizo]

Un sito "attaccato da un hacker" non vuol dire nulla: spiegaci almeno da cosa hai dedotto che nel sito ci fosse qualcosa di strano.
Eventualmente, un "attacco hacker" ad un sito potrebbe essere un defacciamento, o comunque qualche tipo di modifica al sito, il che non significa automaticamente un problema per il tuo PC.
Se invece parliamo di VIRUS (come immagino) allora è inutile stare a girare attorno a log di HJT e simili: hai un AV installato? Se si, aggiorna le definizioni e fai una scansione. Se non ce l'hai, installane uno valido (es tra quelli free: AVG, avast) e procedi come sopra.
Per estrema sicurezza, passa ogni tanto qualche anti spyware (consigliabili i soliti AdAware e SpyBot).
Certi pericoli comunque si scansano anche con un firewall.


@ edo_aol: la sicurezza è una cosa seria, ti pregherei di smetterla di dare suggerimenti a vanvera, visto che mi pare assodato che la tua competenza in materia è pari alla mia in biogenetica.

[zeila71]

Ho fatto scansione con PandaActivescan, con Spybot e AdAware: tutto ok!
Il mio firewall è attivato (è quello di windows xp), anche se a questo proposito ho notato che facendo anlizzare il logfile di HijackThis, risulta che non ho nessun firewall attivo! Perchè?