Condividi:        

www.viEgilio.it (non Virgilio.it) - installato EXE maligno

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

www.viEgilio.it (non Virgilio.it) - installato EXE maligno

Postdi maxi » 16/07/07 23:43

Mio fratello usando il pc è andato per errore sul sito http://www.viEgilio.it (sfruttano il fatto che la R e la E sono vicine sulla tastiera e cercando di andare su Virgilio.it a volte si sbaglia ... e proprio mio fratello doveva sbagliare!!!###$$$)

Ad ogni modo compare una foto "sexy" e ci sono diversi link FALSI in cui credi di accedere a qualche risorsa utile ma in realtà avviano dei file eseguibili (.EXE).

Mio fratello si è spaventato vedendo apparire una finestra tipo windows di 'Cancellazione in corso' ... con tanto di barra stato avanzamento (ne pensano di tutti i colori!).
Purtroppo credendo di fermare la cancellazione ha cliccato sul relativo tasto 'Cancel', avviando il seguente eseguibile:
(http://www.ragazze-spiate.com/Ripristino Documenti.exe)
http://www.ragazze-spiate.com/Ripristin ... umenti.exe

Non ero a casa quindi non so cosa sia successo. Lui mi dice che il sito si è chiuso e tutto finito senza problemi ... solo che ora i problemi ce li ho io che sto cercando di ripulire il pc ma senza esito positivo.

Ho cercato (ovviamente inutilmente) la presenza del file 'Ripristino Documenti.exe' ma nulla da fare.
Ho fatto la scansione dell'intero pc con Avast-antivirus ed anche con AVG-anti-spyware, ma non mi trovano nulla.

Chi saprebbe aiutarmi a ripulire il pc?? A vedere dal sito sembra un dialer ma è solo una mia ipotesi.
Che diavolo combina sto file 'Ripristino Documenti.exe' ??

Ps. la prima volta che entrate su http://www.viEgilio.it appare la foto e tutti i link "maligni", ma se tentate di rientraci una seconda volta dice pagina Not Found. Basta ripulire i cookies e riavviare il browser per far riapparire la pagina originale.
maxi
Utente Senior
 
Post: 219
Iscritto il: 04/03/02 20:18

Sponsor
 

Postdi maxi » 16/07/07 23:46

... dimenticavo
è stato usato Firefox/2.0.0.4
maxi
Utente Senior
 
Post: 219
Iscritto il: 04/03/02 20:18

Postdi Mikele46 » 17/07/07 10:37

proviamo con un log di hijackthis....

http://filehippo.com/download/0e0a4476b ... /download/
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli

Postdi maxi » 17/07/07 23:08

vediamo se mi sono salvato o se sono spacciato :-|

Codice: Seleziona tutto
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.04.33, on 18/07/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183925613703
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3E181DE-2FC8-45FD-9A06-C68B535C1562}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4221 bytes
maxi
Utente Senior
 
Post: 219
Iscritto il: 04/03/02 20:18

Postdi Mikele46 » 18/07/07 09:14

il log è pulito...cmq non conosci il percorso dell'eseguibile vero??? (sarebbe bello :P :D )
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli

Postdi maxi » 18/07/07 15:17

Mikele46 ha scritto:il log è pulito...cmq non conosci il percorso dell'eseguibile vero??? (sarebbe bello :P :D )

è questo:
http://www.ragazze-spiate.com/Ripristin ... umenti.exe
maxi
Utente Senior
 
Post: 219
Iscritto il: 04/03/02 20:18

Postdi maxi » 18/07/07 15:18

ma se avesse aperto qualche backdoor, dal log di hijackthis si vedrebbe?
maxi
Utente Senior
 
Post: 219
Iscritto il: 04/03/02 20:18


Torna a Sicurezza e Privacy


Topic correlati a "www.viEgilio.it (non Virgilio.it) - installato EXE maligno":


Chi c’è in linea

Visitano il forum: Nessuno e 26 ospiti