Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Lotta infinita contro Instant Access

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Lotta infinita contro Instant Access

Messaggioda reghes » gio dic 27, 2007 3:01 pm

Salve a tutti.Innanzitutto faccio i complimenti per il sito perché i vostri consigli sono sempre stati sufficienti per risolvere le magagne che ho avuto finora.Questa volta però sono in crisi e sono obbligato ad aprire un nuovo topic.
Sono uno dei tanti infettati da Instant Access,prima usavo explorer e la situazione era drammatica,mi creava icone e collegamenti a siti di donnine in mutande...ora con mozilla firefox solo qualche pagina qua e là.Ho provato di tutto:Spybot,Awf,Hijackthis,Navilog,seguendo procedimenti letti su altri topic,ma niente,continua ad aprirmi quelle pagine.
Allo stato attuale Awf non rileva nulla:

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report


Posto invece il log di Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.02.09, on 27/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://reghes.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://www.coolstreaming.us/consolle/pl ... OPCORE.CAB
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://es6-scripts.dlv4.com/binaries/eg ... _em_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B37C380A-4E5F-4F98-95CB-2C6E54019E41}: NameServer = 85.37.17.4 85.38.28.70
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe

--
End of file - 5022 bytes

Aggiungo che con Hijack avevo già fixato Instant Access.
Perfavore,potreste dirmi cosa devo fare ora?Anche perché chi spiega poi alla mia ragazza che le pagine di donnine si aprono da sole?Grazie mille.
Avatar utente
reghes
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: gio dic 27, 2007 2:44 pm

Re: Lotta infinita contro Instant Access

Messaggioda crazy.cat » gio dic 27, 2007 3:20 pm

reghes ha scritto:Aggiungo che con Hijack avevo già fixato Instant Access.

dove si trovava?

Puoi provare a rifare findaw?
Mi sembra strano non trovi nessuna cartella bak....

(oppure è un istant access mutante)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda reghes » gio dic 27, 2007 3:35 pm

Non mi ricordo di preciso,era qualcosa del genere:
04-HKCU\..\Run:ecc......o forse era con HKLM..
La cartella di Instant Access era in C:\Programmi.
Ho rifatto Findawf,ma mi da lo stesso risultato.
Instant Access mutante?ma perché mi devo sempre beccare il male dei mali?
Avatar utente
reghes
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: gio dic 27, 2007 2:44 pm


Messaggioda ste_95 » gio dic 27, 2007 3:39 pm

Con GMER esegui la scansione delle sezioni Autostart e Rootkit, quindi mettile su www.freefilehosting.net e postane i link.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda reghes » ven dic 28, 2007 10:53 am

Ok,ho fatto,Grazie mille per l'aiuto.In Autostart non mi segnala niente,invece in rootkit mi trova 2 processi "rossi".Il problema è che per uno posso solo fare Kill process,mentre per l'altro non posso fare nulla.Ho già provato a riavviare il sistema e a ripetere gli scan,ma il risultato non cambia.Posto i link degli scan:

Rootkit: http://www.freefilehosting.net/download/39hk0
Autostart: http://www.freefilehosting.net/download/39hjf

I processi incriminati sono i 2 sotto la voce Process.

Scusate per il disturbo,ma cosa potrei fare ora?Grazie ancora.
Ultima modifica di reghes il ven dic 28, 2007 10:57 am, modificato 1 volta in totale.
Avatar utente
reghes
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: gio dic 27, 2007 2:44 pm

Messaggioda ste_95 » ven dic 28, 2007 10:56 am

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\dcltqby.dat
C:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\dcltqby.exe
C:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\dcltqby_nav.dat
C:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\dcltqby_navps.dat
C:\WINDOWS\Prefetch\DCLTQBY.EXE-0BFAE471.pf


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda reghes » ven dic 28, 2007 11:31 am

Cavolo,ma sei velocissimo/a.Ho fatto tutto e riprovando con lo scan nella sezione rootkit non ha trovato niente di rosso.In più non appaiono più donnine nude...Grazie veramente,sei stato molto gentile.Buon anno a tutti!
Avatar utente
reghes
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: gio dic 27, 2007 2:44 pm

Messaggioda ste_95 » ven dic 28, 2007 11:38 am

E di che cosa? [bleh]

Buon anno anche a te! [:)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising