Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Infettato da Virus Trojan.StartPage

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Infettato da Virus Trojan.StartPage

Messaggioda puffopoeta » mar ago 23, 2005 11:24 am

ciao a tutti,

sono nuovo del forum ma volevo fare i complimenti a chi lo mantiene così efficiente.

ho un problemino con un virus di nome trojan.startpage che devia la pagina iniziale del browser (IE 5.0) in about:blank.

norton mi sta subissando di alert su varie ddl infette (se.ddl, pplf.ddl, ...)ma non le elimina e ne vieta solo l'accesso. inoltre ho trovato un file di nome q400115.exe in C:\ che non consente l'accesso.

seguendo le istruzioni trovate in un sito correlato con MegaLab.it, ho scaricato e passato HijackThis, ma non so cosa significhi. Mi potete aiutare? Il log risultato dalla scansione è questo:

Logfile of HijackThis v1.98.2
Scan saved at 11.44.39, on 23/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Rational\ClearCase\bin\albd_server.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\NavNT\DefWatch.exe
C:\Programmi\Rational\ClearCase\bin\lockmgr.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRA~1\NavNT\savroam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\Rational\ClearCase\bin\cccredmgr.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\PROGRA~1\NavNT\vptray.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINNT\system32\TASKMGR.EXE
C:\Programmi\totalcmd\TOTALCMD.EXE
C:\Programmi\Winamp\winamp.exe
C:\Programmi\File comuni\System\MAPI\1040\nt\MAPISP32.EXE
C:\PROGRA~1\NavNT\Rtvscan.exe
C:\Programmi\Rational\ClearCase\bin\clearfindco.exe
C:\Programmi\NavNT\VPC32.EXE
C:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\aesl013\IMPOST~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\aesl013\IMPOST~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-nord:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;enel.*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2DDAABBA-2627-4485-9392-9F6A431A08D7} - C:\WINNT\system32\pplf.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [CCDoctorLogonTesting] "C:\Programmi\Rational\ClearCase\bin\ccdoctor.exe" /LogonStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: AntiVir XP.LNK = C:\Programmi\AVPersonal\AVWIN.EXE
O4 - Startup: Avvia il browser Internet Explorer (1).lnk = C:\Programmi\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Avvia il browser Internet Explorer (2).lnk = C:\Programmi\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Collegamento a Microsoft Outlook.lnk = ?
O4 - Startup: Collegamento a TASKMGR.lnk = C:\WINNT\system32\TASKMGR.EXE
O4 - Startup: TOAD.lnk = C:\Programmi\Quest Software\TOAD\TOAD.exe
O4 - Startup: Total Commander 32.lnk = C:\Programmi\totalcmd\TOTALCMD.EXE
O4 - Startup: UltraEdit-32.lnk = C:\Programmi\UltraEdit\uedit32.exe
O4 - Startup: Winamp.lnk = C:\Programmi\Winamp\winamp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Programmi\Altova\XMLSpy2005\spy.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programmi\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programmi\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = risorse.enel
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = risorse.enel
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = risorse.enel
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\TOAD\RNetPin.dll
O18 - Filter: text/html - {2AA64993-5BA3-4304-9BF8-CE8BD710866C} - C:\WINNT\system32\pplf.dll
O18 - Filter: text/plain - {2AA64993-5BA3-4304-9BF8-CE8BD710866C} - C:\WINNT\system32\pplf.dll

Ho visto che ci sono già stati altri interventi nel forum riguardo a cosa eliminare tra queste voci, ma mi sembra di aver capito che ognuno è un caso a sè stante.

Mi potete aiutare voi ?

Grazie mille

P.S.: sto facendo girare Norton che per ora ha trovato solo la se.ddl
Avatar utente
puffopoeta
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mar ago 23, 2005 10:59 am

Messaggioda blind » mar ago 23, 2005 12:11 pm

Ciao e benvenuto..

intanto scaricati la versione più aggiornata di HijackThis

E poi inizia col cancellare questa voce:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\aesl013\IMPOST~1\Temp\se.dll/space.html

e fai attenzione che si ripete due volte.. quindi le devi eliminare entrambe..
Ogni parola pronunciata sarà lo specchio del tuo dolore.. riflette la colpa, alimenta l'odio.. "Lacuna Coil"
Avatar utente
blind
Silver Member
Silver Member
 
Messaggi: 1215
Iscritto il: gio ott 28, 2004 6:40 pm
Località: Pisa..

Trojan.StartPage

Messaggioda puffopoeta » mar ago 23, 2005 1:03 pm

fatto: finalmente riesco a impostare la pagina iniziale di IE [applauso]

[dry] Continuano però a comparirmi gli alert di Norton relativi alla pplf.ddl ...

Il nuovo log di Hijack_199 è questo:

Logfile of HijackThis v1.99.1
Scan saved at 14.01.12, on 23/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Rational\ClearCase\bin\albd_server.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\NavNT\DefWatch.exe
C:\Programmi\Rational\ClearCase\bin\lockmgr.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRA~1\NavNT\savroam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\Rational\ClearCase\bin\cccredmgr.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\PROGRA~1\NavNT\vptray.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINNT\system32\TASKMGR.EXE
C:\Programmi\totalcmd\TOTALCMD.EXE
C:\Programmi\UltraEdit\uedit32.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\File comuni\System\MAPI\1040\nt\MAPISP32.EXE
C:\PROGRA~1\NavNT\Rtvscan.exe
C:\Programmi\NavNT\VPC32.EXE
C:\Programmi\HijackThis\HijackThis_199\HijackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-nord:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;enel.*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2DDAABBA-2627-4485-9392-9F6A431A08D7} - C:\WINNT\system32\pplf.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [CCDoctorLogonTesting] "C:\Programmi\Rational\ClearCase\bin\ccdoctor.exe" /LogonStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: AntiVir XP.LNK = C:\Programmi\AVPersonal\AVWIN.EXE
O4 - Startup: Avvia il browser Internet Explorer (1).lnk = C:\Programmi\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Avvia il browser Internet Explorer (2).lnk = C:\Programmi\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Collegamento a Microsoft Outlook.lnk = ?
O4 - Startup: Collegamento a TASKMGR.lnk = C:\WINNT\system32\TASKMGR.EXE
O4 - Startup: TOAD.lnk = C:\Programmi\Quest Software\TOAD\TOAD.exe
O4 - Startup: Total Commander 32.lnk = C:\Programmi\totalcmd\TOTALCMD.EXE
O4 - Startup: UltraEdit-32.lnk = C:\Programmi\UltraEdit\uedit32.exe
O4 - Startup: Winamp.lnk = C:\Programmi\Winamp\winamp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Programmi\Altova\XMLSpy2005\spy.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programmi\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programmi\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = risorse.enel
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = risorse.enel
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = risorse.enel
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\TOAD\RNetPin.dll
O18 - Filter: text/html - {2AA64993-5BA3-4304-9BF8-CE8BD710866C} - C:\WINNT\system32\pplf.dll
O18 - Filter: text/plain - {2AA64993-5BA3-4304-9BF8-CE8BD710866C} - C:\WINNT\system32\pplf.dll
O20 - Winlogon Notify: ccnotify - C:\Programmi\Rational\bin\ccnotify.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Atria Location Broker (Albd) - IBM Corporation - C:\Programmi\Rational\ClearCase\bin\albd_server.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Rational Cred Manager (cccredmgr) - Unknown owner - C:\Programmi\Rational\ClearCase\bin\cccredmgr.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\NavNT\DefWatch.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Rational Lock Manager (LockMgr) - Unknown owner - C:\Programmi\Rational\ClearCase\bin\lockmgr.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NavNT\Rtvscan.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: SAVRoam - symantec - C:\PROGRA~1\NavNT\savroam.exe
Avatar utente
puffopoeta
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mar ago 23, 2005 10:59 am


Messaggioda blind » mar ago 23, 2005 1:19 pm

ecco la colpevole:

O2 - BHO: (no name) - {2DDAABBA-2627-4485-9392-9F6A431A08D7} - C:\WINNT\system32\pplf.dll

per sicurezza fai un backup del file e se non riesci ad eliminarlo prova dalla modalità provvisoria..

L' antivirus è aggiornato?.. ma sei sicuro di avere il norton?.. tra i processi ho visto che hai antivir..

fai una scanzione con questo che forse è meglio:

http://www.MegaLab.it/2398
Ogni parola pronunciata sarà lo specchio del tuo dolore.. riflette la colpa, alimenta l'odio.. "Lacuna Coil"
Avatar utente
blind
Silver Member
Silver Member
 
Messaggi: 1215
Iscritto il: gio ott 28, 2004 6:40 pm
Località: Pisa..

Messaggioda puffopoeta » mar ago 23, 2005 1:38 pm

Sì, ho sia il Norton (che sta girando) che l'Antivir; solo che essendo il mio portatile inserito in una rete aziendale, Norton è l'antivirus di tutta la rete (server-client) mentre Antivir era quello che avevo prima che installassero il Norton sul server e sui client.

Comunque quando entro in C:\ appare questa alert:


Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Trojan.StartPage
File: C:\q400115.exe
Location: C:
Computer: ******
User: ******
Action taken: Leave Alone succeeded : Access denied
Date found: martedì 23 agosto 2005 14.29.38


Ovviamente non si lascia eliminare...
Se entro in modalità provvisoria riesco ad eliminarlo ?
Avatar utente
puffopoeta
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mar ago 23, 2005 10:59 am

Messaggioda blind » mar ago 23, 2005 1:55 pm

non sono esperto di reti aziendali ma due antivirus sullo stesso pc sono inutili e spesso causano contrasti tra di loro.. meglio averne uno e ben aggiornato..

per quanto riguarda quel file non posso dirti se si può eliminare dalla modalità provvisoria fino a che non provi.. ovviamente fatti un backup del suddetto magari zippandolo..

se proprio vuoi eliminarlo e non ci riesci puoi provare con questo:

http://www.MegaLab.it/2427
Ogni parola pronunciata sarà lo specchio del tuo dolore.. riflette la colpa, alimenta l'odio.. "Lacuna Coil"
Avatar utente
blind
Silver Member
Silver Member
 
Messaggi: 1215
Iscritto il: gio ott 28, 2004 6:40 pm
Località: Pisa..

Messaggioda crazy.cat » mer ago 24, 2005 8:06 am

Il tuo problema è dovuto ad una delle varianti di questo virus
http://www.MegaLab.it/forum/viewtopic.php?p=93766#93766

cancella anche queste righe
O2 - BHO: (no name) - {2DDAABBA-2627-4485-9392-9F6A431A08D7} - C:\WINNT\system32\pplf.dll
O18 - Filter: text/html - {2AA64993-5BA3-4304-9BF8-CE8BD710866C} - C:\WINNT\system32\pplf.dll
O18 - Filter: text/plain - {2AA64993-5BA3-4304-9BF8-CE8BD710866C} - C:\WINNT\system32\pplf.dll
O20 - Winlogon Notify: ccnotify - C:\Programmi\Rational\bin\ccnotify.dll (file missing)

Da togliere
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)

Non so se questi valori li avete impostati voi, per esigenze di lavoro, altrimenti eliminali
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Trojan.StartPage - Epilogo

Messaggioda puffopoeta » mer ago 24, 2005 10:46 am

Cari Blind e Crazy.cat,

dopo l'eliminazione delle prime due righe, relative al primo messaggio di ieri, sono riuscito a impostare ed a mantenere impostata la pagina iniziale di IE.

il file q400115.exe sono riuscito ad eliminarlo da windows in modalità provvisoria.

ora ho cancellato anche le rimanenti righe del messaggio di oggi, tranne l'ultima che non credo dia fastidio. la penultima invece (206.161.125.149) era sempre relativa al virus.

Sembra che tutto si sia sistemato per il meglio, ed è tutto merito vostro.

Grazie 100000000000000 [applauso] [:-D] [cuore] [brindisi] [rotolo]

P.S.: non mancherò nè di visitare i vostri sponsor, nè di diffondere a ben più di 5 persone questo forum in quanto è doveroso sostenere chi aiuta gli altri.

Grazie ancora, alla prossima.
Marco.
Avatar utente
puffopoeta
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mar ago 23, 2005 10:59 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 19 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising