Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Strani reindirizzamenti Opzioni
heartlegend
Inviato: Saturday, October 05, 2013 4:51:35 PM
Rank: AiutAmico

Iscritto dal : 8/7/2012
Posts: 188
Salve,
stavo navigando tranquillamente quando sono stato reindirizzato verso due siti cinesi.
Il primo è gumblar.cn . Mi ero detto '' adblock è danneggiato '' allora l'ho tolto e l'ho reinstallato.
Poi però è risuccesso.... in un sito diverso. ed ero andato in un altro sito cinese, chiamato martuz.cn .
Avira non mi ha rivelato nulla.... però non sono lo stesso sicuro.

Prima di far qualsiasi cosa vorrei chiedere a voi ed evito anche di collegarmi su google. Per prevenzione.

Cosa mi dite?
Sponsor
Inviato: Saturday, October 05, 2013 4:51:35 PM

 
cbbusto
Inviato: Saturday, October 05, 2013 6:16:27 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Sempre lo stesso pc che abbiamo sistemato il mese scorso ?
Non mi sembrano siti cinesi si tratta di siti infetti il secondo sito martuz.cn è una variante del primo, sembra si tratti del trojan JS, non andare in quei siti o non aprire niente.
Fai una scansione COMPLETA, non veloce, con Malwarebytes, prima però aggiornalo, ed elimina tutto quello che trova, posta il log.

Fai questa scansione:
Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner
Avvialo e clicca sul pulsante "Scan” finita la scansione clicca su Clean , conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log col Blocco Note.
Copialo e postalo qui.

Poi fai una pulizia con Ccleaner compreso il Registro, per il Registro spunta tutte le voci acconsenti al backup quando richiesto, sempre in Ccleaner vai in Strumenti Ripristino Sistema seleziona tutte le voci tranne l'ultima che non è selezionabile e rimane per sicurezza, poi clic su Rimuovi.

Controlla nel task manager>Processi, se c'è un processo chiamato Gumblar.cn.exe, se lo trovi clic su Termina processo.

Poi posta un log di Hijack This che vediamo cosa c'è.
ATTENZIONE quando si naviga ai siti che si visitano e dove si clicca. Ciao
heartlegend
Inviato: Saturday, October 05, 2013 6:21:45 PM
Rank: AiutAmico

Iscritto dal : 8/7/2012
Posts: 188
Mio caro ccbusto,
ti rispondo .... cercando di essere il meno volgare possibile.
Non sono il tipo che si.... ehm.... eccita su internet. Diciamo così.
Ero su siti che frequento ogni giorno....
Comunque le scansioni saranno presto fatte.

e sul task menager non c'è nulla....
cbbusto
Inviato: Saturday, October 05, 2013 6:33:33 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
heartlegend ha scritto:
Mio caro ccbusto,
ti rispondo .... cercando di essere il meno volgare possibile.
Non sono il tipo che si.... ehm.... eccita su internet. Diciamo così.
Ero su siti che frequento ogni giorno....
Comunque le scansioni saranno presto fatte.

e sul task menager non c'è nulla....


Non intendevo quello che pensi, tranquillo, poi ognuno può navigare dove vuole, ti posso dire che certi siti li visito anch'io per curiosità e per controllare se ci sono pericoli, ti posso dire che è più facile prendere infezioni in siti noti che in siti A LUCI ROSSE, l'attenzione va prestata in tutti i siti anche quelli conosciuti basta cliccare su un link proposto e vieni indirizzato altrove, questo può capitare a tutti. Speak to the hand
heartlegend
Inviato: Saturday, October 05, 2013 7:11:15 PM
Rank: AiutAmico

Iscritto dal : 8/7/2012
Posts: 188
Dunque....
Di malware bytes erroneamente non ho salvato il log. Ma non mi ha trovato nulla.

Questo di adwcleaner # AdwCleaner v3.006 - Report created 05/10/2013 at 18:51:14
# Updated 01/10/2013 by Xplode
# Operating System : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Marco - PC-MARCO
# Running from : C:\Users\Marco\Downloads\adwcleaner (2).exe
# Option : Clean

***** [ Services ] *****


***** [ Files / Folders ] *****


***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

***** [ Browsers ] *****

-\\ Internet Explorer v9.0.8112.16506


-\\ Mozilla Firefox v

-\\ Google Chrome v30.0.1599.69

[ File : C:\Users\Marco\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [878 octets] - [25/08/2013 16:14:21]
AdwCleaner[R1].txt - [1457 octets] - [15/09/2013 17:30:06]
AdwCleaner[R2].txt - [1161 octets] - [05/10/2013 18:50:26]
AdwCleaner[S0].txt - [946 octets] - [25/08/2013 16:15:16]
AdwCleaner[S1].txt - [1536 octets] - [15/09/2013 17:31:02]
AdwCleaner[S2].txt - [1085 octets] - [05/10/2013 18:51:14]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [1145 octets] ##########



E questo hijack
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19.08.18, on 05/10/2013
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8112.16506)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=2&o=vp32&d=0613&m=aspire_5738
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=2&o=vp32&d=0613&m=aspire_5738
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=2&o=vp32&d=0613&m=aspire_5738
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=2&o=vp32&d=0613&m=aspire_5738
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted IP range: http://192.168.0.1
O15 - ESC Trusted IP range: http://192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEA61A8D-658D-4050-9395-14F399D34652}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BitComet Disk Boost Service (BITCOMET_HELPER_SERVICE) - www.BitComet.com - C:\Program Files\BitComet\tools\BitCometService.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 5626 bytes


Comunque.... ho deciso di documentarmi un po'. Ed ho visto che era parecchio fastidioso da togliere.... Ma a me sembra tutto apposto. Cioè, boh.
cbbusto
Inviato: Saturday, October 05, 2013 11:53:11 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
In effetti ADW non ha trovato niente e il log di HJT è a posto. Ciao
heartlegend
Inviato: Monday, October 07, 2013 9:19:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2012
Posts: 188
Grazie mille :D
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.