Condividi:        

problema hotinfolink

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

problema hotinfolink

Postdi tigerman72 » 13/05/07 11:53

Ciao a tutti,l vi chiedo un aiuto.
Ho attivato Alice e non ho fatto in tempo ad accedere a Emule che subito mi hanno infettato.
Cio che riscontro e http://www.hotinfolink.com come homepage, inoltre noto di avere molti piu bite inviati che ricevuti, ovvio che abbia preso un virus o qualcosa del genere.
Vi invio il file di hijack, mi sapete aiutare>
Logfile of HijackThis v1.99.1
Scan saved at 12.45.43, on 13/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\Java\j2re1.4.2_02\bin\jusched.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Nokia6288\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\livecal.exe
C:\WINDOWS\System32\NSecurity.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\File comuni\PCSuite\Services\NclBTHandler.exe
C:\Programmi\Microsoft Office\Office10\EXCEL.EXE
C:\Programmi\3\FastMobileModem\MMModem.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\^^^Gianluca^^^\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia6288\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [zqajaa.exe] C:\DOCUME~1\^^^GIA~1\IMPOST~1\Temp\zqajaa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\livecal.exe
O4 - HKLM\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [HP Mobile Printing] C:\Programmi\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [PnPUI Registrator] C:\Programmi\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe -s
O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\livecal.exe
O4 - HKCU\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe
O4 - Startup: Ubisoft register.lnk = C:\Programmi\Ubisoft\Register\schedule.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O15 - Trusted Zone: http://www.libero.it
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84A095FF-37EB-4D8F-AC3C-A6F7E334A821}: NameServer = 62.13.171.1 62.13.171.2
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
tigerman72
Newbie
 
Post: 6
Iscritto il: 13/05/07 11:42

Sponsor
 

Postdi SkunkWorks 68 » 13/05/07 12:43

Che disastro :(
Fixare da provvisoria,dopo aver disabilitato il ripristino:
"O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe"
"O4 - HKLM\..\Run: [zqajaa.exe] C:\DOCUME~1\^^^GIA~1\IMPOST~1\Temp\zqajaa.exe"
"O4 - HKLM\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe"
"O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe"
"O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe"
"UnknownO4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\livecal.exe"
"O4 - HKCU\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe"
"O4 - HKLM\..\Run: [zqajaa.exe] C:\DOCUME~1\^^^GIA~1\IMPOST~1\Temp\zqajaa.exe"
Cercare e cancellare da provvisoria(abilitando la ricerca anche sui files nascosti e di sistema),se presenti gli .exe:
"livecal.exe"
"NSecurity.exe"
"zqajaa.exe"
"winupdt.exe"
Installare di corsa IL SP 2 e tutti gli ulteriori aggiornamenti.
Buona Fortuna.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi tigerman72 » 14/05/07 16:19

Ciao, grazie per la risposta, è un disastro?
Ho un dubbio, devo entrare in modalità provvisoria, ma cosa vuol dire dopo aver disabilitato il ripristino?
Non posso fare tutto dalla modalità normale?
Grazie ancora
Gianluca
tigerman72
Newbie
 
Post: 6
Iscritto il: 13/05/07 11:42

Postdi SkunkWorks 68 » 14/05/07 17:50

Devi disabilitare il ripristino configurazione sistema,perchè succede che lì i virus fanno "copia" di se stessi e continui a ritrovarteli,purtroppo.
Dalla modalità provvisoria si ottengono i risultati migliori.
Leggi qui:http://sicurezza.html.it/articoli/leggi/950/come-rimuovere-un-virus-dal-proprio-computer/2/
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi SkunkWorks 68 » 14/05/07 17:55

http://support.microsoft.com/kb/310405/it
Come disabilitare il ripristino in Windows XP ;)
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi Luke57 » 14/05/07 18:50

SkunkWorks 68 ha scritto:Devi disabilitare il ripristino configurazione sistema,perchè succede che lì i virus fanno "copia" di se stessi e continui a ritrovarteli,purtroppo.
Dalla modalità provvisoria si ottengono i risultati migliori.
Leggi qui:http://sicurezza.html.it/articoli/leggi/950/come-rimuovere-un-virus-dal-proprio-computer/2/
Ciao

Ciao, per precisione non è propriamente così, continui a ritrovarteli se utilizzi la funzione di ripristino e a quel punto, riportando il computer a uno stato antecedente, rischi di rimettere in gioco il virus nel SO.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi tigerman72 » 14/05/07 22:23

Ciao,
grazie a tutti per le risposte, appena torno a casa faccio tutto.
Ho solo un dubbio, siete sicuri che devo fixare anche NSecurity.exe?
Ho cercato su google e non ho trovato nulla in merito a questo file.
E' certamente un malware?

Per gli altri ho trovato che:
"livecal.exe" dovrebbe riguardare emule
[b]"zqajaa.exe" BOHHHHHHHHHHHHH

"winupdt.exe" è un bel VIRUS[/b]

Come antivirus uso Antivir sempre aggiornato, però, come avete constatato, mi ritrovo questo "disastro"
Come consigliato in questo sito, ora scarichero anche AD-WARE.

Grazie ancora
Gianluca
tigerman72
Newbie
 
Post: 6
Iscritto il: 13/05/07 11:42

Postdi Luke57 » 15/05/07 08:18

tigerman72 ha scritto:Ciao,
grazie a tutti per le risposte, appena torno a casa faccio tutto.
Ho solo un dubbio, siete sicuri che devo fixare anche NSecurity.exe?
Ho cercato su google e non ho trovato nulla in merito a questo file.
E' certamente un malware?

Per gli altri ho trovato che:
"livecal.exe" dovrebbe riguardare emule
[b]"zqajaa.exe" BOHHHHHHHHHHHHH

"winupdt.exe" è un bel VIRUS[/b]

Come antivirus uso Antivir sempre aggiornato, però, come avete constatato, mi ritrovo questo "disastro"
Come consigliato in questo sito, ora scarichero anche AD-WARE.

Grazie ancora
Gianluca

Ciao, vai qui:
http://www.hijackthis-forum.de/showthread.php?t=22935
è già stato analizzato da virustoal e risulta essere un malware (parlo di NSecurity.exe), fra l'altro lo ritiene tale anche antivir.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 15/05/07 08:31

Ciao, ma dove hai fatto le ricerche??
livecal.exe è ritenuto un malware, vedi qui:
http://spywarefiles.prevx.com/RRGDGJ039 ... L.EXE.html
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi tigerman72 » 15/05/07 16:06

Ciao,
eccomi qui e sembra che, grazie ai vostri consigli, abbia risolto tutto ...... almeno spero.
Dunque, ho eliminato livecal, zqajaa e winupdt e ho lasciato NSecurity per ultimo, fino a che non l'avevo rimosso continuava ad impostarsi http://www.hotinfolink.com come home page.
Una volta rimosso tutto sembra OK.
In effetti livecal, winupdt e NSecurity erano presenti come .exe in System32 e li ho dovuti togliere manualmente.
Grazie ancora ............

Vorrei approfittare della vostra competenza per chiedervi una cosa, ho Excel che è lentissimo ad aprirsi, anche 20-30 secondi, e vedo dal file di HIJACK che è presente
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
Sapete dirmi se può dipendere da questo.
Inoltre, da pieno profano, noto un altra riga che mi fa sorgere qualche dubbio
O4 - HKCU\..\Run: [PnPUI Registrator] C:\Programmi\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe -s
Sapete dirmi di cosa si tratta?

Una buona giornata a tutti.
Gianluca
tigerman72
Newbie
 
Post: 6
Iscritto il: 13/05/07 11:42

Postdi SkunkWorks 68 » 15/05/07 16:50

Luke57 ha scritto:Ciao, per precisione non è propriamente così, continui a ritrovarteli se utilizzi la funzione di ripristino e a quel punto, riportando il computer a uno stato antecedente, rischi di rimettere in gioco il virus nel SO.

Sì,è vero,ottima precisazione.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi tigerman72 » 15/05/07 17:26

SkunkWorks 68 ha scritto:
Luke57 ha scritto:Ciao, per precisione non è propriamente così, continui a ritrovarteli se utilizzi la funzione di ripristino e a quel punto, riportando il computer a uno stato antecedente, rischi di rimettere in gioco il virus nel SO.

Sì,è vero,ottima precisazione.
Ciao

Scusate ma con WINDOWS XP service pack 1, se io ci metto il flag vuol dire che disattivo il ripristino. Quindi lo lascio non flaggato, confermate?
tigerman72
Newbie
 
Post: 6
Iscritto il: 13/05/07 11:42

Postdi SkunkWorks 68 » 15/05/07 17:46

No,devi mettere il flag sulla casella e dare l'OK(ci vorrà un po' di tempo,e ti si libererà parecchio spazio sull'HD,è normale).Io il ripristino lo tengo sempre disabilitato.
http://www.aiutamici.com/hardware/view.asp?codcat=28
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi tigerman72 » 15/05/07 18:47

Scusa SkunkWorks ma nel link che hai postato è scritto che poi sarebbe il caso lasciare il rirpistino.
Anche perchè se io lo disabilito, in caso di problemi seri non ho "salvezza".
tigerman72
Newbie
 
Post: 6
Iscritto il: 13/05/07 11:42

Postdi SkunkWorks 68 » 15/05/07 19:01

Appunto,lo disabiliti per il tempo necessario per fare pulizia,e poi lo riabiliti(se vuoi).
Secondo me serve a poco o nulla il ripristino di XP-opinione personale(fra l'altro,non è nemmeno troppo affidabile).
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55


Torna a Sicurezza e Privacy


Topic correlati a "problema hotinfolink":

problema blocco note
Autore: carlin
Forum: Software Windows
Risposte: 7

Chi c’è in linea

Visitano il forum: Nessuno e 42 ospiti