Pagina 1 di 1
[Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
mer giu 24, 2009 10:47 am
da Ouden
Salve. Il mio computer è afflitto da un grave problema. Ogni qual volta che cero pagine web su google, yahoo o altri motori di ricerca, utilizzando sia Firefox e sia IE, cliccando sui risultati, viene caricata una scheda/pagina chiamata "Jumping", che mi ridireziona ad un sito di compravendita su internet che non vi linko per paura che anche voi ne veniate afflitti. Ho effettuato con scarso successo una scansione con avira, e adesso mi sto accingendo a scannerizzare con Spybot. Avete consigli?
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
mer giu 24, 2009 10:50 am
da Roberto88
scansiona con Malwarebytes' Anti-Malware e SuperAntiSpyware, poi posta il log di ComboFix
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
mer giu 24, 2009 1:00 pm
da Ouden
Ok rieccomi. Ci ho messo un po' a scannerizzare tutto. Allora, sembra che con superantimalaware ho risolto il problema, ma ne è spuntato un altro. Difatti, l'infezione era un rootkit, e sembra che l'abbia eliminato a metà, mentre una parte è rimasta attiva nei processi. Infatti, da quando ho eliminato le infezioni, mi compare sempre questo errore:
http://img8.imageshack.us/img8/7849/erroreo.jpgHo già effettuato pulizie del pc con ccleaner e registrymechanic.
Non sono riuscito ad allegare il log di combofix perché ad un certo punto si è bloccato. Diceva che non era riconosciuto un file batch.
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
mer giu 24, 2009 1:02 pm
da crazy.cat
Usa gmer e posta il suo log della sezione rootkit.
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
mer giu 24, 2009 2:04 pm
da Ouden
Si riavvia il computer a metà scansione credo. Mi salta. Non sono proprio sicuro se sia per la scansione o per un salto di corrente, ma mi è saltato due volte più o meno allo stesso punto.
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
mer giu 24, 2009 3:01 pm
da Roberto88
prova con RootkitBuster della Trend Micro, è free
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
mer giu 24, 2009 4:49 pm
da Ouden
Allora. Questa volta il mio pc non si è spento. Ho fatto due controlli con GMER. Il primo l'ho interrotto alla fine della scansione di System Volume Information.
Eccp il log:
- Codice: Seleziona tutto
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-24 17:44:23
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT F7EE145C ZwCreateThread
SSDT F7EE1448 ZwOpenProcess
SSDT F7EE144D ZwOpenThread
SSDT \??\C:\Programmi\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAADF5DF0]
SSDT F7EE1452 ZwWriteVirtualMemory
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38@0015b92484d0 0xD1 0x82 0x75 0x40 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38@001c43a5c8a5 0x73 0xD3 0xAF 0xF2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN.REN
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN.REN@0015b92484d0 0x02 0x2C 0x54 0xCE ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38@0015b92484d0 0xD1 0x82 0x75 0x40 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38@001c43a5c8a5 0x73 0xD3 0xAF 0xF2 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN.REN
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a99c38.REN.REN.REN.REN.REN.REN.REN@0015b92484d0 0x02 0x2C 0x54 0xCE ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@Installed 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@NoChange 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@Installed 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@Installed 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x46 0x47 0x15 0xB0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x6B 0x65 0x49 0x6A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0xAA 0x52 0xC6 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...
---- EOF - GMER 1.0.15 ----
Il secondo invece mi sono limitato ai file di sistema, processi, moduli, servizi. In entrambi i casi, nessun rilevamento di file infetti. Come risolvo il mio problema? Vorrei sbarazzarmi con una certa celerità di questo errore, in quanto domani dovrei lavorare tutto il giorno con il pc. grazie per la vostra disponibilità.
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
gio giu 25, 2009 8:28 am
da Ouden
Nessuna novità? Non posso formattare il pc adesso. Al massimo, come si fa a portarlo ad un punti di ripristino precedente?
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
gio giu 25, 2009 9:33 am
da Roberto88
Start > accessori > utilità di sistema > ripristino configurazione sistema
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
gio giu 25, 2009 12:37 pm
da Ouden
Ho effettuato per maggior sicurezza il ripristino da modalità provvisoria, ma non ho risolto nulla. Ho due alternative mi sa: O formatto, o ripristino il sistema. Opterei per la seconda possibilità. Ho inserito il cd di windows, ho fatto partire il boot da cd, però mi richiedeva un flop disk per il ripristino... come rispristino allora il sistema?
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
gio giu 25, 2009 8:53 pm
da Ouden
Scusate se sono snervante, ma oggi son dovuto andare a lavorare da un altra parte sto problema...
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
ven giu 26, 2009 8:35 am
da gio!
Prova a riutilizzare combofix e postaci il log.
Però lo devi far lavorare senza toccare il pc. Anche se ci mette del tempo e sembra che si sia bloccato solitamente è normale
Re: [Virius-Dialer] Ridirezionamento ad altre pagine web.
Inviato:
sab giu 27, 2009 8:17 am
da Ouden
Si avevi ragione, ho risolto con combofix. Unico problema che ho riscontrato, è che dopo 5 minuti dice "Windos/sistem non è un comando riconosciuto". A quel punto bisogna semplicemente premere Invio :)
Se volete il log lo posto comunque, ma ormai il problema è risolto. Grazie a tutti voi per la disponibilità.