Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

curiosità

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

curiosità

Messaggioda raffaele32 » sab nov 20, 2010 5:03 pm

Ho effettuato un controllo con Hijack This! e Malware bytes Anti malware ed è emerso un browser hijacking,

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22.07.38, on 16/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Alwil Software\Avast5\avastUI.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\pc\Documenti\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/go.php?verb=pro-info&lang=ita
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast5] "C:\Programmi\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/ ... 7765983703
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... ader55.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5FC343-4B49-4F88-B446-1D20878E9329}: NameServer = 85.37.17.9 85.38.28.75
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe

--
End of file - 6133 bytes

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Versione database: 5121

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

16/11/2010 21.01.12
mbam-log-2010-11-16 (21-01-12).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 139724
Tempo trascorso: 12 minuti, 57 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 2
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)
Avatar utente
raffaele32
Silver Member
Silver Member
 
Messaggi: 1489
Iscritto il: mer ott 28, 2009 7:21 pm

Re: curiosità

Messaggioda raffaele32 » sab nov 20, 2010 5:35 pm

Ho rilevato i seguenti "oggetti:"
O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5FC343-4B49-4F88-B446-1D20878E9329}: NameServer = 85.37.17.9 85.38.28.75
, che ho fixato, qualcuno mi sa dire cosa sono? Il computer ha un comportamento normale, soprattutto su Internet, ma nel menù di IE viene visualizzato sotto la voce strumenti il menù
Ò×Ȥ¹ºÎï,una scansione con avast! non rileva minacce per la sicurezza,ma a me rimane il dubbio su questi oggetti...
Avatar utente
raffaele32
Silver Member
Silver Member
 
Messaggi: 1489
Iscritto il: mer ott 28, 2009 7:21 pm

Re: curiosità

Messaggioda aferrotti » sab nov 20, 2010 6:08 pm

O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5FC343-4B49-4F88-B446-1D20878E9329}: NameServer = 85.37.17.9 85.38.28.75

ma su http://www.ip-adress.com dice che sono di telecom tu accedi a internet con telecom?
...il miglior lavoro del mondo deve essere l'ingeniero degli ovetti kider!!!...
Avatar utente
aferrotti
Senior Member
Senior Member
 
Messaggi: 220
Iscritto il: dom dic 20, 2009 4:57 pm


Re: curiosità

Messaggioda raffaele32 » sab nov 20, 2010 6:27 pm

aferrotti ha scritto:
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5FC343-4B49-4F88-B446-1D20878E9329}: NameServer = 85.37.17.9 85.38.28.75

ma su http://www.ip-adress.com dice che sono di telecom tu accedi a internet con telecom?

Si accedo con telecom italia, e richiedo un indirizzo IP ad ogni connessione.
Avatar utente
raffaele32
Silver Member
Silver Member
 
Messaggi: 1489
Iscritto il: mer ott 28, 2009 7:21 pm

Re: curiosità

Messaggioda aferrotti » sab nov 20, 2010 6:31 pm

quindi quelli sono i dns di telecom non so se e corretto fixarli bisogna sentire piu esperti!
...il miglior lavoro del mondo deve essere l'ingeniero degli ovetti kider!!!...
Avatar utente
aferrotti
Senior Member
Senior Member
 
Messaggi: 220
Iscritto il: dom dic 20, 2009 4:57 pm

Re: curiosità

Messaggioda AsRock » sab nov 20, 2010 8:09 pm

Assolutamente non fixare la voce 017 : indica i settaggi DNS in questo caso l'ip corrisponde a telecom e infatti usi telecom italia. Io le altre voci le fixerei ... però aspettiamo qualcun'altro che è d'accordo [^]
Malwarebytes rileva un hijacker che non sia proprio cio scritto nella riga 09 [uhm]
[ciao]
Avatar utente
AsRock
Senior Member
Senior Member
 
Messaggi: 218
Iscritto il: sab set 04, 2010 9:11 am

Re: curiosità

Messaggioda hashcat » sab nov 20, 2010 9:43 pm

raffaele32 ha scritto:Ho rilevato i seguenti "oggetti:"
O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5FC343-4B49-4F88-B446-1D20878E9329}: NameServer = 85.37.17.9 85.38.28.75
, che ho fixato, qualcuno mi sa dire cosa sono? Il computer ha un comportamento normale, soprattutto su Internet, ma nel menù di IE viene visualizzato sotto la voce strumenti il menù
Ò×Ȥ¹ºÎï,una scansione con avast! non rileva minacce per la sicurezza,ma a me rimane il dubbio su questi oggetti...

Devi rimuovere queste due:
Codice: Seleziona tutto
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
eliminati.
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

Questi due voci sono relative a un programma indesiderato.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: curiosità

Messaggioda raffaele32 » lun nov 22, 2010 9:48 am

L'elemento 017 non l'ho fixato (per fortuna),mentre i due 09 si, rimane il browser hijacking che mi pare strano, Spybot è impostato su Google.it e non è possibile rimuovere questa caratteristica se non agendo da Spybot.Il browser Hijacking può essere una registrazione su Badoo fatta da mio fratello (consigliava di impostare come pagina principale proprio quel sito)...
Avatar utente
raffaele32
Silver Member
Silver Member
 
Messaggi: 1489
Iscritto il: mer ott 28, 2009 7:21 pm

Re: curiosità

Messaggioda sampei.nihira » lun nov 22, 2010 12:59 pm

raffaele32 ha scritto:L'elemento 017 non l'ho fixato (per fortuna),mentre i due 09 si, rimane il browser hijacking che mi pare strano, Spybot è impostato su Google.it e non è possibile rimuovere questa caratteristica se non agendo da Spybot.Il browser Hijacking può essere una registrazione su Badoo fatta da mio fratello (consigliava di impostare come pagina principale proprio quel sito)...


Intervengo solo per spiegare,non mi interessa la parte,eventuale, curativa.
Il "dirottamento del browser" che è la traduzione in italiano di ciò che hai scritto è una tecnica di intrusione che ha lo scopo di alterare certamente la nostra configurazione originale per uno scopo che solitamente è redditizio per coloro che l'hanno attuata.
Si può realizzare in 3 linee generali ed una di queste è quella che tu hai messo in evidenza cioè la modifica della pagina iniziale anche se tale modifica è solitamente indipendente dalla volontà o meno come consenso dell'utilizzatore.
Quindi puoi scoprire agevolmente la cosa,magari in futuro o adesso non sò perché non ho seguito cosa hai fatto nei post precedenti, modificando il sito web iniziale.
Anzi spesso puoi anche verificare la cosa digitando come parametro di ricerca un sito non esistente.
E automaticamente (e quindi senza aver dato un manifesto consenso) dovresti essere reinderizzato allo stesso sito web modificato di pagina iniziale.
Dicevo prima,se la tua successiva modifica è inibita hai reperito il tuo "problema".

Buona giornata. [:)]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: curiosità

Messaggioda raffaele32 » lun nov 22, 2010 5:31 pm

Digitando in maniera errata un indirizzo a caso ottengo la schermata di Telecom Italia:
[IMG=http://img718.imageshack.us/img718/737/jacking.th.png][/IMG]

Uploaded with ImageShack.us
Quindi l'hijacking è operato da telecom e Malwarebytes l'ho segna come maligno...
Avatar utente
raffaele32
Silver Member
Silver Member
 
Messaggi: 1489
Iscritto il: mer ott 28, 2009 7:21 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising