dirottamento su sito funbangladesh

[Luke57]

Ciao, volevo un aiuto per questo problema. Su un computer di un mio amico ( so XP home edition senza service pack, connessione ADSL) aprendo internet explorer si viene dirottati sul fantomatico sito"funbangladesh." Inoltre appare una finestra di errore -RUNDLL-che segnala il mancato caricamento di oeow. Poi non è più possibile compiere alcuna operazione e tutto si blocca. Nel computer l'antivirus di base (Norton 2001, presumo mai aggiornato) è inattivato, non è possibile fare scansioni on line perchè non si riesce a navigare, lo stinger che aveva inserito nel computer ha rilevato un W32 sdbot, eliminandolo. Inoltre nel computer non ci sono programmi antimalware. Consigli come procedere, anche in considerazione del fatto che non posso procedere a scansioni on-line?

[Dylan666]

http://www.pc-facile.com/combattere_spyware_t111274/

http://www.pc-facile.com/guida_hijackthis_t148946/

[Luke57]

Ciao di nuovo, ho installato sul computer del mio amico antivir + ad aware + hijackthis reperiti da un dischetto allegato a una rivista. Dalle scansioni fatte in modalità provvisoria sono stati eliminati una marea di trojan vari, però al momento di riconnettersi a internet appare una finestrella con "isass.exe non risponde ecc...." e il sistema si chiude. Ho tentato di disistallare il norton con Myunistaller e intervenendo sul registro di sistema, ma dal log di hijackthis sembra che vi siano ancora tracce, oltre ad altra robaccia. Comunque lo allego per un altro consiglio:

Logfile of HijackThis v1.99.1
Scan saved at 22.53.09, on 11/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINDOWS\smsc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\exe82.exe
C:\Programmi\utwo\arut.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interfree.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interfree.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\khhif.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programmi\180searchassistant\saishook.dll (file missing)
O2 - BHO: (no name) - {DCEE98BF-2076-4A8A-2061-28D74F586393} - C:\WINDOWS\System32\jdugtp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O14 - IERESET.INF: START_PAGE_URL=http://www.interfree.it
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{25EA3840-D1AB-4B68-9D38-BC75C520213C}: NameServer = 85.37.17.5 151.99.125.1
O20 - Winlogon Notify: khhif - C:\WINDOWS\SYSTEM32\khhif.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe
O23 - Service: SYS MANAGER (system) - Unknown owner - C:\WINDOWS\SYSWIN32.EXE (file missing)

[Dylan666]

Incolla il log qui e leva tutti i punti esclamativi gialli e rossi tranne questo se ti serve:

O14 - IERESET.INF: START_PAGE_URL=http://www.interfree.it

Inoltre:

1) explorer è a una versione vecchia, aggiornalo

2) ma il sp2 lo mettiamo?

3) e un bel firewall?

4) ma quanti antivirus attivi in contemporanea hai? Ne basta uno se è aggiornato

5) occhio al messaggio, parla di iass.exe o lsass.exe? La prima lettera è una i maiuscola o minuscaola o una L ?

[Luke57]

Ciao, dopo varie manovre e tentativi di rimozione sia con antivirus sia con hijackthis, la situazione sembra leggermente migliorata ( non avviene più il dirottamento sul sito incriminato), ma dopo un pò di permanenza in internet tutto si blocca e si deve resettare. Fra l'altro non mi riesce cancellare il file navntshell.dll , dopo aver disistallato l'ormai inutile Norton 2001. Elenco l'ultimo log di hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 23.01.04, on 13/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interfree.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interfree.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\khhif.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O14 - IERESET.INF: START_PAGE_URL=http://www.interfree.it
O17 - HKLM\System\CS2\Services\Tcpip\..\{25EA3840-D1AB-4B68-9D38-BC75C520213C}: NameServer = 85.37.17.5 151.99.125.1
O20 - Winlogon Notify: khhif - C:\WINDOWS\SYSTEM32\khhif.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: NAV Alert - Unknown owner - C:\PROGRA~1\Navnt\alertsvc.exe (file missing)
O23 - Service: NAV Auto-Protect - Unknown owner - C:\PROGRA~1\Navnt\navapsvc.exe (file missing)
O23 - Service: Norton Program Scheduler - Unknown owner - C:\PROGRA~1\Navnt\npssvc.exe (file missing)
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: SYS MANAGER (system) - Unknown owner - C:\WINDOWS\SYSWIN32.EXE (file missing)

[Dylan666]

khhif.dll sai cosa sia? Io lo leverei

[Luke57]

In effetti, tramite hijackthis ho provato a fixare khhif.dll , ma non è servito.

[Dylan666]

Prima termina il processo dal Task Manager, poi leva la chiave.

[Luke57]

Ciao Dylan, non trovo la voce nel task manager e le seguenti voci non riesco a fixarle nè in provvisoria nè in modalità normale ( ho provato anche winsock senza risultati9:
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\khhif.dll
O20 - Winlogon Notify: khhif - C:\WINDOWS\SYSTEM32\khhif.dll
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: SYS MANAGER (system) - Unknown owner - C:\WINDOWS\SYSWIN32.EXE (file missing)

[Dylan666]

allora procedi da modalità provvisoria

[Luke57]

Ciao Dylan, nel post precedente avevo detto che nemmeno dalla modalità provvisoria mi riesce toglierlo. Provassi dal registro, dopo averlo cercato con modifica?

[Dylan666]

HijackThis agisce sul registro, quindi è lo stesso.
Quindi se tu fixi la chiave anche da modalità provvisoria si ricrea?
Prova a dare questo comando da Start > Esegui prima di usare HijackTHis:

regsvr32 -u "C:\WINDOWS\system32\khhif.dll"

[Luke57]

Ciao Dylan, intanto grazie per il tuo interessamento, la manovra da te suggerita di registrazione non è riuscita, ho eliminato il file manualmente dal registro ma hijackthis lo segnala sempre. Sul computer del mio amico ho poi ho scaricato ewido e scansionato in modalità provvisoria. Quel file khhif.dll è segnalato da ewido come trojan dowloader conhook.m lo cancella sempre ma esso si riforma a ogni riavvio del computer, sempre segnalato e cancellato da ewido. In compenso, i problemi su internet rimangono gli stessi. Che fare?

[Dylan666]

Un attimo, ma si ricrea sia il file che la chiave? Se si ricrea pure il file ci deve essere un'altro oggetto da eliminare

[Luke57]

Sul registro non lo trovo più cercandolo manualmente, con hijackthis la situazione non cambia...boh

[Dylan666]

Ma il file? Si ricrea o no?

[Luke57]

Scusa Dylan ma ho dovuto telefonare al mio amico che non trova il file incriminato nella cartella quindi non si ricrea ma ewido all'accensione del computer lo segnala

[Dylan666]

Sicuri che il file non ci sia più? Mi pare strano, chi ricreerebbe la chiave allora?

[Luke57]

In effetti è vero, però mi ha detto che non lo ha trovato e se fosse sempre lì?

[Dylan666]

No guarda il file o c'è o non c'è, la massimo è settato come nascosto...