Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

log hijack Opzioni
pokerdassi
Inviato: Tuesday, October 30, 2012 4:48:26 PM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
ciao, nella voce nr 3(ce n'e'solo una) c'e' scritto toolbar, no name no file, la flaggo clicco su fix, ma la voce resta sempre li, prima le voci erano 2, questa e un'altra toolbar babylon (con un nome vicino), questa si e' cancellata, il fatto e' che sul pc non c'e' nessuna voce babylon, la vedo solo da internet explorer9 negli add on, ma c'e' scritto non avalaible, quindi pure se abilitata mi dice che manca il file, come faccio a toglierla anche da hi jack, poi c'e' l'ultima voce 08 che dice di miponi(cos'e' un browser?) io non l'ho mai installato e lo vedo solo ora che ho postato

ecco il log


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:43:35, on 30/10/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16450)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\Fabio\AppData\Roaming\KoshyJohn.com\MemClean\MemClean.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\explorer.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: LinkAirBrowserHelper HistoryTriggerBHO - {21A88CB9-84D2-4020-A2D1-B25A21034884} - C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\LinkAirBrowserHelper.dll
O3 - Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Memory Cleaner] C:\Users\Fabio\AppData\Roaming\KoshyJohn.com\MemClean\MemClean.exe boot
O8 - Extra context menu item: LG Air Sync (R-Click) - Save as Mobile Image - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/206
O8 - Extra context menu item: LG Air Sync (R-Click) - Save as Mobile Memo - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/208
O8 - Extra context menu item: LG Air Sync (R-Click) - Save as Mobile Text file - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/210
O8 - Extra context menu item: LG Air Sync (R-Click) - Set as Mobile Wallpaper - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/205
O8 - Extra context menu item: LG Air Sync Option - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/209
O8 - Extra context menu item: Scarica con Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {4EC99A0B-E57C-4FBE-B9C4-8428424FBF88} (McciUtilsSpecialFolder Class) - http://77.238.10.101/security/services/static/McciInstaller.cab
O20 - AppInit_DLLs: c:\progra~2\browse~1\23796~1.11\{16cdf~1\browse~1.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Browser Manager - Unknown owner - C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: McciCMService - Alcatel-Lucent - C:\Program Files\Common Files\Motive\McciCMService.exe
O23 - Service: Micro Star SCM - Micro-Star International Co., Ltd. - C:\Program Files\System Control Manager\MSIService.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

--
End of file - 5800 bytes
Sponsor
Inviato: Tuesday, October 30, 2012 4:48:26 PM

 
shapiro
Inviato: Tuesday, October 30, 2012 6:25:18 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

se vuoi fare una pulizia profonda usa adwcleaner clicchi su delete e posti il log, poi fai anche questa scansione

Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend,
pokerdassi
Inviato: Thursday, November 01, 2012 9:16:54 AM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
ma delete nel senso di elimina o disinstalla? ci sono 3 bottono, cerca--elimina e disinstalla(parlo di adwcleaner) io lancio il programma e premo su' cosa? elimina? senza prima fare altre azioni?

vabbe' ho premuto elimina(mi sembra la traduzione esatta, cmq ora adwcleaner e' in italiano), ecco il log che mi ha dato dopo il riavvio del pc


# AdwCleaner v2.006 - Logfile creato il 01/11/2012 alle 09:17:47
# Aggiornamento 30/10/2012 by Xplode
# Sistema Operativo : Windows 7 Ultimate Service Pack 1 (32 bits)
# Utente : Fabio - FABIO-PC
# Modalità Avvio : Modalità Normale
# Eseguito da : C:\Users\Fabio\Downloads\adwcleaner.exe
# Opzioni [Elimina]


***** [Servizi] *****

Fermato & Eliminato : Browser Manager

***** [File / Cartelle] *****

Cartella Eliminato : C:\ProgramData\Babylon
Cartella Eliminato : C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph
Cartella Eliminato : C:\Users\Fabio\AppData\Roaming\Babylon
Cartella Eliminato : C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Browser Manager
Eliminato al riavvio : C:\ProgramData\Browser Manager
File Eliminato : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
File Eliminato : C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\searchplugins\browsemngr.xml

***** [Registro] *****

Chiave Eliminata : HKCU\Software\AppDataLow\Software
Chiave Eliminata : HKCU\Software\BabylonToolbar
Chiave Eliminata : HKCU\Software\DataMngr
Chiave Eliminata : HKCU\Software\DataMngr_Toolbar
Chiave Eliminata : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Chiave Eliminata : HKLM\Software\Babylon
Chiave Eliminata : HKLM\Software\BabylonToolbar
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Chiave Eliminata : HKLM\SOFTWARE\Classes\b
Chiave Eliminata : HKLM\SOFTWARE\Classes\Babylon.dskBnd
Chiave Eliminata : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\bbylnApp.appCore
Chiave Eliminata : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\CLSID\{291BCCC1-6890-484A-89D3-318C928DAC1B}
Chiave Eliminata : HKLM\SOFTWARE\Classes\CLSID\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Chiave Eliminata : HKLM\SOFTWARE\Classes\CLSID\{98889811-442D-49DD-99D7-DC866BE87DBC}
Chiave Eliminata : HKLM\SOFTWARE\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}
Chiave Eliminata : HKLM\SOFTWARE\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}
Chiave Eliminata : HKLM\SOFTWARE\Classes\escort.escortIEPane
Chiave Eliminata : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
Chiave Eliminata : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Prod.cap
Chiave Eliminata : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Chiave Eliminata : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Chiave Eliminata : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
Chiave Eliminata : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Chiave Eliminata : HKLM\Software\DataMngr
Chiave Eliminata : HKLM\SOFTWARE\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Valore Eliminata : HKCU\Software\Mozilla\Firefox\Extensions [{b64982b1-d112-42b5-b1e4-d3867c4533f8}]
Valore Eliminata : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]

***** [Browser Internet] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registro Pulito.

-\\ Mozilla Firefox v16.0.1 (it)

Nome Profilo : default
File : C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\prefs.js

C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\user.js ... Eliminato !

Eliminata : user_pref("browser.newtab.url", "hxxp://search.babylon.com/?affID=110184&tt=251012_g1838_4312_2&babs[...]
Eliminata : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Eliminata : user_pref("browser.search.order.1", "Search the web (Babylon)");
Eliminata : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
Eliminata : user_pref("extensions.BabylonToolbar.admin", false);
Eliminata : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Eliminata : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Eliminata : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Eliminata : user_pref("extensions.BabylonToolbar.excTlbr", false);
Eliminata : user_pref("extensions.BabylonToolbar.id", "940a3d0a0000000000000025d36aa7f2");
Eliminata : user_pref("extensions.BabylonToolbar.instlDay", "15641");
Eliminata : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Eliminata : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Eliminata : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Eliminata : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Eliminata : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
Eliminata : user_pref("extensions.BabylonToolbar.vrsn", "1.8.3.8");
Eliminata : user_pref("extensions.BabylonToolbar.vrsni", "1.8.3.8");
Eliminata : user_pref("extensions.BabylonToolbar_i.newTab", true);
Eliminata : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?affID=110184&tt=25101[...]
Eliminata : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Eliminata : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.3.814:29:32");
Eliminata : user_pref("keyword.URL", "hxxp://search.babylon.com/?affID=110184&tt=251012_g1838_4312_2&babsrc=KW_s[...]

-\\ Google Chrome v [Impossibile rilevare la versione]

File : C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File Pulito.

-\\ Opera v12.2.1578.0

File : C:\Users\Fabio\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File Pulito.

*************************

AdwCleaner[R10].txt - [8371 octets] - [01/11/2012 09:13:44]
AdwCleaner[S5].txt - [8329 octets] - [01/11/2012 09:17:47]

########## EOF - C:\AdwCleaner[S5].txt - [8389 octets] ##########



qua trovi il file extra.txt

Extras.Txt">Extras.Txt


qui invece otl.txt


OTL.Txt">OTL.Txt

possibile che adwcleaner mi ha rimosso tutta quella roba, eppure e' da poco che abbiamo fatto una bella pulizia e io vado sempre su siti sicuri e qualche installazione/disinstallazione ogni tanto.

cmq attendo nuove cose da fare(se ci sono)
pokerdassi
Inviato: Thursday, November 01, 2012 5:45:48 PM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
nella cartella programmi ce n'e' una di nome bonjourn di apple, siccome di programmi ecc. riguardo all'iphone ho cancellato tutto, posso cancellare anche il bonjourn? avevo installato tutto per dare una mano a mio fratello che ha l'iphone, ora che pero' l'ho scaricato anche sul suo pc io vorrei togliere tutto cio' che riguardi apple, non lg o android perche' fa' parte del mio cellulare(anche se per il momento e' in assistenza)


pokerdassi
Inviato: Saturday, November 03, 2012 8:11:49 AM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
XShapiro; scusami, ma abbiamo finito? ho uppato i due file di OTL su wikisend e fatto tutto il resto, pero' non ti sei fatto piu' sentire, lo dico solo perche' ho visto che sei stato sul forum e forse ti sei dimenticato di questa discussione.

attendo tue nuove
grazie
shapiro
Inviato: Saturday, November 03, 2012 11:02:00 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


ciao e scusami in effetti ti avevo perso Sick

il pc sembra pulito a parte queste due cartelle, fammi sapere cosa contengono

C:\Users\Fabio\AppData\Local\Riot

C:\Users\Fabio\AppData\Roaming\GrabPro
pokerdassi
Inviato: Saturday, November 03, 2012 11:10:57 AM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
beh l'importante e' che ci siamo ritrovati, cmq nella cartella GrabPro non c'e' nulla e' vuota.

nella cartelle Riot c'e' solo un file, questo





importante; cmq il "problema" della voce toolbar babylon negli add on di ie9 nn e' risolto, adesso quella voce e' sparita(ma anche prima c'era solo la voce, se la abilitivo non funzionava, appariva solo con ie9 negli add on in nessun altro browser.
shapiro
Inviato: Saturday, November 03, 2012 11:26:17 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


fau una scansione con hitman

http://www.surfright.nl/it
pokerdassi
Inviato: Saturday, November 03, 2012 11:36:38 AM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
mi ha trovato 2 malware e consigliato di eliminarli, ancora non l'ho fatto ti posto il log


Code:

HitmanPro 3.6.2.173
www.hitmanpro.com

   Computer name . . . . : FABIO-PC
   Windows . . . . . . . : 6.1.1.7601.X86/2
   User name . . . . . . : Fabio-PC\Fabio
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2012-11-03 11:30:42
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 3m 44s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 2
   Traces  . . . . . . . : 47

   Objects scanned . . . : 824.437
   Files scanned . . . . : 16.058
   Remnants scanned  . . : 221.158 files / 587.221 keys

Malware _____________________________________________________________________

   C:\Users\Fabio\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IT6TQ5FY\WORLD_21_target_5830[1].exe
      Size . . . . . . . : 1.357.968 bytes
      Age  . . . . . . . : 5.9 days (2012-10-28 14:27:36)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 5D50229EFAD8CBA518C4502909A212B247BFE3CA4530C4E37C9FF8B843E712F1
      Source URL . . . . : hxxp://www.bestsafeatim.com/nsi/nsis-2.46/WORLD_21_target_5830.exe
    > DrWeb  . . . . . . : Infected
      Fuzzy  . . . . . . : 124.0

   C:\Users\Fabio\AppData\Local\temp\F29E958D-BAB0-7891-B438-9121B88F4A8A\Latest\BrowserManagerSetup.exe
      Size . . . . . . . : 1.283.128 bytes
      Age  . . . . . . . : 23.0 days (2012-10-11 12:18:48)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 7F8394536D16E0AA1EA6F3C10AFFD1AD58BE3C8A96EFD6212204EA2BC4FEF0EB
      Description
      Version  . . . . . : 2.3.796.11
      Copyright
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
    > DrWeb  . . . . . . : Infected
      Fuzzy  . . . . . . : 104.0


Potential Unwanted Programs _________________________________________________

   C:\Users\Fabio\AppData\LocalLow\DataMngr\ (SearchQU)
   C:\Users\Fabio\AppData\LocalLow\DataMngr\{7CA1F051-A4FB-4143-B263-02B41E571EED} (SearchQU)

Cookies _____________________________________________________________________

   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:2o7.net
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.adnet.de
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.c-web.it
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.yieldmanager.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.zanox.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:dailymotionpoc.112.2o7.net
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:divx.112.2o7.net
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:eas.apm.emediate.eu
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:eas8.emediate.eu
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:fr.sitestat.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:in.getclicky.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:invitemedia.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:lgelectronics.122.2o7.net
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:reagroup.122.2o7.net
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:serving-sys.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:statcounter.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:track.adform.net
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:vodafoneit.solution.weborama.fr
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:weborama.fr
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:weboramaitdata.solution.weborama.fr
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:www.googleadservices.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:xiti.com
   C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Cookies:yadro.ru
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\6JUW95NG.txt
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\CT18HS2J.txt
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\EAJRG6MV.txt
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\NL8G805F.txt
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\PHEQOPJW.txt
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\PV7S3CNZ.txt
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\W3IO7I89.txt
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\X8RNSRR0.txt
   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\XYYBVZ74.txt
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:ad.yieldmanager.com
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:doubleclick.net
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:eas.apm.emediate.eu
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:serving-sys.com
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:statse.webtrendslive.com
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:track.adform.net
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:vodafoneit.solution.weborama.fr
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:weborama.fr
   C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\cookies.sqlite:www.googleadservices.com



shapiro
Inviato: Saturday, November 03, 2012 11:38:37 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164



si si elimina tutto poi riesegui adwcleaner
pokerdassi
Inviato: Saturday, November 03, 2012 11:47:55 AM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
scusa ma quel programma non mi eliminava nulla se prima non lo compravo, cosi' ho attivato la licenza gratuita per 30 giorni, spero che li abbia tolti, cmq con aswcleaner ho fatto solo la ricerca e questo e' il log



# AdwCleaner v2.006 - Logfile creato il 03/11/2012 alle 11:44:08
# Aggiornamento 30/10/2012 by Xplode
# Sistema Operativo : Windows 7 Ultimate Service Pack 1 (32 bits)
# Utente : Fabio - FABIO-PC
# Modalità Avvio : Modalità Normale
# Eseguito da : C:\Users\Fabio\Downloads\adwcleaner.exe
# Opzioni [Cerca]


***** [Servizi] *****


***** [File / Cartelle] *****


***** [Registro] *****

Chiave Trovata : HKCU\Software\AppDataLow\Software

***** [Browser Internet] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registro Pulito.

-\\ Mozilla Firefox v16.0.1 (it)

Nome Profilo : default
File : C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\yf2dozaf.default\prefs.js

[OK] File Pulito.

-\\ Google Chrome v [Impossibile rilevare la versione]

File : C:\Users\Fabio\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File Pulito.

-\\ Opera v12.2.1578.0

File : C:\Users\Fabio\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File Pulito.

*************************

AdwCleaner[R12].txt - [1170 octets] - [03/11/2012 10:11:08]
AdwCleaner[R13].txt - [1100 octets] - [03/11/2012 11:44:08]

########## EOF - C:\AdwCleaner[R13].txt - [1161 octets] ##########
shapiro
Inviato: Saturday, November 03, 2012 11:59:20 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
per precauzione riesegui hitman poi naviga un po' e vedi se il problema si ripresenta
pokerdassi
Inviato: Saturday, November 03, 2012 12:02:41 PM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
ho rifatto una scansione con hitman e mi ha trovato due voci SEARCHQ, pero' nella directory indicata non c'e' nessun searchq, ma cos'e' un'altro motore di ricerca? cmq il programma mi dice di ignorare quelle due voci.


cmq nel navigare non ho nessun tipo di problema, anche lanciando il browser la home page e' quella che ho impostato io, il motore di ricerca e' sempre google, insomma nessun problema, tranne quelle due voci sopra che hitma mi dice di ignorare
shapiro
Inviato: Saturday, November 03, 2012 12:06:13 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

rimuovi tutto SEARCHQ e' da togliere fai fare tutto a hitman
pokerdassi
Inviato: Saturday, November 03, 2012 12:08:18 PM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
quindi dove c'e' scritto ignorare cambio e ci metto elimina?

ecco uno screen di cio' che ha trovato hitman


shapiro
Inviato: Saturday, November 03, 2012 12:22:47 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
rimuovi tutto po fai le solite pulizie

disattiva il ripristino

riavvia

riattivalo e crea un nuovo punto

svuota la cartella prefetch ( non eliminarla)


Installa Ccleaner

ccleaner

durante l’installazione deseleziona l’opzione per la barra di Yahoo, lo apri, vai in Opzioni>Avanzate, togli la spunta a “Cancella file temp diwindows solo se più vecchi di 48 ore”, poi avvialo, seleziona "Analizza" ed alla fine dell'analisi premi "Avvia pulizia''


clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati.

scarica http://www.atribune.org/ccount/click.php?id=1

non ha bisogno di installazione

Avvia ATF Cleaner.exe con un doppio click
http://www.helpinweb.it/index.php?ind=downloads&op=download_file&ide=178&file=ATF-Cleaner.zip
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)

Finite le pulizie, postami un nuovo log di hijackthis






r


pokerdassi
Inviato: Saturday, November 03, 2012 1:52:56 PM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
fatto tutto, ecco il log di HJ


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:52:06, on 03/11/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16450)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\Fabio\AppData\Roaming\KoshyJohn.com\MemClean\MemClean.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\explorer.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: LinkAirBrowserHelper HistoryTriggerBHO - {21A88CB9-84D2-4020-A2D1-B25A21034884} - C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\LinkAirBrowserHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Memory Cleaner] C:\Users\Fabio\AppData\Roaming\KoshyJohn.com\MemClean\MemClean.exe boot
O8 - Extra context menu item: LG Air Sync (R-Click) - Save as Mobile Image - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/206
O8 - Extra context menu item: LG Air Sync (R-Click) - Save as Mobile Memo - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/208
O8 - Extra context menu item: LG Air Sync (R-Click) - Save as Mobile Text file - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/210
O8 - Extra context menu item: LG Air Sync (R-Click) - Set as Mobile Wallpaper - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/205
O8 - Extra context menu item: LG Air Sync Option - res://C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\IEContextMenu.dll/209
O8 - Extra context menu item: Scarica con Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {4EC99A0B-E57C-4FBE-B9C4-8428424FBF88} (McciUtilsSpecialFolder Class) - http://77.238.10.101/security/services/static/McciInstaller.cab
O20 - AppInit_DLLs: c:\progra~2\browse~1\23796~1.11\{16cdf~1\browse~1.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: McciCMService - Alcatel-Lucent - C:\Program Files\Common Files\Motive\McciCMService.exe
O23 - Service: Micro Star SCM - Micro-Star International Co., Ltd. - C:\Program Files\System Control Manager\MSIService.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

--
End of file - 5250 bytes




AL NR. 023 C'E' SERVIZIO BONJOUR, APPLE...............LO POSSO TOGLIERE VISTO CHE TUTTI I PROGRAMMI CHE AVEVO PER IPHONE LI HO DISINSTALLATI?
shapiro
Inviato: Saturday, November 03, 2012 6:49:17 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


vai qui e controlla questo file


c:\progra~2\browse~1\23796~1.11\{16cdf~1\browse~1.dll

per BONJOUR prima disabilitalo poi lo rimuovi
pokerdassi
Inviato: Saturday, November 03, 2012 7:11:24 PM

Rank: AiutAmico

Iscritto dal : 8/31/2007
Posts: 3,453
con tutta la buona volanta' non trovo la directory che hai scritto


c:\progra~2\browse~1\23796~1.11\{16cdf~1\browse~1.dll


ho fatto copia incolla perche' sulla tastiera non trovo neanche il segno tra progr e 2


cmq ho visto nella cartella dei programmi normali e browser 1 non c'e'-
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.