Condividi:        

hijack start page etc.etc.

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

hijack start page etc.etc.

Postdi sealing » 08/10/04 16:23

Logfile of HijackThis v1.98.2
Scan saved at 5:23:03 PM, on 10/8/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\winnt\System32\smss.exe
C:\winnt\system32\winlogon.exe
C:\winnt\system32\services.exe
C:\winnt\system32\lsass.exe
C:\winnt\system32\svchost.exe
C:\winnt\System32\svchost.exe
C:\winnt\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\CachemanXP\CachemanXP.exe
C:\winnt\system32\regsvc.exe
C:\winnt\system32\MSTask.exe
C:\winnt\system32\tcpsvcs.exe
C:\winnt\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\winnt\system32\svchost.exe
C:\winnt\Explorer.EXE
C:\winnt\system32\tp4mon.exe
C:\WINNT\system32\USBMonit.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\winnt\system32\ZoneLabs\vsmon.exe
C:\Program Files\FreePOPs\freepopsd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\USER\LOCALS~1\Temp\Rar$EX00.199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://find-on-the-net.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fastweb.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = NOT USED (OK)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.pc-facile.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by FastWeb
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Program Files\IESearchToolbar\IESearchToolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Program Files\IESearchToolbar\IESearchToolbar.dll
O4 - HKLM\..\Run: [WinInit] Win86.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\USBMonit.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [zSPGuard] c:\program files\accessories\spguard\spguard.exe /s
O4 - HKLM\..\RunServices: [Windows media service] crvss.exe
O4 - HKCU\..\Run: [FUIClearHis] C:\Program Files\FreshDevices\FreshUI\freshui.exe 0 1 2 3 4 15 16 17
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Corel Network monitor worker - {6449750F-9EFC-4C96-B805-64B85FA64459} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {6449750F-9EFC-4C96-B805-64B85FA64459} - (no file)
O9 - Extra button: Corel Network monitor worker - {6449750F-9EFC-4C96-B805-64B85FA64459} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {6449750F-9EFC-4C96-B805-64B85FA64459} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O14 - IERESET.INF: START_PAGE_URL=http://www.fastweb.it
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 1eb61387a2

Qualcuno mi dice se devo eliminare qualcosa?
ho il problema della start page e search tool bar
In foto vengo cosi', si daccordo da vicino sono un po piu' basso, un po' piu' brutto, ho i capelli piu' corti, meno muscoloso, meno ricco, meno famoso, ma per il resto sono proprio cosi'.
sealing
Utente Senior
 
Post: 222
Iscritto il: 01/09/04 07:43
Località: Bologna-Napoli

Sponsor
 

Postdi Dylan666 » 08/10/04 17:42

Hai seguito entrambe le guide?

http://www.pc-facile.com/guide.php?t=111274

http://www.pc-facile.com/guide.php?t=148946

Credo di no, altrimenti avresti ridotto già le voci della lista a un numero inferiore e avresti fatto analizzare il tuo log sul sito dei programmatori di HijackThis... :mmmh:
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi sealing » 08/10/04 18:21

Perdono, riprovero'[ :neutral:
In foto vengo cosi', si daccordo da vicino sono un po piu' basso, un po' piu' brutto, ho i capelli piu' corti, meno muscoloso, meno ricco, meno famoso, ma per il resto sono proprio cosi'.
sealing
Utente Senior
 
Post: 222
Iscritto il: 01/09/04 07:43
Località: Bologna-Napoli

Postdi sealing » 08/10/04 21:17

Ciao Dylan,
questa volta ho lasciato solo quelli che non mi sconfinferano, potresti darci una occhiatina? ;)


Running processes:
C:\winnt\System32\smss.exe
C:\winnt\system32\winlogon.exe
C:\winnt\system32\lsass.exe
C:\winnt\system32\tcpsvcs.exe
C:\winnt\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pc-facile.com

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\RunServices: [Windows media service] crvss.exe
In foto vengo cosi', si daccordo da vicino sono un po piu' basso, un po' piu' brutto, ho i capelli piu' corti, meno muscoloso, meno ricco, meno famoso, ma per il resto sono proprio cosi'.
sealing
Utente Senior
 
Post: 222
Iscritto il: 01/09/04 07:43
Località: Bologna-Napoli

Postdi Dylan666 » 09/10/04 00:50

Non per essere cattivo ma aiutarti a essere autonomo...

il PRIMO risultato di questa ricerca...
http://www.google.it/search?q=SDHelper%2Edll

... è questo...
http://www.spywareinfo.com/~merijn/winfiles.html

... che dice chiaramente:

SDHelper.dll
Located in:
C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
(depending on where Spybot S&D is installed)
Deleted by: Iefeadsl browser hijacker.
Purpose: Spybot S&D resident IE protection, bad download blocker (BHO).
Symptoms: Spybot S&D IE protection not working properly.


Quindi un'altro file da cancellare facilmente dalla lista dei sospetti (è innocente). Invece mettendo questo piccolo log nel sito che avevo messo nella guida (cioè questo...ma che li scrivo a fare secondo voi?!?!?) il dubbio te lo toglievi infretta:

O4 - HKLM\..\RunServices: [Windows media service] crvss.exe
Sospetto L'applicazione Windows media service è stata identificata: Windows Media SP.2.37. Hit rate: 40 % (risultato) Da eliminare



e anche in questo caso pure con solo Google avremmo risolto, bastava la solita banale ricerca...
http://www.google.it/search?q=crvss

...che avrebbe dato il solito PRIMO risultato...
http://www.trendmicro.com/vinfo/virusen ... RM_RBOT.QE

... che oltre a chiamarsi "WORM_RBOT.QE - Description and solution" diceva nella pagina che è un WORM causato dal mancato aggiornamento di un particolare Windows Update... E sempre lì trovi come rimuovere il file con tutte le sua chiavi e quale aggiornamento ti difenderà in futuro dal problema.

Insomma come ho detto più volte "aiutati che dio ti aiuta"
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Grazie

Postdi sealing » 09/10/04 13:06

Dylan grazie mille,
ho fatto una scansione online con trend micro e mi ha trovato 7 virus che gli altri antivirus non vedevano ho anche postato il log di hijackthis sul sito e mi hanno consigliato cosa cancellare.
Io adesso mi aiuto
In foto vengo cosi', si daccordo da vicino sono un po piu' basso, un po' piu' brutto, ho i capelli piu' corti, meno muscoloso, meno ricco, meno famoso, ma per il resto sono proprio cosi'.
sealing
Utente Senior
 
Post: 222
Iscritto il: 01/09/04 07:43
Località: Bologna-Napoli

Postdi Dylan666 » 09/10/04 13:12

Mi raccomando i Windows Update ;)
Buon cammino sulla strada dell'autonomia e sicurezza informatica ;)

Regala un pesce a un uomo e lo sfamerai per un giorno, insegnagli a pescare...
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

virus

Postdi sealing » 09/10/04 13:28

I worms individuati per chi lo volesse sapere sono:
systems.exe
crvss.exe
win86.exe
glsa.exe
kalfiger.exe
124782.exe
muamgrd.exe
In foto vengo cosi', si daccordo da vicino sono un po piu' basso, un po' piu' brutto, ho i capelli piu' corti, meno muscoloso, meno ricco, meno famoso, ma per il resto sono proprio cosi'.
sealing
Utente Senior
 
Post: 222
Iscritto il: 01/09/04 07:43
Località: Bologna-Napoli

Postdi Dylan666 » 09/10/04 13:37

Naturalmente se sei on-line nell'ordine prima fai ll Windows Update e poi li elimini, oppure (da off-line) scarichi gli update, disinfesti e installi.

Magari aggiorna pure l'antivirus e metti un firewall (tieni d'occhio la guida che publicheremo lunedì) ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi sealing » 09/10/04 16:01

Dylan666 ha scritto:Mi raccomando i Windows Update ;)
Buon cammino sulla strada dell'autonomia e sicurezza informatica ;)

Regala un pesce a un uomo e lo sfamerai per un giorno, insegnagli a pescare...


Regala un pesce ad una donna e non andrai mai piu a pescare.
;)
e' uno scherzo non me ne vogliano le amiche di pc-facile.

W update non mi da alcun aggiornamento disponibile
ho disistallato norton e usato avast free con discreta soddisfazione mi ha scovato diversi worms, ma questi ultimi gli erano sfuggiti
zone allarm e' installato e funzionante ma a volte si lascia fregare.
Ultimamente poi sembra che il mio lap sia diventata la casa dei virus, vengono tutti qua'.
In foto vengo cosi', si daccordo da vicino sono un po piu' basso, un po' piu' brutto, ho i capelli piu' corti, meno muscoloso, meno ricco, meno famoso, ma per il resto sono proprio cosi'.
sealing
Utente Senior
 
Post: 222
Iscritto il: 01/09/04 07:43
Località: Bologna-Napoli

Postdi Dylan666 » 10/10/04 12:36

I worm li hai presi molto probabilmente PRIMA di mettere i windows update che li riguardavano. Se non sei solito controllarli frequentemente forse dovresti cominciare a farlo, specialmente quando vedi sulle nostre News notizie riguardanti vulnerabilità Microsoft
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "hijack start page etc.etc.":


Chi c’è in linea

Visitano il forum: Nessuno e 36 ospiti