Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Rapporto di Smitfraudfix

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Rapporto di Smitfraudfix

Postdi Blu32 » 23/08/07 11:32

Salve a tutti,
purtroppo ho dei problemi durante la navigazione internet. Capita che, navigando il web , mi si aprano finestre che mi consigliano dì scaricare alcuni programmi e che venga "dirottato" su siti come it.errorsafe.com e it.drivecleaner.com. Fortunatamente il problema non si verifica spesso e, rileggendo un vecchio topic, ho seguito i consigli che ho trovato qui http://www.pc-facile.com/forum/viewtopi ... =errorsafe

Ecco il rapporto di Smitfraudfix
SmitFraudFix v2.215

Scan done at 12.09.00,51, 23/08/2007
Run from C:\Users\HP\Desktop\Nuova cartella
OS: Microsoft Windows [Versione 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
::1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\Windows\system32\sysmain.dll

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2F68B95A-7572-4628-8A4A-1595D6C9D7D4}: DhcpNameServer=151.99.125.2 151.99.125.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2F68B95A-7572-4628-8A4A-1595D6C9D7D4}: DhcpNameServer=151.99.125.2 151.99.125.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2F68B95A-7572-4628-8A4A-1595D6C9D7D4}: DhcpNameServer=151.99.125.2 151.99.125.3
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=151.99.125.2 151.99.125.3
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=151.99.125.2 151.99.125.3
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=151.99.125.2 151.99.125.3


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

Problem while deleting C:\Windows\system32\sysmain.dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Come devo procedere?
Blu32
Utente Senior
 
Post: 128
Iscritto il: 13/08/07 17:57

Sponsor
 

Postdi Luke57 » 23/08/07 18:12

Ciao, vai qui:
http://www.pc-facile.com/download/homep ... is/267.htm
scarica il programma, segui la guida d'uso, incolla in un post il log per poterlo analizzare.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Blu32 » 24/08/07 09:13

Innanzitutto grazie per il tuo interessamento al mio "caso". Inoltre voglio premettere che possiedo Windows Vista, per cui temo di dover rinunciare, nel caso ve ne sia bisogno, all' aiuto di "the avenger". Perdipiù 3 settimane fa ho scoperto di essere stato infettato dallo spyware 7FaSSt, che ho rimosso definitivamente con Spybot (ma il mio browser ha continuato ad essere "dirottato").
Infine ecco il mio log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.09.52, on 24/08/2007
Platform: Windows Vista (WinNT 6.00.1904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\SiteAdvisor\6066\SiteAdv.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hp\kbd\kbd.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\HP\Documents\HijackThis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/indexbb.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Program Files\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08531721-200E-485B-8D39-EF4098E327C1}: NameServer = 85.37.17.39 85.38.28.71
O17 - HKLM\System\CS1\Services\Tcpip\..\{08531721-200E-485B-8D39-EF4098E327C1}: NameServer = 85.37.17.39 85.38.28.71
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\6066\SAService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 6601 bytes
Blu32
Utente Senior
 
Post: 128
Iscritto il: 13/08/07 17:57

Postdi Blu32 » 25/08/07 15:24

Ho eseguito una scansione completa con SUPERAntiSpyware, che ha rimosso una decina di cookie traccianti.
Per quanto riguarda il log non so se la seguente voce possa essere la responsabile di tutto (a dire il vero non so neppure se eliminarla):
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
Blu32
Utente Senior
 
Post: 128
Iscritto il: 13/08/07 17:57

Postdi Luke57 » 25/08/07 16:21

Blu32 ha scritto:Ho eseguito una scansione completa con SUPERAntiSpyware, che ha rimosso una decina di cookie traccianti.
Per quanto riguarda il log non so se la seguente voce possa essere la responsabile di tutto (a dire il vero non so neppure se eliminarla):
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

Ciao, quella voce è legiottima come, mi pare, tutto il log.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Blu32 » 27/08/07 16:14

Ho anche eseguito dei controlli con cleaner per il trojan Vundo ma non hanno trovato niente. Il mio computer sembra pulito.

Ma quale può essere allora la causa dei "dirottamenti" del mio browser?
Blu32
Utente Senior
 
Post: 128
Iscritto il: 13/08/07 17:57

Postdi vittorya35 » 27/08/07 16:58

Ultimamente anch'io ho avuto il problema del "dirottamento" su siti che cercano di scaricarti programmini malware, camuffandoli per ottimi antivirus (drive-cleaner, systemdoctor, errorsafe). Mi è successo 4-5 volte in un mesetto circa. Quindi ho cercato se sul mio pc si fosse installato qualche animaletto.
Ho controllato con Hijackthis, AVS, AVG, Ad-ware, Spybot, spyware terminator, superantispyware, a-squared, ho fatto scansione on-line con Norton e Panda e risultato... NIENTE!!! Tutto pulito.
Ho notato, però, che quei maledetti siti cercano di aprirsi solo quando navigo sul sito di Virgilio-Alice!!!
Sarà una coincidenza? Non so. Non sono riuscita a darmi una risposta valida.
Qualche suggerimento? ;)
vittorya35
Utente Junior
 
Post: 24
Iscritto il: 30/07/07 18:50

Postdi Blu32 » 28/08/07 10:24

Possiedo una connessione flat per cui navigo anche 6 ore al giorno, però anche io mi sono accorto che questi "dirottamenti" avvengono solo navigando su http://www.alice.it. A questo punto dubito che si tratti solo di una coincidenza!
Blu32
Utente Senior
 
Post: 128
Iscritto il: 13/08/07 17:57

Postdi vittorya35 » 28/08/07 11:30

Sono dell tua stessa opinione, anche perché in questi ultimi giorni ho evitato accuratamente di navigare in alice.it e non ho più avuto strani dirottamenti. E dire che navigo anche per diverse ore al giorno!
Sarebbe interessante sapere se ad altri si è verificato questo problema.
vittorya35
Utente Junior
 
Post: 24
Iscritto il: 30/07/07 18:50


Torna a Sicurezza e Privacy


Topic correlati a "Rapporto di Smitfraudfix":

Rapporto HiJackThis
Autore: 24gabry03
Forum: Sicurezza e Privacy
Risposte: 55

Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti