Condividi:        

dirottamento su sito funbangladesh

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

dirottamento su sito funbangladesh

Postdi Luke57 » 11/10/05 14:52

Ciao, volevo un aiuto per questo problema. Su un computer di un mio amico ( so XP home edition senza service pack, connessione ADSL) aprendo internet explorer si viene dirottati sul fantomatico sito"funbangladesh." Inoltre appare una finestra di errore -RUNDLL-che segnala il mancato caricamento di oeow. Poi non è più possibile compiere alcuna operazione e tutto si blocca. Nel computer l'antivirus di base (Norton 2001, presumo mai aggiornato) è inattivato, non è possibile fare scansioni on line perchè non si riesce a navigare, lo stinger che aveva inserito nel computer ha rilevato un W32 sdbot, eliminandolo. Inoltre nel computer non ci sono programmi antimalware. Consigli come procedere, anche in considerazione del fatto che non posso procedere a scansioni on-line?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Sponsor
 


Postdi Luke57 » 12/10/05 12:33

Ciao di nuovo, ho installato sul computer del mio amico antivir + ad aware + hijackthis reperiti da un dischetto allegato a una rivista. Dalle scansioni fatte in modalità provvisoria sono stati eliminati una marea di trojan vari, però al momento di riconnettersi a internet appare una finestrella con "isass.exe non risponde ecc...." e il sistema si chiude. Ho tentato di disistallare il norton con Myunistaller e intervenendo sul registro di sistema, ma dal log di hijackthis sembra che vi siano ancora tracce, oltre ad altra robaccia. Comunque lo allego per un altro consiglio:

Logfile of HijackThis v1.99.1
Scan saved at 22.53.09, on 11/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINDOWS\smsc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\exe82.exe
C:\Programmi\utwo\arut.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interfree.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interfree.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\khhif.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programmi\180searchassistant\saishook.dll (file missing)
O2 - BHO: (no name) - {DCEE98BF-2076-4A8A-2061-28D74F586393} - C:\WINDOWS\System32\jdugtp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O14 - IERESET.INF: START_PAGE_URL=http://www.interfree.it
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{25EA3840-D1AB-4B68-9D38-BC75C520213C}: NameServer = 85.37.17.5 151.99.125.1
O20 - Winlogon Notify: khhif - C:\WINDOWS\SYSTEM32\khhif.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe
O23 - Service: SYS MANAGER (system) - Unknown owner - C:\WINDOWS\SYSWIN32.EXE (file missing)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 12/10/05 12:54

Incolla il log qui e leva tutti i punti esclamativi gialli e rossi tranne questo se ti serve:

O14 - IERESET.INF: START_PAGE_URL=http://www.interfree.it

Inoltre:

1) explorer è a una versione vecchia, aggiornalo

2) ma il sp2 lo mettiamo?

3) e un bel firewall?

4) ma quanti antivirus attivi in contemporanea hai? Ne basta uno se è aggiornato

5) occhio al messaggio, parla di iass.exe o lsass.exe? La prima lettera è una i maiuscola o minuscaola o una L ?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 14/10/05 09:53

Ciao, dopo varie manovre e tentativi di rimozione sia con antivirus sia con hijackthis, la situazione sembra leggermente migliorata ( non avviene più il dirottamento sul sito incriminato), ma dopo un pò di permanenza in internet tutto si blocca e si deve resettare. Fra l'altro non mi riesce cancellare il file navntshell.dll , dopo aver disistallato l'ormai inutile Norton 2001. Elenco l'ultimo log di hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 23.01.04, on 13/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interfree.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interfree.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\khhif.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O14 - IERESET.INF: START_PAGE_URL=http://www.interfree.it
O17 - HKLM\System\CS2\Services\Tcpip\..\{25EA3840-D1AB-4B68-9D38-BC75C520213C}: NameServer = 85.37.17.5 151.99.125.1
O20 - Winlogon Notify: khhif - C:\WINDOWS\SYSTEM32\khhif.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: NAV Alert - Unknown owner - C:\PROGRA~1\Navnt\alertsvc.exe (file missing)
O23 - Service: NAV Auto-Protect - Unknown owner - C:\PROGRA~1\Navnt\navapsvc.exe (file missing)
O23 - Service: Norton Program Scheduler - Unknown owner - C:\PROGRA~1\Navnt\npssvc.exe (file missing)
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: SYS MANAGER (system) - Unknown owner - C:\WINDOWS\SYSWIN32.EXE (file missing)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 14/10/05 11:37

khhif.dll sai cosa sia? Io lo leverei
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 14/10/05 12:07

In effetti, tramite hijackthis ho provato a fixare khhif.dll , ma non è servito.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 14/10/05 12:14

Prima termina il processo dal Task Manager, poi leva la chiave.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 15/10/05 08:06

Ciao Dylan, non trovo la voce nel task manager e le seguenti voci non riesco a fixarle nè in provvisoria nè in modalità normale ( ho provato anche winsock senza risultati9:
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\khhif.dll
O20 - Winlogon Notify: khhif - C:\WINDOWS\SYSTEM32\khhif.dll
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: SYS MANAGER (system) - Unknown owner - C:\WINDOWS\SYSWIN32.EXE (file missing)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 15/10/05 10:51

allora procedi da modalità provvisoria
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 16/10/05 11:19

Ciao Dylan, nel post precedente avevo detto che nemmeno dalla modalità provvisoria mi riesce toglierlo. Provassi dal registro, dopo averlo cercato con modifica?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 16/10/05 11:33

HijackThis agisce sul registro, quindi è lo stesso.
Quindi se tu fixi la chiave anche da modalità provvisoria si ricrea?
Prova a dare questo comando da Start > Esegui prima di usare HijackTHis:

regsvr32 -u "C:\WINDOWS\system32\khhif.dll"
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 17/10/05 17:42

Ciao Dylan, intanto grazie per il tuo interessamento, la manovra da te suggerita di registrazione non è riuscita, ho eliminato il file manualmente dal registro ma hijackthis lo segnala sempre. Sul computer del mio amico ho poi ho scaricato ewido e scansionato in modalità provvisoria. Quel file khhif.dll è segnalato da ewido come trojan dowloader conhook.m lo cancella sempre ma esso si riforma a ogni riavvio del computer, sempre segnalato e cancellato da ewido. In compenso, i problemi su internet rimangono gli stessi. Che fare?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 17/10/05 17:44

Un attimo, ma si ricrea sia il file che la chiave? Se si ricrea pure il file ci deve essere un'altro oggetto da eliminare
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 17/10/05 17:54

Sul registro non lo trovo più cercandolo manualmente, con hijackthis la situazione non cambia...boh
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 17/10/05 18:09

Ma il file? Si ricrea o no?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 17/10/05 18:33

Scusa Dylan ma ho dovuto telefonare al mio amico che non trova il file incriminato nella cartella quindi non si ricrea ma ewido all'accensione del computer lo segnala
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 17/10/05 18:37

Sicuri che il file non ci sia più? Mi pare strano, chi ricreerebbe la chiave allora?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 17/10/05 18:48

In effetti è vero, però mi ha detto che non lo ha trovato e se fosse sempre lì?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 17/10/05 19:05

No guarda il file o c'è o non c'è, la massimo è settato come nascosto...
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "dirottamento su sito funbangladesh":


Chi c’è in linea

Visitano il forum: Nessuno e 30 ospiti