- Home
- Categorie
- Gaming, Hardware e Software
- Sicurezza Informatica & Privacy
- [Risolto] aiuto con internet explorer
-
ecco il log di Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 20.53.06, on 11/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\sstray.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bancamarche.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.happyfile.net
O15 - Trusted Zone: http://www.otherchance.com
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip..{4883DBE7-1069-4414-A5E0-40628FB87C42}: NameServer = 85.37.17.57 151.99.125.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
-
Intanto fixa queste due:
O15 - Trusted Zone: http://www.happyfile.net
O15 - Trusted Zone: http://www.otherchance.comPoi fai una pulizia dei temporanei, magari aiutandoti con un programma tipo SSS
Infine una scansione con un antispyware
-
i 2 file non si cancellano...
-
Continuiamo nella sezione sicurezza, visto che a questo punto è un problema di quel tipo.
-
allora cosa devo fare, ho provato anche con spybot ma niente
-
c'è poco da fare, hai uno spyware installato sul PC che ogni volta aggiunge quei due domini tra i domini trusted, in modo da poter svolgere la propria attività di spyware.....
teoricamente è possibile rimuovere uno spyware, praticamente è un'operazione che fallisce nel 90% dei casi.....
la cosa più sicura è formattare e reinstallare il sistema e ti consiglio di cominciare ad usare Firefox e lasciar perdere IE
riguardo i due siti li ho guardati....otherchance è un sito zeppo di dialer, probabilmente lo spyware ha due funzionalità....primo rubare i tuoi dati, secondo collegarsi ad un numero a sovrapprezzo....se non hai un modem analogico collegato alla rete telefonica almeno per il secondo problema sei a posto
happyfile, invece, ospita degli script che servono per trasferire sul server dove è ospitato dati inviati dallo spyware.....ovviamente non so che tipo di dati invii, ma di sicuro tra essi ci sono dati utili tipo carte di credito, password, etc....
ti consiglio anche di fare una denuncia alla polizia postale, almeno per cautelarti nel caso i tuoi dati vengano usati per scopi poco leciti
-
si immaginavo ma formattare la volevo usare come ultima possibilità...
-
Come antivirus cosa hai installato?
Prova una scansione in modalità provvisoria con altri antispyware (in questo topic alcuni consigli).
Installa temporaneamente il virit
-
ho spybot,Ad-Aware, A-Squared e altri ne ho provati tanti ora proverò in mod. provvisoria poi si vedrà
-
Ciao, Green day.
Oltre a quelle indicate da Gorka, fixa anche queste voci:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
Questo, comunque, non ti risolve il problema iniziale.
Per rimuovere le "trusted zones" prova ad untilizzare questo tool.Facci sapere.
-
ho fixate le voci che mi hai detto e usato il tool sperando di avere seguito bene le istruzione ma non è cambiato niente
-
@green day said:
ho fixate le voci che mi hai detto e usato il tool sperando di avere seguito bene le istruzione ma non è cambiato niente
mmm
Hai ancora quelle voci indicate come trusted zones, quindi?
Hai fatto una scansione in provvisoria con VIRIT, come indicato da Gorka? Risultato?
Poi, prova anche a fare una scansione online con Kaspersky. Questo non ti rimuoverà nessun virus, ma te ne indicherà file e posizione. Postaci il risultato, potremmo essere più precisi. Almeno, individuiamo la causa dei tuoi problemi
-
virit in modalità provvisoria non trova niente e kaspersky non si apre
-
@green day said:
virit in modalità provvisoria non trova niente e kaspersky non si apre
come ho sempre sostenuto io, gli antivirus e gli antispyware sono solo dei placebo ....almeno servono a tranquillizzare il povero malcapitato
comunque ho trovato quel winbue32 ed è uno spyware italiano ( embè siamo diventati hacker di classe
).....ho trovato informazioni qui http://www.forospyware.com/t42019.html ...si tratta di uno spyware molto coriaceo, che usa varie tecniche di morphing, alternate data streams per occularsi nel filesystem ed è capace di installare degli hook per le funzioni di sistema che visualizzano i processi attivi, le porte TPC/UDP aperte, i descrittori di file attivi, ecc....
-
@paolino said:
come ho sempre sostenuto io, gli antivirus e gli antispyware sono solo dei placebo ....almeno servono a tranquillizzare il povero malcapitato
La miglior cosa sarebbe usare linux se non si vogliono avere problemi con virus ecc...!!
-
@D-royal said:
La miglior cosa sarebbe usare linux se non si vogliono avere problemi con virus ecc...!!
si ma questo le compagnie di antivirus non lo diranno mai, altrimenti a loro la pappa chi gliela dà?
in generale in un PC Linux normalmente configuratato, senza server e altre amenità in azione, l'unico modo per infettarlo è far eseguire uno script all'utente e anche in quel caso il problema rimane circoscritto in quanto nessuno lavora come root normalmente
-
Sono d'accordissimo con te !!!! Se no le case di software per antivirus sarebbero tutte sotto i ponti !!!
-
Cosa state a dire, il migliore è Norton
-
Si Norton è il migliore
:D!!!!
penso che sia un anitvirus che l'unica cosa che non riesce a proteggere siano i virus !!!!!
-
@green day said:
virit in modalità provvisoria non trova niente e kaspersky non si apre
perchè non si apre? Forse devi permettere l'installazione degli active x.
Apri dal menu opzioni del browser "opzioni internet". Scegli la scheda "protezione", ed abbassa il livello, a media o minore.
Poi, riprova ad effettuare una scansione online con kaspersky.