Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

dirottatore

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

dirottatore

Messaggioda erisabry » lun nov 22, 2010 5:12 pm

Ciao!! [ciao]
tempo fà ho preso un virus noto come dirottatore di google, [devil] il mio antivirus è riuscito ad eliminarlo ma internet explorer ha cominciato a darmi problemi tanto che ormai uso firefox....comincio a pensare di non averlo eliminato del tutto dato che ogni tanto anche firefox mi dà problemi di caricamento...tipo... se faccio una ricerca su google, molte volte mi scrive sotto lettura di gostats.com e la pagina rimane bianca, senza caricarsi...
sapete come posso risolvere il problema???
Avatar utente
erisabry
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: lun nov 22, 2010 11:06 am

Re: dirottatore

Messaggioda CRYPAX » lun nov 22, 2010 5:29 pm

fai una scansione con Hijackthis
fai una scansione (scan and save log)
non fare altro
salva il log e poi postalo qui
Ogni uomo vive governato dalle proprie opinioni cui dà il nome fallace di realtà.
Avatar utente
CRYPAX
Bronze Member
Bronze Member
 
Messaggi: 994
Iscritto il: sab lug 24, 2010 5:01 pm
Località: K-PAX

Re: dirottatore

Messaggioda raffaele32 » lun nov 22, 2010 5:36 pm

Avatar utente
raffaele32
Silver Member
Silver Member
 
Messaggi: 1489
Iscritto il: mer ott 28, 2009 7:21 pm


Re: dirottatore

Messaggioda FDAC » lun nov 22, 2010 6:50 pm

Scarica ed installa Hijackthis: http://www.trendmicro.com/ftp/products/ ... ckThis.msi
● lancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un file di testo: allegalo

Per allegare il log utilizza questo servizio di upload: http://wikisend.com
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: dirottatore

Messaggioda The Doctor » lun nov 22, 2010 7:06 pm

FDAC ha scritto:Per allegare il log utilizza questo servizio di upload: http://wikisend.com
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.


@erisabry: Per allegare il LOG puoi utilizzare i metodi messi a disposizione dal nostro forum in modo da non dover usare servizi esterni, favorendo sia a te che effettui l'upload sia chi cerca di aiutarti e deve consultare il LOG.
I LOG vanno allegati utilizzando il tag MEMO. A tal proposito trovi tutte le info su [!!!] Allegare contenuti alle discussioni - nuovo tag MEMO

@FDAC: ti invito a suggerire tale procedura d'ora in poi.


[grazie] a tutti per la collaborazione [;)]
Ciao Nonno
Avatar utente
The Doctor
MLI Hero
MLI Hero
 
Messaggi: 5553
Iscritto il: mer mar 24, 2010 9:10 am
Località: Fiumicino (Roma)

Re: dirottatore

Messaggioda erisabry » mar nov 23, 2010 9:51 pm

ecco qui!! [:)]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21.48.35, on 23/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\System32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\Programmi\Alwil Software\Avast5\AvastSvc.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\RTHDCPL.EXE
I:\Programmi\Google\Quick Search Box\GoogleQuickSearchBox.exe
I:\Programmi\File comuni\Java\Java Update\jusched.exe
I:\Programmi\Alwil Software\Avast5\avastUI.exe
I:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe
I:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
I:\Programmi\Spyware Cease\SpywareCease.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe
I:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
I:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
I:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
I:\Programmi\NETGEAR\WG111v3\WG111v3.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\rundll32.exe
I:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
I:\Programmi\Java\jre6\bin\jqs.exe
I:\Programmi\File comuni\LightScribe\LSSrvc.exe
I:\WINDOWS\System32\svchost.exe
I:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
I:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
I:\Programmi\Mozilla Firefox\firefox.exe
I:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
I:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:25485
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
O1 - Hosts: http://www.travian.it/landingpage/?ad=1 ... 2SHc000000
O1 - Hosts: 69.65.50.148 http://www.google.com
O1 - Hosts: 69.65.50.148 google.com
O1 - Hosts: 69.65.50.148 google.com.au
O1 - Hosts: 69.65.50.148 http://www.google.com.au
O1 - Hosts: 69.65.50.148 google.be
O1 - Hosts: 69.65.50.148 http://www.google.be
O1 - Hosts: 69.65.50.148 google.com.br
O1 - Hosts: 69.65.50.148 http://www.google.com.br
O1 - Hosts: 69.65.50.148 google.ca
O1 - Hosts: 69.65.50.148 http://www.google.ca
O1 - Hosts: 69.65.50.148 google.ch
O1 - Hosts: 69.65.50.148 http://www.google.ch
O1 - Hosts: 69.65.50.148 google.de
O1 - Hosts: 69.65.50.148 http://www.google.de
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - I:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - I:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programmi\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - I:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Google Quick Search Box] "I:\Programmi\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] I:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast5] "I:\Programmi\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "I:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SpywareCease.exe] I:\Programmi\Spyware Cease\SpywareCease.exe
O4 - HKLM\..\Run: [SCHelper.exe] I:\Programmi\Spyware Cease\SCHelper.exe -0
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] I:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "I:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [swg] "I:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = I:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = I:\Programmi\NETGEAR\WG111v3\WG111v3.exe
O8 - Extra context menu item: &Search - ?p=ZJxdm353YYIT
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://I:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: i:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6844788222
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... ader55.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - I:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - I:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - I:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - I:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - I:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - I:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - I:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - I:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - I:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - I:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - I:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TomTomHOMEService - TomTom - I:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 9339 bytes
Avatar utente
erisabry
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: lun nov 22, 2010 11:06 am

Re: dirottatore

Messaggioda crazy.cat » mer nov 24, 2010 8:09 am

Speywarecease è da eliminare.
http://us.norton.com/security_response/ ... 99&tabid=2
erisabry ha scritto:I:\Programmi\Spyware Cease\SpywareCease.exe


Rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix checked per eliminarle.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:25485
O1 - Hosts: 69.65.50.148 http://www.google.com
O1 - Hosts: 69.65.50.148 google.com
O1 - Hosts: 69.65.50.148 google.com.au
O1 - Hosts: 69.65.50.148 http://www.google.com.au
O1 - Hosts: 69.65.50.148 google.be
O1 - Hosts: 69.65.50.148 http://www.google.be
O1 - Hosts: 69.65.50.148 google.com.br
O1 - Hosts: 69.65.50.148 http://www.google.com.br
O1 - Hosts: 69.65.50.148 google.ca
O1 - Hosts: 69.65.50.148 http://www.google.ca
O1 - Hosts: 69.65.50.148 google.ch
O1 - Hosts: 69.65.50.148 http://www.google.ch
O1 - Hosts: 69.65.50.148 google.de
O1 - Hosts: 69.65.50.148 http://www.google.de
O4 - HKLM\..\Run: [SpywareCease.exe] I:\Programmi\Spyware Cease\SpywareCease.exe
O4 - HKLM\..\Run: [SCHelper.exe] I:\Programmi\Spyware Cease\SCHelper.exe -0
O8 - Extra context menu item: &Search - ?p=ZJxdm353YYIT


POi installa malwarebytes, lo aggiorni e fai la scansione rimuovendo quello che trova.
Poi facci sapere come va.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: dirottatore

Messaggioda FDAC » mer nov 24, 2010 12:25 pm

Grazie Crazy, di aver dato una mano in mia assenza.
Aspettiamo il log.
Ciao ! :)
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: dirottatore

Messaggioda erisabry » gio nov 25, 2010 10:34 pm

prima di tutto grazie mille...a tutti
scansione fatta:
2 elementi trovati
-trojanagent
-roguespywarecease

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 5190

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25/11/2010 22.32.11
mbam-log-2010-11-25 (22-32-11).txt

Tipo di scansione: Scansione completa (I:\|)
Elementi esaminati: 214400
Tempo trascorso: 38 minuti, 56 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RkHit (Rogue.SpywareCease) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
I:\System Volume Information\_restore{A758222C-EBA1-4565-83AD-95ECDA156FE4}\RP3\A0003388.sys (Trojan.Agent) -> Quarantined and deleted successfully.
Avatar utente
erisabry
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: lun nov 22, 2010 11:06 am

Re: dirottatore

Messaggioda FDAC » ven nov 26, 2010 11:01 am

Ok.
Disattiva il Ripristino Configurazione Di Sistema, e tienilo disattivato sino alla Risoluzione del Problema:
● clicca su Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma la modifica, con Applica e, poi OK
riavvia il sistema, ripeti la stessa procedura e riattiva il Ripristino Configurazione di Sistema




Scarica Stealth MBR rootkit detector: http://www2.gmer.net/mbr/mbr.exe
● mettilo direttamente nella Directory C:\
riavvia il sistema in Modalità Provvisoria: http://windows.microsoft.com/it-IT/wind ... -safe-mode
● Start - Esegui - digita C:\mbr.exe e clicca su OK
● la scansione dura 1 secondo
● recati in C:/ e allega il file mbr.txt per un controllo
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising