Pagina 1 di 1

[Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: mer giu 24, 2009 10:47 am
da Ouden
Salve. Il mio computer è afflitto da un grave problema. Ogni qual volta che cero pagine web su google, yahoo o altri motori di ricerca, utilizzando sia Firefox e sia IE, cliccando sui risultati, viene caricata una scheda/pagina chiamata "Jumping", che mi ridireziona ad un sito di compravendita su internet che non vi linko per paura che anche voi ne veniate afflitti. Ho effettuato con scarso successo una scansione con avira, e adesso mi sto accingendo a scannerizzare con Spybot. Avete consigli?

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: mer giu 24, 2009 10:50 am
da Roberto88
scansiona con Malwarebytes' Anti-Malware e SuperAntiSpyware, poi posta il log di ComboFix

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: mer giu 24, 2009 1:00 pm
da Ouden
Ok rieccomi. Ci ho messo un po' a scannerizzare tutto. Allora, sembra che con superantimalaware ho risolto il problema, ma ne è spuntato un altro. Difatti, l'infezione era un rootkit, e sembra che l'abbia eliminato a metà, mentre una parte è rimasta attiva nei processi. Infatti, da quando ho eliminato le infezioni, mi compare sempre questo errore:

Immagine
http://img8.imageshack.us/img8/7849/erroreo.jpg

Ho già effettuato pulizie del pc con ccleaner e registrymechanic.

Non sono riuscito ad allegare il log di combofix perché ad un certo punto si è bloccato. Diceva che non era riconosciuto un file batch.

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: mer giu 24, 2009 1:02 pm
da crazy.cat
Usa gmer e posta il suo log della sezione rootkit.

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: mer giu 24, 2009 2:04 pm
da Ouden
Si riavvia il computer a metà scansione credo. Mi salta. Non sono proprio sicuro se sia per la scansione o per un salto di corrente, ma mi è saltato due volte più o meno allo stesso punto.

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: mer giu 24, 2009 3:01 pm
da Roberto88
prova con RootkitBuster della Trend Micro, è free

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: mer giu 24, 2009 4:49 pm
da Ouden
Allora. Questa volta il mio pc non si è spento. Ho fatto due controlli con GMER. Il primo l'ho interrotto alla fine della scansione di System Volume Information.
Eccp il log:

Codice: Seleziona tutto
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-24 17:44:23
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT  F7EE145C                                                                                                              ZwCreateThread
SSDT  F7EE1448                                                                                                              ZwOpenProcess
SSDT  F7EE144D                                                                                                              ZwOpenThread
SSDT  \??\C:\Programmi\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)             ZwTerminateProcess [0xAADF5DF0]
SSDT  F7EE1452                                                                                                              ZwWriteVirtualMemory

---- Registry - GMER 1.0.15 ----

Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38                                           
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38@0015b92484d0                              0xD1 0x82 0x75 0x40 ...
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38@001c43a5c8a5                              0x73 0xD3 0xAF 0xF2 ...
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN                                   
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN                               
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN                           
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN                       
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN                   
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN.REN               
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN.REN@0015b92484d0  0x02 0x2C 0x54 0xCE ...
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38                                               
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38@0015b92484d0                                  0xD1 0x82 0x75 0x40 ...
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38@001c43a5c8a5                                  0x73 0xD3 0xAF 0xF2 ...
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN                                       
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN                                   
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN                               
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN                           
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN                       
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN.REN                   
Reg   HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN.REN@0015b92484d0      0x02 0x2C 0x54 0xCE ...
Reg   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@Installed                                 1
Reg   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@                                         
Reg   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@NoChange                                   1
Reg   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@Installed                                  1
Reg   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@                                           
Reg   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@Installed                                  1
Reg   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@                                           
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                                    15
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                                       10000
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                                     yes
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                                                   
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout                                    90
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                                      10000
Reg   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b    0xC8 0x28 0x51 0xAF ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b    0x46 0x47 0x15 0xB0 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016    0xFF 0x7C 0x85 0xE0 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48    0x6B 0x65 0x49 0x6A ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472    0xCD 0x44 0xCD 0xB9 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d    0xDF 0x20 0x58 0x62 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b    0xFB 0xA7 0x78 0xE6 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d    0xAA 0x52 0xC6 0x00 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3    0xF6 0x0F 0x4E 0x58 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b    0x3D 0xCE 0xEA 0x26 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6    0x2A 0xB7 0xCC 0xB5 ...
Reg   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                     
Reg   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                      Apartment
Reg   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                    C:\WINDOWS\system32\OLE32.DLL
Reg   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2    0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.15 ----


Il secondo invece mi sono limitato ai file di sistema, processi, moduli, servizi. In entrambi i casi, nessun rilevamento di file infetti. Come risolvo il mio problema? Vorrei sbarazzarmi con una certa celerità di questo errore, in quanto domani dovrei lavorare tutto il giorno con il pc. grazie per la vostra disponibilità.

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: gio giu 25, 2009 8:28 am
da Ouden
Nessuna novità? Non posso formattare il pc adesso. Al massimo, come si fa a portarlo ad un punti di ripristino precedente?

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: gio giu 25, 2009 9:33 am
da Roberto88
Start > accessori > utilità di sistema > ripristino configurazione sistema

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: gio giu 25, 2009 12:37 pm
da Ouden
Ho effettuato per maggior sicurezza il ripristino da modalità provvisoria, ma non ho risolto nulla. Ho due alternative mi sa: O formatto, o ripristino il sistema. Opterei per la seconda possibilità. Ho inserito il cd di windows, ho fatto partire il boot da cd, però mi richiedeva un flop disk per il ripristino... come rispristino allora il sistema?

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: gio giu 25, 2009 8:53 pm
da Ouden
Scusate se sono snervante, ma oggi son dovuto andare a lavorare da un altra parte sto problema...

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: ven giu 26, 2009 8:35 am
da gio!
Prova a riutilizzare combofix e postaci il log.
Però lo devi far lavorare senza toccare il pc. Anche se ci mette del tempo e sembra che si sia bloccato solitamente è normale [;)]

Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.

MessaggioInviato: sab giu 27, 2009 8:17 am
da Ouden
Si avevi ragione, ho risolto con combofix. Unico problema che ho riscontrato, è che dopo 5 minuti dice "Windos/sistem non è un comando riconosciuto". A quel punto bisogna semplicemente premere Invio :)

Se volete il log lo posto comunque, ma ormai il problema è risolto. Grazie a tutti voi per la disponibilità.