14 replies to this topic

[francesco59]

Non so come fare, ho norton Malwarebites pro eppure mi becco questi spywere. Eppure non vado ne su siti porno , forse mi fregano quelli delle partite di calcio. Allego il file di hijackt. Conosco la procedura ma non mi azzardo a fare la stringa per combofix.

grazie infinite.

p.s.
nelle vostre procedure dite di togliere adobe flasch player e java. Ho provato la sostituzione con credo si chiama sumatra, ma non sostiuitisce flasg player ed ho avuto svariati problemi poi per rimontarlo.

Allega File

•  hijackthis.log   7.83KB   0 Numero di downloads

[Pike]

Sumatra PDF Viewer sostituisce Adobe Reader.

FlashPlayer va aggiornato sul sito
http://get.adobe.com/it/flashplayer

[francesco59]

devo aggiungere che il file log di malwarebytes è pulito e che ho fatto anche una scansione in provvisoria con virit che mi aveva trovato e debellato due infezioni...

[francesco59]

per avvantaggiarmi ho eseguito combofix senza immettere query ed ho notato di avere delle infezioni. Naturalmente avevo fatto tutte le pulizie prima.

Allega File

•  combo fix.txt   30.04KB   2 Numero di downloads

[francesco59]

allego anche 2 file di hijackt

[Pike]

'ndo stanno?

[francesco59]

non riesco ad allegare il file....

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:54:33, on 16/05/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: BHOHOOK - {030AC7B6-E7EC-40F1-8FB2-C0FD344DE0B9} - C:\Program Files\TOSHIBA\TFPU\x86\TFPUPWDBankBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton AntiVirus\Engine\19.7.0.9\IPS\IPSBHO.DLL
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKUS\S-1-5-18\..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe (User 'Default user')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted IP range: http://192.168.1.1
O15 - ESC Trusted IP range: http://192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD9ED131-0A2A-4418-BCB2-396881AF0308}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8CBA3B7-5698-471A-9234-EE7625E17F47}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS2\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ashampoo Core Tuner 2 Service (ACT2_Service) - Unknown owner - C:\Program Files (x86)\Ashampoo\Ashampoo Core Tuner 2\ACT2Service.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Program Files (x86)\Norton AntiVirus\Engine\19.7.0.9\ccSvcHst.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7658 bytes

[Pike]

Non riesci ad allegare un file TXT??? Di 7800Byte?
Non è che cerchi di allegare un file aperto?

[francesco59]

no il file è chiuso e non ci riesco. altre volte mi dava lo stesso errore....
credo che allo stato attuale ora poco cambia visto che il log è leggebile anche se non so se voi avete degli strumenti particolari per rilevare inautomatico se qualcosa non va sul file

[Pike]

Vedo che usi diversi server DNS.
Come mai scegli di non usare quelli del tuo provider?

[francesco59]

Non mi scappare ti prego ho riscaricato di nuovo hijak,ed ha funzionato.
Ecco il log.

Per i DNS pare di usare quelli di google ma se vuoi li cambio e metto quelli di telecom.

(Fusione dei post operata da Pike)

Allega File

•  hijackthis.log   7.51KB   0 Numero di downloads

[Pike]

Per prima cosa, puoi quasi sempre modificare il tuo ultimo post, non vi è motivo di "moltiplicarli" per aggiungere giusto una riga.
E' odioso in IRC, è fastidioso negli istant Manager, è inutile nelle board.

Prenditi il tuo tempo e scrivi con calma

Io ho verificato il log di HJT, e mi sembra pulito. Non ho segnalazioni, da parte tua, di altri comportamenti malevoli.
Non hai nemmeno postato un log di MBAM...

Per quanto riguarda i DNS, tu hai 5 schede di rete (non ho cercato i GUID, non ne avevo voglia oggi); di queste, 4 puntano ai DNS di RapiDNS, una a Google.

O17 - HKLM\System\CCS\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD9ED131-0A2A-4418-BCB2-396881AF0308}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8CBA3B7-5698-471A-9234-EE7625E17F47}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS2\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25

ovvero quella al centro.
E' giusto? E' sbagliato?
Io non uso per principio i DNS di google o quelli di altri fornitori terzi, se mi serve un DNS custom provo di farmelo in casa.
Forse possono infastidirti i DNS "facilitanti" fatti da telecom, usa al loro posto quelli di Interbusiness.

In linea di massima, per quanto Google ed altri provider DNS siano veloci o più protettivi, sono di solito più lontani da te, anche se sono più veloci nonostante il "balzo".
Mentre un DNS vicino di solito è più coerente. E vincolato... ovvero non ti fa andare su siti di giochi all'estero (ammesso e non concesso che ti interessi) o su altri siti "vietati" per legge italian.

Concludendo:
aggiorna MBAM, esegui una scansione completa, posta il log di quest'ultima.
segnala nel post se hai comportmenti "particolari" ed indesiderati.

Nel caso tu non li abbia, non toccare nulla. Se invece li hai, prova a rimettere i DNS di TelecomItalia.

[francesco59]

Chiedo scusa per i vari thread ma il file di Hijack non mi si caricava.
Problema dns ho provato a cancellarli ipoconfig /...... al momento non ho potuto ravviare e dal nuovo hijack risultano ancora quelli di telecom....... Al momento uso i dinamici.
Problema pc.
Sicuramente qualcosa non va, perfino norton si imballa e non riesce a fare gli aggiornamenti in automatico. Altre finestre si aprono a mia richiesta compreso firefox e mi dicono per 5 secondi il programma non risponde, qualcosa che imballa sto pc c'è.
Forse responsabili di ciò possono essere 2 programmi Handbrake per codificare i filmini per Iphone (al termine della codifica di un film ma solo a lavoro finito mi spenge il pc, ho letto che dava qualche problema di stabilità,) oppure media Human di you tube.
No non vado su siti di giochi d'azzardo, tuttalpiu sui giochi di facebook, dove devo entrare con ie9 perche con mozilla non me li carica bene.
Per quanto riguarda Mbam era aggiornato a ieri ma ho rifatto l'aggiornamento e ti riinvio il tutto. Grazie e buonanotte

questo è il link di mediahuman http://www.mediahuma...-mp3-converter/

P.s, nonostante l'operazione fatta tramite promt dei dns dove mi diceva che era cancellata la cache, su hijackt ancora compaiono.

Allega File

•  mbam-log-2012-05-16 (20-45-46).txt   2.21KB   2 Numero di downloads

Post modificato da francesco59 il 17 May 2012 - 06:26 AM

[Pike]

HandBrake non so quanto sia stabile, ma formalmente dovrebbe essere pulito, quindi me ne occuperei dopo. In alternativa, valuta SUPER.
Media Human di Youtube non so che sia, mi potresti fornire un link?

Dove tu vada è affar tuo , ti indicavo che cosa poteva variare usando DNS italiani.

Se hai problemi dei giochi di Facebook su Firefox, probabilmente è perchè Flash Player non è per niente in forma.
Il mio trucchetto è questo:

• Scarica da Adobe Flash Player Uninstaller
  http://helpx.adobe.c...er-windows.html
  
• Chiudi tutti i Browser, quindi eseguilo; il programma estirperà qualsiasi versione presente di Flash Player.
  
• Riavvia il pc. Fa sempre bene
  
• Per ognuno dei tuoi Browser visita questo sito
  http://get.adobe.com/it/flashplayer/
  ti consentirà di installare la versione di Flash più recente presente sul sito Adobe.
  Mi raccomando, non installare altri software a corredo come la Security Bar di McAfee o la Toolbar di Google.
  Non servono per la soluzione del problema
  
• Per firefox probabilmente è necessario riavviare il browser
  
• Testa i siti che ti davano problemi, vediamo se le cose sono cambiate.

Aspetto news

[francesco59]

Ho aggiunto mbam come mi avevi chiesto e la difficolta di eliminare i dns superflui grazie
il pc va meglio ho tolto quei due programmi e ho messo i tuoi dns

Post modificato da francesco59 il 17 May 2012 - 19:52 PM