| Autore |
 Discussione  |
|
King of kings
Advanced Member
273 Messaggi |
 Inserito il - 30/07/2009 : 23:48:39
|
Salve ragazzi. Mio fratello ha cominciato ad usare il suo nuovo PC con Internet Explorer (pessimo modo per cominciare!), installandovi ogni genere di toolbar a disposizione. Ora ha il solito problema delle finestre pubblicitarie che ogni tanto gli si aprono. Ecco il log di Hijack: htt*://[www].savefile[.com]/files/2167910.
Come indicato sulla vostra guida, ho già effettuato la scansione con l'antivirus (purtroppo Norton) con VirIT e con Spybot: alcuni file infetti sono stati trovati ed eliminati. Ho inoltre effettuato una pulizia del registro con Ccleaner e ho disinstallato le maledette toolbar.
Grazie in anticipo per l'aiuto.
PS Ho provato ad eseguire l'immunizzazione con Spybot, ma alcune voci non vengono immunizzate perchè, secondo il programma, sto utilizzando il browser, quando in realtà non è vero. In effetti poi, guardando i processi in esecuzione, vedo anche due processi relativi ad Internet Explorer: come è possibile? C'è qualche funzionalità di Internet Explorer che parte all'avvio di Windows in background?
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 31/07/2009 : 11:11:53
|
ciao
nel link che hai postato c'e' qualcosa che non permette il download
prova a caricarlo qui
[www].wikisend[.com] |
 |
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 31/07/2009 : 11:47:25
|
| Ah, scusate. Ecco il link funzionante: htt*://wikisend[.com]/download/542874/hijackthis.log |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 31/07/2009 : 11:56:41
|
dal log non si vedono minacce del virus navipromo, responsabile dell'apertura delle pagine
per ora fai questa scansione, semmai dopo useremo anche navilog
Scarica e installa malwarebytes.
htt*://[www].malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.
per ora non rimuovere nulla |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 31/07/2009 : 13:31:36
|
Ecco il log di malwarebytes: htt*://wikisend[.com]/download/551026/mbam-log-2009-07-31 (13-28-31).txt
Ha individuato 14 elementi. Aspetto tue indicazioni. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 31/07/2009 : 13:38:24
|
sei pieno di quella schifezza di MyWebSearch
riavvia mbam ed elimina tutto
vai nella cartella Programmi o Program Files cerca ed eventualmente elimina se presenti queste cartelle
FunWebProducts
MyWebSearch
Smiley Central
fai pulizia con ccleaner
htt*://[www].filehippo[.com]/download_ccleaner/
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
|
|
|
|
King of kings
Advanced Member
273 Messaggi |
 Inserito il - 31/07/2009 : 14:50:17
|
Bene, ho fatto quello che m'hai detto. Posto un nuovo log di Hijack per sicurezza: htt*://wikisend[.com]/download/523944/hijackthis (2).txt
Il problema è che ogni tanto le finestre pubblicitarie rispuntano! Il Norton inoltre mi segnala ogni tanto come infetto il file iexplorer.exe all'interno della cartella di installazione di Internet Explorer. Ecco i dettagli dell'avviso:
Nome rischio: htt* LOP Toolbar Activity
Computer in attacco: nb.dns-look-up[.com] (66.220.17.200,80)
URL aggressore: nb.dns-look-up[.com]/bins/int/upAYB.int
E' il Norton che dà falsi allarmi? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 31/07/2009 : 16:47:26
|
elimina da pannello di controllo al piu' presto la BearShare MediaBar Toolbar, non e' niente di buono
fai questa scansione disconnesso da internet e con l'antivirus disattivato
Scarica Combofix
htt*://download.bleepingcomputer[.com]/sUBs/ComboFix.exe
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.
Non usare il pc durante la scansione, nemmeno il mouse! |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 02/08/2009 : 13:27:57
|
Scusa il ritardo, ecco il log del programma: htt*://wikisend[.com]/download/467382/Combofix.txt
Comunque il file che m'hai dato tu non necessita di installazione, è semplicemente un eseguibile che va lanciato: quindi non m'ha chiesto di installare nessuna recovery console. Io l'ho semplicimente avviato, si è aperta una finestra blu e quando sono tornato c'era aperto un file di testo che ho postato. Spero di aver fatto tutto giusto.
PS Il Norton continua a segnalarmi il file iexplorer.exe dentro la cartella di installazione di Internet Explorer. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 02/08/2009 : 13:44:32
|
conosci questo? se non e' una tua conoscenza eliminala
c:\programdata\mode axis acid lite |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 02/08/2009 : 19:38:55
|
| Non so onestamente cosa sia, il problema è che non mi fa cancellare la cartella perchè mi dice che è in uso da un'altro programma. Adesso vedrò di eliminarla. Ma possibile che stia qui il problema? Non c'era nient'altro che non andava? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 02/08/2009 : 19:41:51
|
Citazione:
Ma possibile che stia qui il problema? Non c'era nient'altro che non andava?
sicuramente c'e' altro
nel frattempo sto controllando il log - elimina al piu' presto quello che ti ho indicato(se non dovessi riuscirci prova da provvisoria) |
Modificato da - shang in data 02/08/2009 19:42:25 |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 04/08/2009 : 13:41:53
|
Ho eliminato la cartella che mi hai detto e ho fatto scansioni in modalità provvisoria con Norton, Spybot, VirIT e Gmer (trovando tra l'altro pochissime cose). Ti posto i log di quest'ultimo.
Rootkit: htt*://wikisend[.com]/download/551492/GMER_Rootkit.log
Autostart: htt*://wikisend[.com]/download/532562/GMER_Autostart.txt
Aspetto tue notizie per il log di Combofix, se puoi dai un'occhiata anche a questi.
PS Ho trovato in questo forum: htt*://community.norton[.com]/norton/board/message?board.id=nis_feedback&message.id=31188&query.id=1304275#M31188 che iexplorer.exe è un processo potenzialmente relativo ad un trojan, mentre iexplore.exe, senza la r finale, è semplicemente il processo relativo a Internet Explorer ed è quello che ho in esecuzione io (nel mio precedente post ho semplicemente sbagliato a scrivere). Quello che non capisco è perchè resta in esecuzione anche se non uso Internet Explorer e perchè me lo segnala il Norton. |
Modificato da - King of kings in data 04/08/2009 14:27:46 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 04/08/2009 : 15:53:08
|
certo che sul quel pc c'e' l'arca di noe'
questa cartella la conosci? sai cosa contiene?
c:\programdata\WipeTypeMeow
analizza su virus total e dimmi qual'e' il responso degli antivirus su questo cchpx86.sys
c:\windows\System32\drivers\NAV\1005000.086\cchpx86.sys
Ora apri una pagina del blocco note e copia incolla quanto segue;
killAll
file::
c:\programdata\WipeTypeMeow\tvzurbrc.exe
c:\users\Principale\AppData\Local\d3d9caps.dat
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log ...
Ho dato un'occhiata ai report ma sembra non esserci niente, dopo li controllo meglio
Dovresti dirmi qual'e' il processo che hai nel task manager
se il processo incriminato è Iexplorer.exe con la r finale, non e' niente di buono
Prova ad usare questo programmino stand alone, solo per controllare meglio
htt*://orkblutt.free.fr/DeepMonitor.exe
nella barra degli strumenti, clicca monitor e start, e questo resterà attivo fino a quando non lo chiuderai. Il funzionamento è elementare, se sono presenti voci in rosso, vuol dire che sono processi nascosti/rootkit, se sono blu, invece, va tutto bene. Facendo un doppio click sul nome del processo, saranno mostrate ulteriori informazioni.
|
Modificato da - shang in data 04/08/2009 16:09:17 |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 05/08/2009 : 03:15:47
|
Citazione:
certo che sul quel pc c'e' l'arca di noe'
Vai a dare in mano un computer nuovo ad un quattordicenne!
Allora, ho eliminato la cartella c:\programdata\WipeTypeMeow (prima di fare la scansione con Combofix) e il file cchpx86.sys è innocuo in quanto nessuno dei tanti antivirus l'ha rilevato come minaccia.
Ho fatto poi la scansione con Combofix proprio come mi hai detto, ecco il log: htt*://wikisend[.com]/download/557210/Combofix (2).txt
DeepMonitor funziona solo con XP, ma comunque il processo di cui parlavo è iexplore.exe, SENZA la r, che dovrebbe essere il processo di Internet Explorer. Il fatto che il Norton me lo segnali mi sa che è solamente un falso allarme (nessuna scansione me l'ha rilevato come file infetto): quello che non capisco è perchè quel processo c'è sempre, anche se uso Firefox e non IE. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/08/2009 : 21:03:53
|
elimina combofix in questo modo
clicca su start - esegui - digita combofix /u e dai l'ok ... (combofix[spazio]/u)
vai in Disco Locale C: ed elimina la cartella QooBox
elimina l'eventuale cartella che avevi creato sul Desktop in cui avevi posizionato Combofix
Posta un log aggiornato di hijackthis |
|
|
|
Discussione |
|
Aiuto con log di Hijack
Forum Bloccato
