Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Google Redirect Virus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Google Redirect Virus

Messaggioda Burnemathras » mar set 28, 2010 1:14 pm

Salve a tutti, seguo questo forum da tempo e ho deciso di condivere il problema del mio amico con voi. Spero possiate risolverlo.
Qualche giorno fa il mio amico ha preso un virus. Dopo alcune ricerche ha scoperto che si tratta di un virus chiamato Google Redirect Virus, come da titolo. Descrivo il problema: all'inizio ogni tanto apparivano dei redirect ad un sito che col mio computer, avendo Avira, risulta bloccato (lui ha nod32). Il sito è: //http://77.78.201.79/index.php?36=M4DRG479WM80&3vS11=G0J1F404M32O8L&ixLo=gsMfQRid0sEOH1LBUg&6716J=5DL714C18W8D1ZK&e1O=k5LYQpmen0Oa&r4w=gAFoyXXNUbSh%2FBgF&4Mb=UC727X9HKI6D89S5UN7&Lmoe8=ZEODwuU&Dj3I=K24R4KJ9S5RF77YM0XXTQuN2teXSs9V2&vhWkB=mAHMoCzUFZnYOVjovVj0Md2B0V0sIZXUNBX8AfQZxQFVHOQ%3D%3D&Eg1=8uVDZQIWtZUDFYVz.
In basso a sinistra quando si carica il sito appariva che trasferiva dati da analytics.Google. Una volta arrivato al sito sopra linkato, la pagina assomigliava a una scansione del pc online scritta in inglese.
Il mio amico ha sottovalutato il virus e, dopo un solo giorno, questi redirect sono stati sempre più frequenti, e adesso addirittura la maggior parte dei siti che carica danno l'errore: "Impossibile contattare il server." (ho provato col mio pc e lo carica perfettamente).
Stamattina, riavviando il pc, la scheda audio non funzionava e ha risolto facendo il ripristino configurazione di sistema a 2 giorni prima.
Ho provato a fargli installare MBAM, ma dopo averlo installato gli risulta impossibile aprirlo, visto che non partono nè il processo nè, ovviamente, la schermata.
Posto qui di seguito un log di Hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.18.40, on 28/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\WKICOSIMI\clientgrafico\bin\cligrafsrv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\softwaredistribution\download\install\STacSV.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programmi\Uniblue\DiskRescue\UBDiskRescueSrv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\IDT\WDM\sttray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmi\Sandboxie\SbieCtrl.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [RoboForm] "C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programmi\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CurseClientStartup.ccip
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Compila - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Compila Modulo - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Salva - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Salva Moduli - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF Barra strumenti - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4931951718
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC44DD99-0CA9-4E45-91AB-F40CD84D505A}: NameServer = 4.2.2.1, 4.2.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: cligrafsrv - Unknown owner - C:\Programmi\WKICOSIMI\clientgrafico\bin\cligrafsrv.exe
O23 - Service: Servizio di Google Update (gupdate1c98f4ab7914e78) (gupdate1c98f4ab7914e78) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\windows\softwaredistribution\download\install\STacSV.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Uniblue DiskRescue - Uniblue - C:\Programmi\Uniblue\DiskRescue\UBDiskRescueSrv.exe

--
End of file - 10232 bytes
Avatar utente
Burnemathras
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mar gen 20, 2009 10:14 pm

Re: Google Redirect Virus

Messaggioda FDAC » mar set 28, 2010 1:28 pm

Ciao
Rilancia Hijackthis e:
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [RoboForm] "C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: CurseClientStartup.ccip
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4931951718
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab

Disinstalla questi programmi:
--- Guida per l'accesso a Windows Live
--- Google Toolbar
--- MSN Toolbar
--- Windows Live Toolbar
--- Veoh Web Player Video Finder
--- Logitech Desktop Messenger
--- Uniblue DiskRescue
--- a-squared Free
--- Bonjour

Il tuo antivirus, NOD32, è originale?
TuneUp Utilities è originale?
Roboform è un programma che utilizzi?
Chiedo questo per evitare incomprensioni.
Fammi sapere, dopo proseguiamo. :O)
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Google Redirect Virus

Messaggioda ste_95 » mar set 28, 2010 1:34 pm

Prova a fargli fare una scansione con Combofix e postare il log [:)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Re: Google Redirect Virus

Messaggioda Burnemathras » mar set 28, 2010 1:46 pm

FDAC ha scritto:Ciao
Rilancia Hijackthis e:
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [RoboForm] "C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: CurseClientStartup.ccip
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4931951718
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab

Disinstalla questi programmi:
--- Guida per l'accesso a Windows Live
--- Google Toolbar
--- MSN Toolbar
--- Windows Live Toolbar
--- Veoh Web Player Video Finder
--- Logitech Desktop Messenger
--- Uniblue DiskRescue
--- a-squared Free
--- Bonjour

Il tuo antivirus, NOD32, è originale?
TuneUp Utilities è originale?
Roboform è un programma che utilizzi?
Chiedo questo per evitare incomprensioni.
Fammi sapere, dopo proseguiamo. :O)


Nod e tuneup sono originali, roboform non lo utilizza da anni.

ste_95 ha scritto:Prova a fargli fare una scansione con Combofix e postare il log [:)]


Mi ricordo che per combofix c'erano delle cose da fare ed altre no, potresti indicarmi il procedimento? :)
Avatar utente
Burnemathras
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mar gen 20, 2009 10:14 pm

Re: Google Redirect Virus

Messaggioda FDAC » mar set 28, 2010 2:18 pm

Ciao Burne, ti ho chiesto dei Software NOD32 e TuneUp Utilities, solo per farmi una idea :)
Disinstalla i Programmi sopra citati, incluso Roboform.
Dopodichè esegui queste operazioni alla lettera, senza tralasciare nulla.
Scarica ed installa MalwareBytes:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema.
Invia il log.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Google Redirect Virus

Messaggioda farbix89 » mar set 28, 2010 2:19 pm

Burnemathras ha scritto:Mi ricordo che per combofix c'erano delle cose da fare ed altre no, potresti indicarmi il procedimento? :)



topic65911.html
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Google Redirect Virus

Messaggioda FDAC » mar set 28, 2010 2:20 pm

Ciao Farbix, prima di fargli usare Combofix, aspettiamo l'esito di Malwarebytes :)
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Google Redirect Virus

Messaggioda farbix89 » mar set 28, 2010 2:24 pm

FDAC ha scritto:Ciao Farbix, prima di fargli usare Combofix, aspettiamo l'esito di Malwarebytes :)


Infatti nella guida che ho postato,uno degli step indica come trattare le infezioni,basta avviare in serie:

-antivir

-Malwarebytes

-combofix e Hijackthis

Tutti in provvisoria [:)]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Google Redirect Virus

Messaggioda Burnemathras » mar set 28, 2010 2:28 pm

farbix89 ha scritto:
FDAC ha scritto:Ciao Farbix, prima di fargli usare Combofix, aspettiamo l'esito di Malwarebytes :)


Infatti nella guida che ho postato,uno degli step indica come trattare le infezioni,basta avviare in serie:

-antivir

-Malwarebytes

-combofix e Hijackthis

Tutti in provvisoria [:)]


Come ho già detto prima, non è possibile avviare MBAM :)
Gli faccio provare con combofix in provvisoria?
Avatar utente
Burnemathras
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mar gen 20, 2009 10:14 pm

Re: Google Redirect Virus

Messaggioda farbix89 » mar set 28, 2010 2:29 pm

Burnemathras ha scritto:
Come ho già detto prima, non è possibile avviare MBAM


Provato ad installarlo ed avviarlo in provvisoria?

Gli faccio provare con combofix in provvisoria?


Se decidi di usare combofix,si.

Meglio tutto in provvisoria.
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Google Redirect Virus

Messaggioda Burnemathras » mar set 28, 2010 2:32 pm

farbix89 ha scritto:
Burnemathras ha scritto:
Come ho già detto prima, non è possibile avviare MBAM


Provato ad installarlo ed avviarlo in provvisoria?

Gli faccio provare con combofix in provvisoria?


Se decidi di usare combofix,si.

Meglio tutto in provvisoria.


Abbiamo provato ad avviarlo in provvisoria ma non si apre lo stesso, ora gli faccio provare ad installarlo in provvisoria.
In caso non fosse possibile procederà utilizzando combofix in provvisoria :)
Avatar utente
Burnemathras
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mar gen 20, 2009 10:14 pm

Re: Google Redirect Virus

Messaggioda farbix89 » mar set 28, 2010 2:35 pm

Burnemathras ha scritto:
Abbiamo provato ad avviarlo in provvisoria ma non si apre lo stesso,


Il virus lo avrà danneggiato,e quindi non è più avviabile in nessuna modalità.

Reinstallalo in provvisoria.

In caso non fosse possibile procederà utilizzando combofix in provvisoria :)


[^]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Google Redirect Virus

Messaggioda Burnemathras » mar set 28, 2010 2:38 pm

farbix89 ha scritto:
Burnemathras ha scritto:
Abbiamo provato ad avviarlo in provvisoria ma non si apre lo stesso,


Il virus lo avrà danneggiato,e quindi non è più avviabile in nessuna modalità.

Reinstallalo in provvisoria.

In caso non fosse possibile procederà utilizzando combofix in provvisoria :)


[^]


Ok, appena farà la scansione posterò il log :)
Avatar utente
Burnemathras
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mar gen 20, 2009 10:14 pm

Re: Google Redirect Virus

Messaggioda FDAC » mar set 28, 2010 2:45 pm

Scarica <b>Combofix</b> da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Quando lo salvi hai la possibilità di rinominare il file: rinomina l’exe in pippo.exe

● posiziona pippo.exe sul Desktop
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer
● accedi al sistema in modalità provvisoria con un account con privilegi di <b>Amministratore</b>
● lancia <b>ComboFix </b>e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)

Note - durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'<b>antivirus</b> in uso: <b>prosegui ignorando il messaggio</b>
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consenti pure)

Verrà creato un log in Disco Locale C: dal nome <b>combofix.txt </b>che dovrai inviare qui.

Conclusa la scansione:
● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet e invia il file di testo

N.B. Se non riuscissi in alcun modo ad utilizzare Combofix, segui questi semplici passi:

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\pippo.exe" /killall
Premi OK, si dovrebbe avviare la scansione.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Google Redirect Virus

Messaggioda Burnemathras » mer set 29, 2010 10:43 am

Il mio amico ha provato ad installare MBAM in provvisoria, riesce ad installarlo ma non parte. Ha poi provato ad installare combofix in provvisoria e non riesce a far partire neanche l'installer. Ha poi provato anche in modalità normale ma non riusciva a far partire l'installer neanche così.
Avatar utente
Burnemathras
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mar gen 20, 2009 10:14 pm

Re: Google Redirect Virus

Messaggioda farbix89 » mer set 29, 2010 12:02 pm

Burnemathras ha scritto:Il mio amico ha provato ad installare MBAM in provvisoria, riesce ad installarlo ma non parte. Ha poi provato ad installare combofix in provvisoria e non riesce a far partire neanche l'installer. Ha poi provato anche in modalità normale ma non riusciva a far partire l'installer neanche così.


forse i danni provocati sono gravi.

Ripeti dall'inizio questa procedura,

Iniziando da Avira(da installare,aggiornare e fa partire la scansione in provvisoria)

Attento agli errori che puoi incontrare installando Avira,è tutto scritto [^]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising