|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
20-12-2007, 09.51.04 | #1 |
Newbie
Registrato: 30-10-2002
Messaggi: 40
|
Possibile trojan apre Firefox automaticamente
Ho provato a cercare dei trojan con AdAware, Spybot e Avast! ma non trovano nessun problema. Che altro posso fare? Vi riporto il log di HijackThis, se può essere utile... Codice:
Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Alwil Software\Avast4\ashDisp.exe C:\Program Files\Google\Google Talk\googletalk.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Pidgin\pidgin.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\Andrea\Desktop\HijackThis.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [VD] C:\Program Files\VitalDesktopVideo\vd.exe O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart O4 - HKCU\..\Run: [Pidgin] C:\Program Files\Pidgin\pidgin.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll O11 - Options group: [INTERNATIONAL] International* O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{2DE7AC71-88A2-436F-8190-D1D9D7FE7D71}: NameServer = 208.67.222.222,208.67.220.220 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing) O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe |
20-12-2007, 18.29.40 | #2 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
ciao,
mi pare che manchi una parte essenziale del log, potresti postare anche quella per favore? Inoltre noto che il winsock è stato modificato da dei software apple O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll Tuttavia, per il momento direi di non rimuovere queste voci, rischi di perdere la connettività anche per quanto ne so. In ogni caso sospetto che tu abbia contratto qualche 'rogue application" qualche applicazione fuorviante intendo come falsi antivirus o falsi pulitori di registro, che in fase di navigazione di avvisano che avresti il sistema terribilmente infetto (ed è falso) ti invitano ad eseguire una scansione coi loro prodotti che nella maggior parte dei casi invece ti infetta il sistema. Potresti quindi provare quindi per verificare - i sintomi del tuo sistema sembrano appunto proprio quelli di una infezione da rogue application - a scaricare installare aggiornare ed eseguire il SUPERAntispyware free 3.9 http://downloads2.superantispyware.c...ntiSpyware.exe quindi scarica, installa e fai una scansione col RogueRemover free 1.23 da http://www.malwarebytes.org/rogueremover.php Anche il VundoFix potrebbe tornarti utile, lo trovi qui http://www.atribune.org/ccount/click.php?id=4 salvalo sul desktop, eseguilo con tutte le finestre chiuse, cercherà le varianti di Vundo nel sistema, se le trova ti chiederà di rimuoverle, nel caso non ci riuscisse lo farà al riavvio del sistema, non temere se il desktop durante la scansione sembri sparire: è perfettamente normale. Attendo allora la prima parte mancante del log di HiJackThis e gli esiti spero positivi dopo l'uso dei software che ti ho suggerito di utilizzare. In bocca al lupo |
21-12-2007, 10.25.46 | #3 |
Newbie
Registrato: 30-10-2002
Messaggi: 40
|
Grazie mille per la risposta. Ho fatto le scansioni con tutti i programmi che mi hai suggerito ma nessuno ha rilevato malware.. Intanto però continuano ad aprirsi finestre di Firefox che mandano a vari siti. Spesso anche quelle che invitano a scaricare antivirus come dicevi tu.
La parte che manca all'inizio del log di HijackThis è Codice:
Logfile of HijackThis v1.99.1 Scan saved at 10.23.15, on 21/12/2007 Platform: Unknown Windows (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16575) Cos'altro posso tentare? |
21-12-2007, 11.50.41 | #4 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
prego figurati,
vedo ora che utilizzi Windows Vista, che conosco poco. non ti appare nel log anche qualcosa del genere? [esempio] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nod32.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 [fine esempio] Hai fatto una scansione completa del sistema col SuperAntispyware free (in genere rimuove anche l' "impossibile") o solo veloce o personalizzata? Un'alternativa in genere è lo 'SmitFraudFix" che si scarica da qui http://siri.geekstogo.com/SmitfraudFix.php ma è compatibile con Win2000/XP, non ho idea se funzioni anche con sistemi Vista. Tentar non nuoce a questo punto, direi di provare a scaricarlo sul desktop e seguire queste istruzioni: Esegui il file SmitfraudFix.exe Ti si dovrebbe aprire una finestra DOS Dove lampeggia il cursore digita 2 e dai l'invio Alla domanda "Do you want to clean the registry?" digita Y e dal l'invio Alla successiva domanda "Replace infected file?" digita Y e dal l'invio Al riavvio il sistema dovrebbe risultare disinfettato, mi auguro. N.B alcuni antivirus lo segnalano come "risk tool" (non è un virus tanto meno una forma di malware) --------- Ho notato ora questo file "O4 - HKCU\..\Run: [VD] C:\Program Files\VitalDesktopVideo\vd.exe" potresti provare a inviarlo su www.virustotal.com per controllare che non sia infetto? Inoltre io fossi in te controllerei la presenza di eventuali rootkit con il Trend Micro Rootkit Buster 1.6 da http://www.trendmicro.com/ftp/produc...rv1.6.1060.zip E farei una scansione on line tramite Internet Explorer per esempio via http://www.nanoscan.com/ Incrocio le dita e attendo (magari anche l'aiuto di qualche altro wintricker che conosce meglio Vista) Ultima modifica di leofelix : 21-12-2007 alle ore 16.27.24 |
21-12-2007, 12.38.26 | #5 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
tools di emergenza
Ecco, spero che questi tools possano aiutarti,
scarica 1) il Norman Malware Cleaner link diretto per il download sul desktop quindi con tutte le finestre chiuse (Navigatore, programma di chatting e cliet di posta etc etc) eseguilo e fagli fare una scansione (compatibile Win98/ME/2k/XP/Vista) 2) il PREVX CSI sempre sul desktop. E' uno strumento di diagnostica che ricerca nel sistema virus, spyware e altro malware, ma si limita a rilevare senza rimuovere. Richiede la connessione attiva e i permessi del Firewall. Se non altro con questo secondo tool dovresti sapere che 'robaccia' di preciso hai contratto e si potrebbero tentare altre soluzioni |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Firefox: browser predefinito | bellatrix | Software applicativo | 7 | 08-09-2008 21.47.37 |
Trojan Trojan Trojan ! Bagle etc... Help me please ! | supertraz | Sicurezza&Privacy | 27 | 23-05-2008 20.54.06 |
Portable Firefox | Thor | Archivio News Software | 3 | 21-11-2005 10.50.50 |
FireFox Beta 2 | Flying Luka | Archivio News Web | 0 | 11-10-2005 10.52.09 |
Firefox 1.0.1 | Gervy | Archivio News Software | 9 | 26-02-2005 03.02.55 |