www.MegaLab.it

[vash183]

Ho questo problema da diverse settimane, e non riesco a trovarne la causa.
Praticamente quando faccio una ricerca con google e poi premo su di un risultato non mi apre la pagina giusta, e mi dirotta verso altri siti. ho pravato ad usare adaware antivirus e hijackthis, e apparentemente il problema sembrava risolto, poi in seguito è tornato, ma questa volta neanche con hijack this sono riuscito a trovare una possibile causa

vi posto il log di hijackthis per vedere se trovate qualcosa che mi è sfuggito o se avete qualche altro consiglio da darmi

Logfile of HijackThis v1.99.1
Scan saved at 21.46.46, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Jacopo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{774CA453-935F-4B47-B145-1BFBD8797F1D}: NameServer = 193.70.152.25,193.70.152.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[kap]

il problema che mi è saltato subito all'occio è questo--> C:\WINDOWS\system32\csrss.exe

Codice: Seleziona tutto

Con la funzione trova, cerchiamo ed eliminiamo anche dal cestino il file csrss.exe.

Portarsi in HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun ed eliminare dal pannello di dx il valore BagleAV

http://www.ilsoftware.it/av.asp?ID=102

[vash183]

sei sicuro che sia quello? perché il file csrss.exe ce l'ho in un altro pc che non mi dà questi problemi. tra l'altro facendo una scansione del file con Antivir non mi trova niente.

vorrei esserne certo prima di cancellare un file di sistema.

[Amantide]

Prova ad usare anche questo tool di rimozione: W32.Netsky@mm Removal Tool

[Amantide]

sei sicuro che sia quello? perché il file csrss.exe ce l'ho in un altro pc che non mi dà questi problemi. tra l'altro facendo una scansione del file con Antivir non mi trova niente.

vorrei esserne certo prima di cancellare un file di sistema.

Hai ragione (mi dico sempre di non rispondere la sera, che manca la concentrazione )
Il file csrss.exe è dannoso se si trova in C:\Windows\ , in C:\Windows\system32\ è un file leggittimo (Microsoft Client/Server Runtime Server Subsystem).

[vash183]

tra l'altro internet explorer non mi apre la pagina della symatec, ed ho dovuto scaricare il tool da un'altro pc...non credo che questo sia un buon segno

[Amantide]

Nel log non si vede niente di pericoloso, potrebbe essere una variante di LinkOptimizer. Scarica ed aggiorna VirIt della TGSoft e fai la scansione, per altri dettagli leggi il topic in rilievo.

[kap]

azzzz....allora la cavolata l'ho detta io stavolta...sorry vash

[vash183]

fatta la scansione con W32.Netsky@mm Removal Tool e non ha rilevato nulla.provo con l'ultima soluzione proposta e poi vi sò dire

[vash183]

ho fatto la scansione con il tool di symatec per il linkoptimizer e non ha trovato niente, poi ho fatto la scansione con virit ed ha trovato qualcosa in un registro e l'ha cortretto. però il problema persisteva.

navigando mi sono accorto che il dirottamento me lo faceva solo con i siti che avevo già cliccato in precedenza, allora ho cancellato i file temporanei di internet, i cookies, e anche la cronologia, e adesso sembra che funzioni. Comunque farò qualche giorno di prova prima di esserne certo.

però il sito della symantec non me lo apre ancora

[vash183]

come non detto, il problema è ritornato. si era risolto solo apparentemente.

alcuni siti li apre correttamente, a volte fà il dirottamento altre no..non ci capisco più niente

ho notato che a volte si dirige su questo server

http://85.255.116.218/click.php?PHPSESS ... d=1&qnaes={5FADFA2A-DE01-4032-A3A1-5676DC31BE5B}

e pio si dirige sui siti di dirottamento

tipo

robogold.biz
mov-x-archne.com

e altri, che comunque cambiano di volta in volta

[Amantide]

Il dirottamento verso robogold.biz indica proprio la presenza di LinkOptimizer.
Per prima cosa evita di usare IE, passa al Firefox od Opera. Poi scarica ed installa tutti gli aggiornamenti per windows. Assicurati di aver aggiornato VirIt e rifai la scansione. Prova anche questo tool di rimozione della Prevx http://www.prevx.com/gromozon.asp e alla fine posta il nuovo log di hijackthis.

[crazy.cat]

Scansioni con A2 squared, superantispyware o ewido e vediamo cosa trovano.
Poi eventualmente passiamo alla ricerca dei virus.

[vash183]

ho fatto come da consiglio da amantide, ma nessun cambiamento di rilievo, ora uso firefox e vediamo se le cose cambiano.questo è il log come richiesto. poi proverò anche le scansioni consigliate da crazy.


Logfile of HijackThis v1.99.1
Scan saved at 12.19.29, on 20/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Jacopo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{774CA453-935F-4B47-B145-1BFBD8797F1D}: NameServer = 193.70.152.25,193.70.152.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[Amantide]

Anche nel nuovo log non si vede nulla di sospetto. Ti posso consigliare solo di installare un buon firewall: Comodo o Zone Allarm; Spyware terminator per la protezione in tempo reale, scarica regolarmente tutti gli aggiornamenti per windows ed usa il browser diverso da IE.
Magari fra qualche giorno se il problema persiste, fai di nuovo la scansione con Hijackthis e vedremo se si potrà intravedere qualcosa.

[vash183]

ho fatto la scansione con i programmi di crazy, ed hanno trovato qualcosa, che è stat opportunamente eliminata.

attualmenete, stò usando firefox e mi sembra che non presenti il problema di dirottamento, anche se continua ad non aprirmi il sito della symantec.

vedremo più avanti, ed in caso interverremo a dovere.

il fatto che non si noti niente di strano e che presenti i sintomi di linkoptimizer pptrebbe essere dato dal fatto che in passato non sia stato rimosso correttamente?

[Amantide]

Potrebbe essere dovuto anche a qualche variante "invisibile" di LO, visto che ne esce una variante nuova ogni 2-3 giorni.
Intanto segui i nostri consigli e vedi come va.

[eL_MisiO]

hallo,

i´ve get the same problem like you vash183 please try this F-Secure Blacklight form this Url

http://www.europe.f-secure.com/exclude/blacklight/index.shtml