Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Intrusione adultkey

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Intrusione adultkey

Messaggioda e.villan » ven giu 30, 2006 8:23 am

Da qualche giorno quando accendo il computer, dopo una mezzoretta circa, mi appare magicamente una finestra che mi dice:
complimenti, hai la possibilità di accedere a 300 cents all'ora ad un sito di materiale pornografico (adultkey) .....
Questo avviene anche se non sono collegato ad internet e non riesco più a togliermelo dalle nocciole se non cliccando sulla pagina del sito e fingendo di collegarmi a modem spento.
Come abbia fatto ad installarsi sul computer non si sa, e nemmeno mio figlio lo sa !!!!!!!!!!????
Siccome però mi rompe, cosa ho fatto ...
Ho aperto il Task manager e segnato tutti i processi aperti (30).
Appena mi si è riaperto questo "adultkey" ho spuntato i processi e trovato un nuovo processo chiamato "BEST.EXE".
Infatti rifacendo la finta connessione per farlo sparire è sparito anche dal Task manager.
Ho quindi cercato sul sistema il Best.exe e lo eliminato.
E' sufficiente questo procedimento oppure devo fare qualche altro passo perché potrebbe ripresentarsi ??? In effetti mi sembrava di averlo già eliminato e mi si è ripresentato. Forse l'avevo messo nel cestino ma non avevo pulito il cestino.
Nel computer ho installato ZONE ALARM e AVAST.
Possibile che questi programmi si possano installare senza che nè il firewall che l'antivirus mi segnalino qualcosa ???
Vi ringrazio per l'aiuto e spero di aver postato nel forum corretto.
Ciao, Enzo
Enzo
Avatar utente
e.villan
Aficionado
Aficionado
 
Messaggi: 140
Iscritto il: lun ott 04, 2004 2:06 pm
Località: Osnago

Re: Intrusione adultkey

Messaggioda crazy.cat » ven giu 30, 2006 8:28 am

e.villan ha scritto:Possibile che questi programmi si possano installare senza che nè il firewall che l'antivirus mi segnalino qualcosa ???

Si, perché questi due programmi non sono in grado di controllare i dialer e la loro installazione.

Pagina 1,2,3 di questo articolo
http://www.MegaLab.it/2545
sono programmi più adatti a questo tipo di controllo.

Prova a postare un log di hijacthis, di solito quel tipo di dialer lascia delle altre tracce non visibili
http://www.MegaLab.it/2286
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda e.villan » ven giu 30, 2006 8:40 am

scusa ma, per postare il log, devo fare copia incolla di tutto nel messaggio oppure c'è un altro sistema.
Non l'ho mai fatto e dalla lettura del forum vedo che a volte nei post ci sono proprio le immagini del computer che non penso si possano ottenere con il copia incolla.
Ciao
Enzo
Avatar utente
e.villan
Aficionado
Aficionado
 
Messaggi: 140
Iscritto il: lun ott 04, 2004 2:06 pm
Località: Osnago


Messaggioda crazy.cat » ven giu 30, 2006 8:44 am

In questo caso basta un copia e incolla del testo che hai nel log.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda e.villan » lun lug 03, 2006 7:46 am

Ho fatto il log con Hijackthis, eccolo:

Logfile of HijackThis v1.99.1
Scan saved at 18.15.34, on 02/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

(Unable to list running processes)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?299
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http//:192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programmi\Pinnacle\Instant PhotoAlbum\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\Roberta Mavero\Dati applicazioni\tofareraci\systvmrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON CardMonitor.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.powersoft.name
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.xxx-content.name
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/608902.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C'è qualcosa che dovrei eliminare ???
Grazie per l'aiuto.
Ciao e forza Italia.
Enzo
Avatar utente
e.villan
Aficionado
Aficionado
 
Messaggi: 140
Iscritto il: lun ott 04, 2004 2:06 pm
Località: Osnago

Messaggioda crazy.cat » lun lug 03, 2006 9:19 am

Utilizzando questo programma
http://www.MegaLab.it/2427
selezioni il file che ti indico in rosso e premi Delete file on system Restart

Con hijackthis cancelli queste righe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?299
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\Roberta Mavero\Dati applicazioni\tofareraci\systvmrs.exe
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.powersoft.name
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.xxx-content.name
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/608902.exe

e poi riavvii subito il pc.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda e.villan » mar lug 04, 2006 7:32 am

Ho fatto tutto quello che mi hai detto.
Per il momento sembra tutto a posto, se si dovesse ripresentare ve lo farò sapere.
Comunque grazie di tutto.
Italia facci sognare.
Ciao
Enzo
Avatar utente
e.villan
Aficionado
Aficionado
 
Messaggi: 140
Iscritto il: lun ott 04, 2004 2:06 pm
Località: Osnago

Messaggioda e.villan » lun lug 10, 2006 7:51 am

Purtroppo sabato mi si è ripresentato ancora "adultkey".
Ho rifatto la scansione con hijackthis e fixato un'altra volta tutto quello che avevo già eliminato in precedenza.

C'è però una cosa che ho visto e che mi sembra un programma farlocco.....
Nella barra degli strumenti mi appare in elenco W1NMOVIEPLUGIN.
Non può essere questo la causa del ripresentarsi del rompicog....i di cui sopra ???
perché non si vede dal log che avevo allegato sopra ???? C'era già all'epoca, ci avevo fatto caso ma non glia avevo dato peso essendoci un programma WINMOVIEPLUGIN.

Posso eliminarlo e se sì come devo fare ????
Campioni del mondo
Grazie, ciao
Enzo
Avatar utente
e.villan
Aficionado
Aficionado
 
Messaggi: 140
Iscritto il: lun ott 04, 2004 2:06 pm
Località: Osnago

Messaggioda crazy.cat » lun lug 10, 2006 7:59 am

E' questo il tuo winmovie plugin (o adultkey)
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\Roberta Mavero\Dati applicazioni\tofareraci\systvmrs.exe

L'ospite ormai muta ogni settimana e si ripresenta sotto forme e nomi diversi è uno dei dialer porno più rognosi ormai da molti mesi.
http://www.MegaLab.it/2454
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda e.villan » mar lug 11, 2006 8:47 am

Ieri sera ho fatto un po' di pulizia seguendo il suggerimento che mi avevi dato con l'articolo "rimozione winmovieplugin ecc...".
L'ho fatta però senza disattivare il "ripristino della configurazione" perché sinceramente non capivo dove dovevo andare a disattivarlo.
Ho sbagliato o va bene comunque.
Potresti spiegarmi in due parole come fare per disattivare.
Scusami ma non sono così ferrato sul registro, dos e altre funzioni più per informatici.
Grazie, ciao.

P.S.: alla fine ho fatto girare AVAST e mi ha trovato due "win32" entrambi sul programma di FIREFOX.
Uno sono riuscito a spostarlo nel cestino mentre l'altro mi ha dato errore.
Avast non è riuscita a spostarlo nel cestino.
Cosa mi consigli: disinstallare firefox e rifare il dawnload per una nuova installazione o lasciarlo così ??

Un ultima cosa, tutti i virus che AVAST mi sposta nel cestino si possono eliminare o devo lasciarli lì ???
Enzo
Avatar utente
e.villan
Aficionado
Aficionado
 
Messaggi: 140
Iscritto il: lun ott 04, 2004 2:06 pm
Località: Osnago

Messaggioda crazy.cat » mar lug 11, 2006 9:19 am

e.villan ha scritto:L'ho fatta però senza disattivare il "ripristino della configurazione" perché sinceramente non capivo dove dovevo andare a disattivarlo.

E' meglio disattivare così si fa meglio pulizia.
http://www.MegaLab.it/2330

Codice: Seleziona tutto
P.S.: alla fine ho fatto girare AVAST e mi ha trovato due "win32" entrambi sul programma di FIREFOX.

Era un problema dell'aggiornamento di avast di ieri mattina, a sera ne era disponibile un altro che non aveva più problemi.

Codice: Seleziona tutto
Un ultima cosa, tutti i virus che AVAST mi sposta nel cestino si possono eliminare o devo lasciarli lì ???

Cancella tutto.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Boo » mar lug 11, 2006 9:47 am

e.villan ha scritto:Platform: Windows XP SP1 (WinNT 5.01.2600)

Installa il service pack 2
Avatar utente
Boo
Silver Member
Silver Member
 
Messaggi: 1276
Iscritto il: sab dic 04, 2004 3:41 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising