Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

DIROTTATORE GOOGLE Opzioni
sailor
Inviato: Friday, December 30, 2011 3:33:41 PM
Rank: Newbie

Iscritto dal : 12/30/2011
Posts: 3
Salve a tutti.
Da qualche giorno ho beccato questo fastidioso trojan che non mi fa fare ricerche con google ed ogni tanto mi apre qualche scheda non voluta (uso ff).
Ovviamente prima di aprire questo thread ho fatto un bel pò di ricerche sul forum e fatto tutta una serie di operazioni. Se sono qui, ahimè, è perchè non ho ancora risolto.

Sistema operativo 7, browser ff (ma lo fa anche con ie), computer fisso.
Come antivirus ho avira free.
Il pc era stato formattato ad agosto, prima avevo avast pro e avevo beccato qualche rookit, poi ho installato avira free, ora penso di passare ad avg free.

Fatta scansione antivirus, nessun rilevamento.
Ho scaricato malwarebyte, l'ho aggiornato e la scansione ha riportato 3 file infetti, questo il log:

Commenta:
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Versione database: v2011.12.30.01

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
FISSO :: FISSO-PC [amministratore]

30/12/2011 12:06:53
mbam-log-2011-12-30 (14-01-54).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 447008
Tempo impiegato: 1 ore, 50 minuti, 1 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 3
C:\$Recycle.Bin\S-1-5-21-2992334726-1972780644-3370144556-1001\$RK0SNOR.exe (PUP.BundleOffer.Downloader.S) -> Nessuna azione intrapresa.
C:\$Recycle.Bin\S-1-5-21-2992334726-1972780644-3370144556-1001\$RQKXXVK.exe (PUP.BundleOffer.Downloader.S) -> Nessuna azione intrapresa.
C:\Windows\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Nessuna azione intrapresa.

(fine)

Poi i 3 file glieli ho fatti rimuovere.

Il problema non si è risolto, così ho scaricato ccleaner e gli ho dato una passata.

A seguire ho chiuso i programmi, staccata la rete e fatto un log con hjt, ecco il log:

Commenta:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:03:54, on 30/12/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16839)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\FISSO\Desktop\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

--
End of file - 3408 bytes




Grazie a chiunque possa darmi qualche dritta.
Sponsor
Inviato: Friday, December 30, 2011 3:33:41 PM

 
cbbusto
Inviato: Friday, December 30, 2011 6:00:16 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao, il log mi sembra incompleto pochi file sicuro di averlo postato tutto ?
pidue
Inviato: Friday, December 30, 2011 6:49:57 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
sailor ha scritto:
...poi ho installato avira free, ora penso di passare ad avg free.

Io non lascerei Avira per AVG, al più lo sostituirei con MSE.



sailor
Inviato: Saturday, December 31, 2011 12:18:30 AM
Rank: Newbie

Iscritto dal : 12/30/2011
Posts: 3
cbbusto ha scritto:
Ciao, il log mi sembra incompleto pochi file sicuro di averlo postato tutto ?

Ho riprovato di nuovo, ho riletto per bene la guida e me lo ridà più o meno della stessa lunghezza.
Non ho capito se sbaglio qualche settaggio del software, in effetti avevo notato che altri log postati sono molto più lunghi.
Appena ho 10 minuti ci studio un pochino.
cbbusto
Inviato: Saturday, December 31, 2011 1:02:45 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Il sw non va settato Hijack This e contenuto in un archivio ZIP, una volta decompresso il programma, clicchiamo sull'eseguibile HijackThis.exe, nella finestra che appare clic sul primo pulsante lancia la scansione automatica e ti presenta la lista col Blocco note, devi selezionarla tutta facendo scorrere fino in fondo poi copi e incolli nel forum.
Comunque il log così com'è è pulito.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.