Condividi:        

Strani siti nella cartella "CRONOLOGIA"

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Strani siti nella cartella "CRONOLOGIA"

Postdi Duke » 01/07/07 13:54

Buonasera a tutti!!
Da qualche giorno ho notato che nella mia cartella "cronologia" ci sono pagine web che non ho mai visitato come per es:

http://88.80.5.21
http://whataboutarabit.com
http://whataboutarat.com

è possibile che abbia un virus che si connette a qualche sito di "nascosto"?
Vi posto il mio logfile e vi ringrazio fin da ora per la cortesia...


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.45.05, on 01/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Mixer.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\HJL\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0EED6D2-BFF2-48FB-998E-318D24880F17}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9A93DEA-DF6D-4873-8229-6BBD2A28914B}: NameServer = 193.70.192.25 193.70.152.25
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe

--
End of file - 3244 bytes
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Sponsor
 

Postdi Mikele46 » 02/07/07 11:26

elimina queste voci...



O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll


O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll



poi prova a scaricare spy-bot da qui
http://www.pc-facile.com/download/anti- ... oy/130.htm
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli

Postdi Luke57 » 02/07/07 11:38

Ciao, non eliminare le voci indcate, sono del tutto legittime.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

risposta

Postdi Opensource » 02/07/07 13:36

quoto Luke57 ;)
Avatar utente
Opensource
Utente Senior
 
Post: 684
Iscritto il: 02/11/06 20:45

Postdi SkunkWorks 68 » 02/07/07 15:23

Aggiorna al SP 2 ;)
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi Duke » 02/07/07 16:20

Grazie x le risposte!!
mi sono informato un po' e quei siti che mi ritrovo nella cartella cronologia mi fanno pensare al trojan zonebac, cosa ne pensate?
Dal file di log si riesce a capire qualcosa?
Grazie 1000...
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Postdi Luke57 » 02/07/07 17:16

Ciao, è vero, scarica Findawf da qui:
http://noahdfear.geekstogo.com/FindAWF.exe

Esegui il file, si aprirà una finestra dos, premi invio per continuare, finito tutto si aprirà il block notes, copia e incolla il contenuto in un post.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Duke » 02/07/07 20:06

Luke57 ha scritto:Ciao, è vero, scarica Findawf da qui:
http://noahdfear.geekstogo.com/FindAWF.exe

Esegui il file, si aprirà una finestra dos, premi invio per continuare, finito tutto si aprirà il block notes, copia e incolla il contenuto in un post.


Ecco il risultato:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A0A2-863B

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 77.621.452.800 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A0A2-863B

Directory di C:\WINDOWS\SYSTEM32\BAK

10/09/2002 14.00 13.312 ctfmon.exe
1 File 13.312 byte
2 Directory 77.621.452.800 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A0A2-863B

Directory di C:\PROGRA~1\HP\HPSOFT~1\BAK

12/05/2005 00.12 49.152 HPWuSchd2.exe
1 File 49.152 byte
2 Directory 77.621.448.704 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

13312 10 Sep 2002 "C:\WINDOWS\system32\ctfmon.exe"
13312 10 Sep 2002 "C:\WINDOWS\system32\bak\ctfmon.exe"
21516 8 May 2007 "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
49152 12 May 2005 "C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe"
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Postdi Luke57 » 03/07/07 08:24

Ciao, dalla modalità provvisoria:
taglia il file in neretto C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe
incollalo (sovrascrivendolo) nella cartella in neretto:
C:\Programmi\HP\HP Software Update

Elimina poi le seguenti cartelle bak:
C:\WINDOWS\system32\bak
C:\Programmi\HP\HP Software Update\bak
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Duke » 03/07/07 13:02

Ciao!!
il file ctfmon.exe lo devo lasciare stare?
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Postdi Luke57 » 03/07/07 14:31

Duke ha scritto:Ciao!!
il file ctfmon.exe lo devo lasciare stare?

Ciao, se osservi il report di findawf, risulta che sia quello nella posizione originale sia quello nella cartella bak hanno la stessa data di creazione, quindi dovrebbero essere uguali.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Duke » 04/07/07 12:58

Ciao,
ho fatto tutto...
in teoria dovrei essere a posto?
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Postdi Mikele46 » 08/07/07 15:17

mi scuso per il mio errore...la prossima volta starò più attento....
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli


Torna a Sicurezza e Privacy


Topic correlati a "Strani siti nella cartella "CRONOLOGIA"":


Chi c’è in linea

Visitano il forum: Nessuno e 49 ospiti